本文详述了内网存在的安全问题,如VLAN隔离不严、权限混乱、服务开放过多、设备固件过时及口令管理不当等,导致内网防守薄弱。蓝队利用内网漏洞、口令复用或弱口令、安全认证信息及钓鱼、水坑攻击等手段进行横向拓展,其中内网漏洞利用和口令问题尤为突出。内网钓鱼和水坑攻击因内网信任关系而成功率较高。强调了内网安全认证信息获取在横向拓展中的关键作用,并列举了多种可能被利用的安全认证信息源。
大多数内网存在VLAN跨网段隔离不严、共享服务器管理或访问权 限分配混乱、内部数据或应用系统开放服务或端口较多、内网防火墙 或网关设备固件版本陈旧、终端设备系统补丁更新不及时等问题,导 致内部网络防守比较薄弱,所以蓝队在内网横向拓展中采取的手段会 更加丰富多样。同时,因为内网具有通联性优势,所以内网横向拓展 工作主要围绕通联安全认证的获取与运用开展,主要途径有以下几 种。
内网漏洞利用
内网漏洞利用是内网横向拓展最主要的途径。进入目标内网后, 蓝队能接触到目标网络内部更多的应用和设备,这些内网目标存在比 外网多得多的漏洞,漏洞类型也是各式各样。
内网漏洞往往具有三个特点:一是内网漏洞以历史漏洞为主,因 为内网多受到业务安全限制,无法直接访问互联网,各类应用和设备 漏洞补丁很难及时更新;二是漏洞利用容易,内网通联性好,端口服 务开放较多,安全策略限制也很少,这些都为内网漏洞利用提供了极 大的便利;三是内网漏洞多具有通用性,因为目标网络多有行业特 色,内网部署的业务应用、系统平台多基于同一平台或基础架构实 现,容易导致同一漏洞通杀各部门或分节点的情况。
上述特点导致内网漏洞利用难度很小,杀伤力极大,因此内网拓 展中的漏洞利用成功率非常高,造成的危害往往也非常严重,尤其是 内网中的综管平台、堡垒机、OA系统、内网邮件服务器等重要网络节 点若是存在漏洞,往往会导致整个网络被一锅端。比如:历年实战攻 防演练中,经常被利用的通用产品漏洞就包括邮件系统漏洞、OA系统 漏洞、中间件软件漏洞、数据库漏洞等,这些漏洞被利用后,攻击队 可以快速获取大量内网账户权限,进而控制整个目标系统(见图2- 30)。
口令复用或弱口令
口令复用或弱口令是内网横向拓展中仅次于内网漏洞利用的有效 途径。受“处于内网中被保护”的心理影响,一般目标内网中口令复 用和弱口令情况普遍存在。口令复用的原因主要有两个:一是内网多 由少数几个固定的人维护,运维人员出于省事的目的,喜欢一个口令 通用到底;二是内网经常需要部署大量同样类型的服务器或应用,多 直接通过克隆实现,但在克隆部署完毕后也不对初始密码等关键信息 进行修改。弱口令则是内网安全防护意识不足导致的,使用者以为在 内网一切都可以安枕无忧,没有认识到内网安全和外网安全具有同等 的重要性。
图2-30 SMB漏洞是内网重要拓展手段
口令复用或弱口令极易导致内网弱认证,另外,使用者为贪图内 网办公方便,而往往将内网服务器和应用安全访问策略设置得比较宽 松,也为蓝队在内网横向拓展中利用口令认证仿冒渗透提供了很大的 便利。比如:在实战攻防演练中,经常会碰到目标内网存在大量同类 型服务器、安全设备、系统主机使用同一口令的情况,攻击者只要获取一个口令就可以实现对大量目标的批量控制;再有就是内网的一些 集成平台或数据库,被设置为自动化部署应用但其默认口令没有修 改,被利用的难度几乎为零。
安全认证信息利用
内网安全认证信息包括搜集服务器自身安全配置、远控终端配 置、口令字典文件、个人主机认证缓存或系统口令Hash等。这些安全 认证信息的利用是蓝队攻击过程中实现内网横向拓展的重要途径,因 为蓝队在内网横向拓展的最终目的就是获取内网控制权限,而内网控 制权限的大小与获取内网安全认证信息多少密切相关。有效的内网安 全认证信息可以使蓝队快速定位关键目标并实现接入拓展,可以说,
一切内网横向拓展的工作都需要围绕安全认证信息的获取来进行。内 网安全认证信息获取的重点有以下这些:
-
重要口令字典文档或配置文件,包括网络拓扑文件、口令文 件、各类基础服务安全配置文件;
-
Windows凭据管理器或注册表中保存的各类连接账号密码、系统 组策略目录中XML里保存的密码Hash;
-
邮件客户端工具中保存的各种邮箱账号密码,包括Foxmail、 Thunderbird、Outlook等;
-
远控客户端保存的安全认证信息,比如VNC、SSH、VPN、 SVN、FTP等客户端;
-
Hash获取的口令信息,比如域网络用户Hash、个人主机用户 Hash、网络用户token等;
-
各类数据库账号密码,包括数据库连接文件或数据库客户端工 具中保存的各种数据库连接账号密码;
-
浏览器中保存的各种Web登录密码和cookie信息,包括IE、 Chrome、Firefox、360浏览器、QQ浏览器等(见图2-31)。
图2-31 IE浏览器缓存认证获取示例
内网钓鱼
不同于外网钓鱼存在条件限制,内网钓鱼具有天然的信任优势可 以利用,所以内网钓鱼的成功率要高得多。蓝队在内网钓鱼中追求的 是一击必中,对目标的选择具有很强的针对性,主要针对网络安全运 维人员、核心业务人员这些重要目标,因为攻下了这些目标,就意味 着可以获取更大的网络控制权限和接触核心业务系统的机会。内网钓 鱼的途径比较多,可以借助内网邮件、OA与内网移动办公系统等。主 要有两种情况:一种是在控制内网邮件、OA、移动办公系统服务器的 情况下,利用这些系统管理权限统一下发通知方式定向钓鱼;另一种 是在获取内网有限目标的情况下,利用在控目标通过内网邮件、OA、 移动办公系统的通联关系,冒充信任关系钓鱼。
内网水坑攻击
水坑攻击,顾名思义,是在受害者必经之路设置一个“水坑” (陷阱)。常见的做法是黑客在突破和控制被攻击目标经常访问的网 站后,在此网站植入恶意攻击代码,被攻击目标一旦访问该网站就会 “中招”。蓝队在实战攻防演练中用到的水坑攻击途径更加丰富多
样,除了内部网站恶意代码植入,内网文件服务器文件共享、软件服 务器软件版本更新、杀软服务器病毒库升级和内部业务OA自动化部署 等,都可以作为内网水坑攻击的利用方式。和内网钓鱼一样,因为有 内网信任关系,蓝队在实战攻防演练中用到的水坑攻击效率也比较 高。
1347
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
