|
|
返回
摘自《红蓝攻防 构建实战化网络安全防御体系》 奇安信安服团队 2022年
- 1.跨网段控制工控设备
- 2.社工钓鱼突破系统
- 3.冒充客户突破边界-目标有较强安全防护措施
- 4.混淆流量躲避侦察-目标配备网络安全团队
- 5.供应链定点攻击-目标对互联网暴露应用系统少(迂回攻击)
- 6.旁路攻击搞定目标-目标关闭所有外网系统(从子公司突破内网)
- 7.巧妙种马控制-红蓝实时对抗
- 8.迂回渗透突破-和6比较类似
- 9.近源渗透-冒充工作人员进入
1.跨网段控制工控设备
• 首先利用0day漏洞获取homepage的应用系统和OS管理员权限,得到办公内网接入权限。
• 通过撞库控制内网服务器(管理员账号密码相同)
• 通过服务器上excel明文记录的密码本定位到工控系统的运维人员
• 运维人员登录的主机双网卡(办公和工控网络)之间部署了隔离软件,利用该软件漏洞
绕过隔离成功控制工控设备2.社工钓鱼突破系统
• 利用开源社工库搜集企业工作人员邮件列表
• 利用hydra爆破弱口令,破解员工邮箱
• 按照员工往来邮件格式,伪造钓鱼软件,定向鱼叉攻击财务部员工3.冒充客户突破边界-目标有较强安全防护措施
• 目标客户有完善的网络防御体系,也部署了邮件检测防御钓鱼邮件
• 利用微信报修平台,发送带木马压缩包
• 社工突破客户心理防线,客服点击压缩包,设备终端被控制
• 内网横向拓展,最终攻破目标4.混淆流量躲避侦察-目标配备网络安全团队
• 通过代码审计发现目标某个外网Web应用存在漏洞
• 通过黑盒测试发现目标营销网站存在文件上传漏洞
• 目标有流量威胁审计,所以跳板被阻断,上传的webshell被查杀
• 对于营销网站采用大规模各种手段攻击(关闭杀软、提权、安置后门、批量扫描),
力求对目标流量分析系统达到流量DDoS效果。
• 同时,利用不同IP和浏览器特征指纹对Web应用渗透,用最小流量攻破
• 以Web应用为跳板搭建FRP Socks代理,内网横向拓展
• 控制内网多台服务器,使用多种目标协议木马,备份多个通道稳固权限
• 逐步拿下域管理员、域控,最终拿到工控系统核心平台的控制权限5.供应链定点攻击-目标对互联网暴露应用系统少(迂回攻击)
• 目标安全防护好,互联网暴露应用系统少,且多了安全加固和多层防护
• 通过互联网关键字搜索到该企业中标的供应商
• 利用供应商即时通信软件漏洞,攻破该系统服务器,获得后台管理员权限
• 通过登录系统,查找聊天记录(准明文-低强度加密或变换),定位到3位在目标驻场人员
• 通过即时通信系统服务器,向3人PC定向推送带木马升级包,控制PC
• 通过PC横向拓展6.旁路攻击搞定目标-目标关闭所有外网系统(从子公司突破内网)
• 目标关闭所有外网系统
• 先从目标的三级子公司开始,利用SQL注入+命令执行攻入DMZ区
• 横向拓展控制三级子公司的域控和DMZ内服务器
• 利用Tomcat弱口令+上传漏洞攻破上级二级子公司服务器,横向拓展,获得域控控制权
• 通过信息收集,得知有7名员工可以访问目标内网的应用系统
• 给7人PC植入木马,以此为跳板,最终攻破目标系统7.巧妙种马控制-红蓝对抗
• 利用目标OA系统0day漏洞获得Webshell权限,上传后门脚本
• OA漏洞被及时发现修补,但是后门脚本没有全部删除,依然混杂在OA程序中
• 利用脚本顺利在OA服务器提权
• 发现目标管理员的PC挂载在OA服务器上进行管理操作,对其植入自启动后门程序。
• 等待管理员重启动PC后,后门程序上线
• 登录该管理员PC,发现他利用MyBase对重要服务器进行加密存储
• 利用这台PC上安装的键盘记录器,获取MyBase主密钥
• 对数据文件进行解密,获得VPN、堡垒机、虚拟化平台的账号和密码
• 登录虚拟化平台,最终突破到目标系统8.迂回渗透突破-和6比较类似
• 目标系统不存在漏洞
• 利用HK子公司网站SA权限注入点登录后台并利用任意文件上传完成getshell
• 通过数据库SA权限获取服务器的system权限
• 采取添加证书方式绕过服务器symentec并抓到域管密码,导出域hash及域结构
• 利用域结构发现目标在内地域的服务器,进行攻击
• 最后通过攻破的一台内地的服务器,最终获得攻击目标的IP地址,并进行攻击渗透9.近源渗透-冒充工作人员进入
• 目标系统安全防护严密,但是对出入办公区人员管理比较松懈
• 通过网上购买目标同一式样的工牌,制作假身份,冒充内部工作人员进入办公室
• 发现有无人值守PC而且有网线连接,用U盘进行登录密码绕过
• 登录PC后对内网进行扫描,发现生产内网网关管理系统
• 内网网关管理系统通过默认口令即可登录,以此为跳板最终控制生产区堡垒机 |
|
发 帖
发表于 2022-9-20 14:30:54