上半年的攻防演习刚刚结束,红蓝双方一攻一守对战十几天。红队(攻击方)使尽各种解数进行模拟攻击,誓要将蓝队(防守方)的“内网打穿”。
在演习结束后,我们盘点了红队常用的攻击方(套)式(路),以作为演练参考和总结。
在演习全程,红队一般是针对目标系统、人员、软件、硬件和设备同时执行的多角度、混合、对抗性的模拟攻击;通过实现系统提权、控制业务、获取数据等目标,来发现系统、技术、人员和基础架构中存在的网络安全隐患或薄弱环节。
总的来说,红队的工作可分为三个阶段,情报收集、建立据点和横向移动。
在情报收集阶段,红队在攻击前会收集目标项目的组织架构、IT资产、敏感信息泄露和供应商信息等各个方面。
** 情报搜集**
通常分为三种,主动收集、被动收集、社工收集。主动收集包括对目标域名的采集、主机和web系统漏洞扫描;被动收集通常是通过Shodan、Google、Github、Maltego等工具或平台完成。社工收集则是通过一些社工手段来收集目标企业的信息,如企业邮箱、微信、微博等企业员工信息等。
** 建立据点**
一般是通过漏洞利用、社工方法等方式获取外网系统控制权限,在业内通常叫“打点”或者撕口子。
这些手段可以帮助红队绕过WAF、IPS、杀毒软件、等防护设备或软件,寻找和内网联通的通道进行深入渗透或纵向渗透(由外到内)。
找到“点”或口子之后,红队会利用该点作为外网进入内网的根据地,通过frp、ewsocks、reGeorg等工具在该点建立隧道,形成外网到内网的跳板,并成为内网渗透的坚实据点。
另外,红队还会利用系统、程序或服务漏洞进行提权操作,以获得更高权限。
** 横向移动**
它是指红队在本机及内部网络开展进一步信息收集和情报刺探工作。红队会利用内网的弱点来进行横向渗透扩大战果。
在内网渗透时,红队会重点关注邮件服务器权限、OA系统权限、版本控制服务器权限、集中运维管理平台权限、统一认证系统权限、域控权限等位置,努力突破核心系统权限、控制核心业务、获取核心数据。
就具体攻击战术而言,红队通常使用以下方法:
1、利用PowerShell,命令和脚本解释器
PowerShell和Windows Command
Shell是最常用的攻击手法之一。因为这些工具是Windows自带的,所以蓝队很难确定它们是否受到了攻击。
这就是所谓的“靠山吃山”,攻红队不需要在目标网络中埋伏攻击工具。相反,红队使用已经安装的现有PowerShell。(蓝队如果要监视PowerShell和基于命令行的攻击,可以使用Sysmon等工具来确保捕获日志。)
寻找可疑的cmdlet或任何其他需要解码以进行调查的模糊命令。从普通的PowerShell模式中找出恶意的模式是一项不小的工作量。
蓝队可以启用Windows安全日志4688事件的记录功能,该事件对应进程创建操作,在进程创建过程中会产生大量事件,但使用基本的过滤条件就可以过滤常规内容,梳理出新的或者恶意的使用警告,监控PowerShell进程创建过程中传递的命令行参数。
虽然蓝队可以使用上述方式防守,但红队只要在PowerShell中一点简易的混淆技术就可以绕过静态匹配机制。
例如,混用大小写字母、拼接字符串、使用转义字符、用数字代替等等方式,都可以轻松逃过监察。
2、签名的二进制进程执行
Rundll32和Mshta都允许红队通过可信的签名二进制文件创建恶意代码。同样,红队使用的是现有的攻击序列,并不是讲外部工具带入目标网络,所以同样无法被检测到。
虽然蓝队可以为恶意使用的Rundll32设置警报,但由于警报在系统中的日常使用,很难对警报进行微调,所以蓝方需要在网络中建立一个基线。
3、伪装及内网渗透
红队会通过重命名系统工具等手段来绕过控制和检测。还会选择http、dns以及一些穿透性相对较好的tcp端口,配合wmi、smb、ssh远程执行,在内网批量快速识别能出网的机器。
** 4、套路战术**
弱口令战术是红队常用的套路战术之一,即通过弱密码、默认密码、通用密码和已泄露密码获得权限。
例如著名的SloarWinds供应链攻击事件,被暴出的密码就是弱密码SolarWinds123。
常见的弱密码例如123456、生日、身份证后六位、手机号、666666、888888、admin123等等。还有用户喜欢在不同网站用用一个密码。
** 5、网络钓鱼**
钓鱼式攻击是红队的主要攻击方向之一,在进行钓鱼攻击之前,红队会先创建目标列表,识别安全产品,然后选择钓鱼式攻击的主题。
前期搜集信息一般会有以下方式:搜索与目标电子邮件地址相关的公开密码库、GitHub、pastebin等。
也可以发送电子邮件到一个不存在的账户,等待返回错误信息,通过错误邮件返回的邮件信息,可以判断对方邮件服务器使用的安全软件,配置的安全策略等。
红队常使用的钓鱼主题有:员工问卷调查、内部组织架构升级、会议安排等。而人力资源与行政部则是经常被盯上的钓鱼攻击对象。
6、过程注入
红队使用各种注入方法来获得对系统的更多访问权。
7、模糊的文件或信息
红队有时会使用Base64编码等工具来隐藏攻击进程和行为。
8、系统服务
红队使用Windows服务管理器来运行命令或安装服务。
信息
红队有时会使用Base64编码等工具来隐藏攻击进程和行为。
8、系统服务
红队使用Windows服务管理器来运行命令或安装服务。
网络安全学习路线
这是一份网络安全从零基础到进阶的学习路线大纲全览,小伙伴们记得点个收藏!
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-gmgATVXZ-1690874437907)(data:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==)]编辑
阶段一:基础入门
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-Dgn7n0Kp-1690874437909)(data:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==)]
网络安全导论
渗透测试基础
网络基础
操作系统基础
Web安全基础
数据库基础
编程基础
CTF基础
该阶段学完即可年薪15w+
阶段二:技术进阶(到了这一步你才算入门)
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-I0G8a4rl-1690874437910)(data:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==)]
弱口令与口令爆破
XSS漏洞
CSRF漏洞
SSRF漏洞
XXE漏洞
SQL注入
任意文件操作漏洞
业务逻辑漏洞
该阶段学完年薪25w+
阶段三:高阶提升
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-rD8bUnlY-1690874437911)(data:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==)]
反序列化漏洞
RCE
综合靶场实操项目
内网渗透
流量分析
日志分析
恶意代码分析
应急响应
实战训练
该阶段学完即可年薪30w+
阶段四:蓝队课程
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-K4cDjky0-1690874437911)(data:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==)]
蓝队基础
蓝队进阶
该部分主攻蓝队的防御,即更容易被大家理解的网络安全工程师。
攻防兼备,年薪收入可以达到40w+
阶段五:面试指南&阶段六:升级内容
需要上述路线图对应的网络安全配套视频、源码以及更多网络安全相关书籍&面试题等内容
如果你对网络安全入门感兴趣,那么你需要的话可以点击这里👉网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!
同学们可以扫描下方二维码获取哦!