蓝队攻击的四个阶段(三)
目录
一, 专业技能储备
专业技能是蓝队快速应对攻击任务中各种情况、解决各种困难问题、顺利推进任务的保障。蓝队的专业技能储备涉及漏洞、工具、战法策略等多方面。主要有以下4种
1.工具开发技能
“工欲善其事,必先利其器。”对于蓝队来说也一样,好的攻击工具往往能起到事半功倍的效果。通过公开手段常常能搜集到好用的开源工具,但公开特征太过明显,往往容易被防守方态势感知系统和防火墙发现并拦截,从面极大地影响工作效率,因此需要借助自主开发或开源工具改版来开展工作。熟练的工具开发技能,可以让蓝队通过借鉴他人的高效思路,快速实现新的工具开发或对原有工具软件架构和模块功能的针对性改进,为攻击工作提供有力的工具保障。
2.漏洞挖掘技能
漏洞挖掘技能是利用动态或静态调试方法,通过白盒或黑盒代码审计,对程序代码流程和数据流程进行深入分析与调试,分析各类应用、系统所包含的编程语言、系统内部设计、设计模式、协议、框架的缺陷,并利用此类缺陷执行一些额外的恶意代码实现攻击破坏的能力。对于蓝队来说,漏洞是大杀器往往能起到一招毙命的效果。前期的漏洞准备对于外网打开突破口和内网横向拓展都非常重要,但公开的漏洞往往出于时效问题作用有限,而自主挖掘的 Oday 却总能作为秘密武器出奇制胜,同时漏洞贡献能力是蓝队在实战攻防演练中的一个重要的得分项。因此,蓝队需要有足够多的漏洞挖掘技能储备,尤其是与蓝队攻击密切相关的互联网边界应用、网络设备、办公应用、移动办公、运维系统、集权管控等方面的漏洞挖掘技能。
3.代码调试技能
代码调试技能是对各类系统、应用、平台或工具的代码进行的分析、解读,调试与审计等一系列技术能力。蓝队攻击中情况千变万化,面对的系统、应用、平台或工具各式各样,很少能用一成不变的模式应对所有情况,这就需要通过代码调试技能快速分析研判并寻找解决方法。只有具备良好的代码调试能力,蓝队才能快速应对各种情况,比如:针对攻击过程中获取的一些程序源码,需要运用代码调试技能对其进行解读和代码审计,以快速发现程序 bug 并利用;漏洞挖掘过程中,需要对某些未知程序和软件的逆向分析与白盒/黑盒代码审计能力;注人攻击过程中,对于一些注人异常,需要对注入代码进行解析和调试,通过代码变形转换实现规避;蓝队使用的渗透工具经常会被杀毒软件拦截或查杀,这时需要运用代码调试技能快速定位查杀点或特征行为,实现快速免杀应对;等等。
4.侦破拓展技能
侦破拓展技能是在渗透攻击过程中对渗透工具使用、关键节点研判、游透技巧把握、战法策略运用等一系列技能的综合体现。实战攻防演练存在时间短、任务紧的特点,因此对蓝队在侦破拓展技能方面就有比较高的要求。侦破拓展技能是建立在蓝队丰富的实战经验积累上的,是经验向效率转换的直接体现。蓝队良好侦破拓展技能主要表现在三方面:一是对攻防一体理念的深刻理解,作为攻击者,可以从防守者的角度思考问题,能快速定位防守弱点和突破口;二是对目标网络和系统的正确认识,能根据不同攻击目标快速确定攻击策略和战法,针对性开展攻击工作;三是对渗透工具的高效运用,能快速根据攻击策略实现对各类工具的部署应用,能够快速将攻击思路转化为实践,高效开展攻击工作。
二,目标网情搜集
1 何为网情搜集
网情搜集是指围绕攻击目标系统的网络架构、IT资产、敏感信息、组织管理与供应商等方面进行的情报搜集。网情搜集是为蓝队攻击的具体实施做情报准备,是蓝队攻击工作的基础,目的在于帮助蓝队在攻击过程中快速定位薄弱
点和采取正确的攻击路径,并为后两个阶段的工作提供针对性的建议,从而提高蓝队攻击工作效率和渗透成功率。比如:掌握了目标企业的相关人员信息和组织架构,就可以快速定位关键人物以便实施鱼叉攻击,或者确定内网横纵向渗透路径;而收集了 IT资产信息,就可以为漏洞发现和利用提供数据支撑;掌握企业与供应商合作的相关信息,可为有针对性地开展供应链攻击提供素材。而究竟是要补工钓鱼。还是直接利用漏洞攻击,抑或从供应链下手,一般取决于安全防护的薄弱环节究竟在哪里,以及蓝队对攻击路径的选择。
2. 网情搜集的主要工作
网情搜集的内容主要包括目标系统的组织架构、IT 资产、敏感信息、供应商信息等方面:
1组织架构包括单位部门划分、人员信息、工作职能、下属单位等:
2 IT 资产包括城名、IP、C 段、开放端口、运行服务、Wcb 中间件、Web应用、移动应用、网络架构等;
3敏感信息包括代码信息、文档信息、邮箱信息、历史漏洞信息等:
4供应商信息包括合同、系统、软件、硬件、代码、服务、人员等的相关信息。
三, 网情搜集的途径
1.专业网站
1 )Shodan (Shodan Search Engine)。Shodan 是互联网上著名的搜索引擎百度百科里这样描述:"Shodan 可以说是一款“黑暗’谷歌,一刻不停地在寻找着所有和互联网关联的服务器、摄像头、打印机、路由器等。”Shodan爬取的是互联网上所有设备的IP 地址及其端口号,其官网提供了强大的搜索功能。可通过 IP、城名、设备进行条件搜索,获取大量有价值的网络信息。
2)Censys(Attack Surface Management and Data Solutions | Censys)。Censys也是一款用以搜索联网设备信息的新型搜索引擎,其功能与 Shodan 十分相似。与 Shodan 相比,其优势在于它是一款由谷歌提供支持的免费搜索引擎。Censys 搜索引擎能够扫描整个互联网蓝队常将它作为前期侦查攻击目标,搜集目标信息的利器
3)ZoomEye(ZoomEye - Cyberspace Search Engine)。中文名字“钟馗之眼”,是国内一款类似于 Shodan 的搜索引擎。ZoomEye 官网提供了两部分数据资源搜索.网站组件指纹,包括操作系统、Web 服务、服务端语言、Web 开发框架、Weh应用、前端库及第三方组件等;终端设备指纹,主要对 NMAP 大规模扫描结果进行整合
4)FOFA(网络空间测绘,网络空间安全搜索引擎,网络空间搜索引擎,安全态势感知 - FOFA网络空间测绘系统)。FOFA(网络空间资产检索系统)也是一款网络设备搜索引擎,号称拥有更全的全球联网 IT 设备的 DNA 信息,数据覆盖更完整。通过其官网可搜索全球互联网的资产信息,进行资产及漏洞影响范围分析、应用分布统计、应用流行度态势感知等。
5)APNIC(APNIC)。APNIC提供全球性的支持互联网操作的分派和注册服务。通过其官网可对公共 APNIC Whois 数据库进行查询,获取目标网络IP 地址、城名网络服务提供商、国家互联网登记等相关信息
6)CNNIC(首页----中国互联网络信息中心)。CNNIC 负责国家网络基础资源的相关信息维护管理,可提供 Whois 相关查询服务
2.专业开发资源网站
此类网站提供系统开发资源支持,大量开发人员常在此类网站上使用Git或 SVN 进行版本控制。如果有目标系统应用源码被不小心公布在此类网站,常常会导致非常严重的信息泄露。此类网站是蓝队攻击利用的重要途径之一。
1 )GitHub: Let’s build from here · GitHub。GitHub 是世界上最大的代码托管平台,目前有超过5000 万开发者在使用。GitHub 社区是一个致力于分享和传播 GitHub 上优质开源项目的社区平台,用户可从中获取大量开发部署资源。蓝队可以利用该平台搜索目标系统的一些开发信息。
2)Gitee - 基于 Git 的代码托管和研发协作平台。Gitee 是国内厂商推出的基于 Git的代码托管服务,和 GitHub 一样提供开源资源搜索支持,但资源相对较少,
3)十大网盘搜索引擎 - 凌风云。凌风云是国内专业团队在大数据、云计算的基础上精心研发的新一代互联网平台,具备专业的免费资源垂直搜索引擎功能,可搜索百度网盘、新浪微盘、天翼云盘、腾讯微盘等多个网盘中公开分享的资源,支持关键词检索和大量数据库查询。
3.目标官网
目标官网经常会发布一些有关网络建设的新闻消息,这些信息也是蓝队在进行网情搜集时需要的重要信息。在官网上可主要围绕目标组织管理架构、网络建设情况进行信息搜集,可通过关注目标网络建设招标情况、网络项目介绍、设备供应商合作等搜集有价值的信息。
3.社会工程学
社会工程学手段主要从目标系统内部人员入手,通过拉拢、收买等手段间接获取目标系统相关的情况信息来开展网情搜集,常用的手段主要有熟人打听、买通内部人员、与客服沟通来套取和打探等。
4.扫描探测
扫描探测主要是借助扫描工具,对目标网络设备指纹、系统版本、平台架构、开放服务端口进行扫描,以发掘可能存在的漏洞信息。扫描探测主要家。以下几方面的信息搜集。
1)地址扫描探测。主要利用ARP、ICMP 请求目标IP或网段,通过回的消息获取目标网段中存活机器的 IP 地址和 MAC地址,进而掌握拓扑结构,
2)端口扫描探测。端口扫描是扫描行为中用得最多的,可以快速获取目标机器开启端口和服务的情况。
3)设备指纹探测。根据扫描返回的数据包匹配 TCP/IP 协议栈指纹来识别不同的操作系统和设备。
4)漏洞扫描。通过扫描等手段对指定的远程或本地计算机系统的安全脆疆性进行检测,发现可利用的漏洞。漏洞扫描可细分为网络漏扫、主机漏扫、数据库漏扫等不同种类。