当对主要目标的攻击无法实现或找不到突破点时,可以从供应链的角度进行尝试。收集和摸清使用的供应链产品或者供应链企业,在这些供应链或者企业上寻找漏洞,得到新的攻击路径或者切入点,就能够从源头上上摧毁信任。一般而言,在攻防对抗中供应链切入有以下两种思路:
第一,收集和排查目标系统中使用的供应链,用了哪些第三方产品或哪些厂家提供的产品或者服务,可以收集对应的漏洞,或者找到源码进行审计,储备0day。
第二,收集提供开发或者服务的供应链企业或者下属单位,下属监管单位等,可能存在直通内网或者专网互联的情况。
第三,供应商信息收集,红队在发起攻击前,会尽可能多的搜集攻击目标信息,做到知己知彼,直击目标最脆弱的地方。攻击者搜集的信息包括:目标组织的人员信息、邮箱,VPN,组织架构、网络资产、技术框架及安全措施信息。分支机构、关联公司、外包公司、投资公司等等。一方面,攻击者会在公开渠道收集信息,如:搜索引擎、GitHub、社交网络、ICP、备案库、BGP归属、社工库、Fofa 、shodan、官方网站、主域名、子域名,旁站;利用证书透明原则、目标组织的TLS/SSL证书等手段监控新部署资产信息从而进行打新。另一方面,攻击者也会利用自动化工具或平台进行目标资产梳理,精准识别资产指纹,记录攻击目标资产的详细类型,以便对应到可进行利用的漏洞。此外,利用社会工程学类进行信息收集的行为也不可小觑,包括:邮件钓鱼、伪装接近关键人物、伪装潜入核心办公区、记录工牌样式、大楼门卫换班情况等。
2.攻击过程
第一阶段:利用自动化工具
自动化工具是安全攻防中的神兵利器,可以提升攻击的效率,让攻击事半功倍,常见的工具如下:
- 外网攻击:综合漏洞扫描器;全面信息资产探测收集和跟踪工具;特定漏洞一键webshell工具;账号爆破工具;防护设备绕过工具等。
- 内网攻击:自动化内网信息扫描收集工具;内网横向移动和纵向工具,特定漏洞的提权工具。
- 主机远控与免杀:主机的漏洞利用提权工具;0day;免杀木马;远控工具等。
同时,通过自动化工具与人工结合,既能保证正确率,又能提升效率,常用的手段如下:
- 高频攻击:口令爆破;重放攻击;漏洞扫描;后台文件和敏感信息探测等
- 敏感信息收集:SVN信息获取;Git信息泄露;未授权页面等
- 敏感端口获取:常见的应用以及特殊服务端口扫描探测。
第二阶段:抽丝剥茧,揭开迷雾
常见攻击流程或者思路,攻击方一般会优先采用自动化工具进行扫描和突破,若无成效,再采用手工方式抽丝剥茧,揭开迷雾,逐个系统进行地毯式的深度探测和漏洞挖掘利用。绕过边界的防护设备是必备手段,只有成功突破这一道防线,才可以继续向靶标系统进攻。
基于攻击的特点,攻击队会有以下几种技能或者知识储备:基于市面上常见WAF绕过技能或者方法储备,研究常见的的HIDS或者EDR的0day;或者整合积累常见防御设备的绕过方法和思路以及利用绕过工具的搜集;编写或者储备一些免杀的webshell。
第三阶段:留后门,痕迹清理
可通过netcat留后门:
在网络工具中有“瑞士军刀”美誉,下载解压后将文件夹路径添加到系统变 量path中或切换到该工具所在文件夹运行。
命令参数使用说明:
攻击者 连接目标: nc [-选项] [主机名] [端口](多个端口空格隔开)
被攻击端 监听端口: nc -l -p 端口号(本地) [选项] [远程主机名] [远 程端口号]反向连接攻击者主机
-h:查看帮助文档
-e: 程序重定向 一旦攻击者连接就执行程序
-l:监听模式,用于入站连接
-p :本地端口号
-t:以TELNET的形式应答入站请求
-v/-vv:输出详细信息
Linux 日志文件一般包括如下:
(1) /var/log/messages:每一行包含日期、主机名、程序名,接着是PID或内核标识,最后是消息;文本文件
(2) /var/log/wtmp:永久记录每个用户登录、注销及系统的启动和关机事件,用来查看用户的登录记录,last命令通过访问这个文件获得信息;二进制文件,使用last命令查看
(3) /var/run/utmp:记录有关当前登录的每个用户的信息,文件内容随着用户登录和注销系统而不断变化,它只保留联机用户的记录,不会保留永久记 录,系统程序如who、w、users、finger等就需要访问这个文件;二进制文件,使用w命令查看
(4) /var/log/lastlog:记录最近几次成功登录的事件和最后一次不成功的登录事件;二进制文件 使用lastlog命令查看
(5) /var/log/syslog:记录所有的系统事件