攻防演练之红方攻击术盘点 – 作者:yannichen

上半年的攻防演习刚刚结束,红蓝双方一攻一守对战十几天。红队(攻击方)使尽各种解数进行模拟攻击,誓要将蓝队(防守方)的“内网打穿”。

在演习结束后,我们盘点了红队常用的攻击方(套)式(路),以作为演练参考和总结。

在演习全程,红队一般是针对目标系统、人员、软件、硬件和设备同时执行的多角度、混合、对抗性的模拟攻击;通过实现系统提权、控制业务、获取数据等目标,来发现系统、技术、人员和基础架构中存在的网络安全隐患或薄弱环节。

总的来说,红队的工作可分为三个阶段,情报收集、建立据点和横向移动。

在情报收集阶段,红队在攻击前会收集目标项目的组织架构、IT资产、敏感信息泄露和供应商信息等各个方面。

情报搜集

通常分为三种,主动收集、被动收集、社工收集。主动收集包括对目标域名的采集、主机和web系统漏洞扫描;被动收集通常是通过Shodan、Google、Github、Maltego等工具或平台完成。社工收集则是通过一些社工手段来收集目标企业的信息,如企业邮箱、微信、微博等企业员工信息等。

建立据点

一般是通过漏洞利用、社工方法等方式获取外网系统控制权限,在业内通常叫“打点”或者撕口子。

这些手段可以帮助红队绕过WAF、IPS、杀毒软件、等防护设备或软件,寻找和内网联通的通道进行深入渗透或纵向渗透(由外到内)。

找到“点”或口子之后,红队会利用该点作为外网进入内网的根据地,通过frp、ewsocks、reGeorg等工具在该点建立隧道,形成外网到内网的跳板,并成为内网渗透的坚实据点。

另外,红队还会利用系统、程序或服务漏洞进行提权操作,以获得更高权限。

横向移动

它是指红队在本机及内部网络开展进一步信息收集和情报刺探工作。红队会利用内网的弱点来进行横向渗透扩大战果。

在内网渗透时,红队会重点关注邮件服务器权限、OA系统权限、版本控制服务器权限、集中运维管理平台权限、统一认证系统权限、域控权限等位置,努力突破核心系统权限、控制核心业务、获取核心数据。

就具体攻击战术而言,红队通常使用以下方法:

1、利用PowerShell,命令和脚本解释器

PowerShell和Windows Command Shell是最常用的攻击手法之一。因为这些工具是Windows自带的,所以蓝队很难确定它们是否受到了攻击。

这就是所谓的“靠山吃山”,攻红队不需要在目标网络中埋伏攻击工具。相反,红队使用已经安装的现有PowerShell。(蓝队如果要监视PowerShell和基于命令行的攻击,可以使用Sysmon等工具来确保捕获日志。)

寻找可疑的cmdlet或任何其他需要解码以进行调查的模糊命令。从普通的PowerShell模式中找出恶意的模式是一项不小的工作量。

蓝队可以启用Windows安全日志4688事件的记录功能,该事件对应进程创建操作,在进程创建过程中会产生大量事件,但使用基本的过滤条件就可以过滤常规内容,梳理出新的或者恶意的使用警告,监控PowerShell进程创建过程中传递的命令行参数。

虽然蓝队可以使用上述方式防守,但红队只要在PowerShell中一点简易的混淆技术就可以绕过静态匹配机制。

例如,混用大小写字母、拼接字符串、使用转义字符、用数字代替等等方式,都可以轻松逃过监察。

2、签名的二进制进程执行

Rundll32和Mshta都允许红队通过可信的签名二进制文件创建恶意代码。同样,红队使用的是现有的攻击序列,并不是讲外部工具带入目标网络,所以同样无法被检测到。

虽然蓝队可以为恶意使用的Rundll32设置警报,但由于警报在系统中的日常使用,很难对警报进行微调,所以蓝方需要在网络中建立一个基线。

3、伪装及内网渗透

红队会通过重命名系统工具等手段来绕过控制和检测。还会选择http、dns以及一些穿透性相对较好的tcp端口,配合wmi、smb、ssh远程执行,在内网批量快速识别能出网的机器。

4、套路战术

弱口令战术是红队常用的套路战术之一,即通过弱密码、默认密码、通用密码和已泄露密码获得权限。

例如著名的SloarWinds供应链攻击事件,被暴出的密码就是弱密码SolarWinds123。

常见的弱密码例如123456、生日、身份证后六位、手机号、666666、888888、admin123等等。还有用户喜欢在不同网站用用一个密码。

5、网络钓鱼

钓鱼式攻击是红队的主要攻击方向之一,在进行钓鱼攻击之前,红队会先创建目标列表,识别安全产品,然后选择钓鱼式攻击的主题。

前期搜集信息一般会有以下方式:搜索与目标电子邮件地址相关的公开密码库、GitHub、pastebin等。

也可以发送电子邮件到一个不存在的账户,等待返回错误信息,通过错误邮件返回的邮件信息,可以判断对方邮件服务器使用的安全软件,配置的安全策略等。

红队常使用的钓鱼主题有:员工问卷调查、内部组织架构升级、会议安排等。而人力资源与行政部则是经常被盯上的钓鱼攻击对象。

6、过程注入

红队使用各种注入方法来获得对系统的更多访问权。

7、模糊的文件或信息

红队有时会使用Base64编码等工具来隐藏攻击进程和行为。

8、系统服务

红队使用Windows服务管理器来运行命令或安装服务。

来源:freebuf.com 2021-04-23 18:38:10 by: yannichen

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论