本文详细介绍了蓝队在攻防演练中的几种经典攻击策略,包括正面突破工控设备、社工钓鱼、冒充客户、混淆流量躲避侦察、供应链定点攻击和近源渗透。通过情报搜集、漏洞利用、社工手段等,蓝队成功突破网络防御,获取了目标系统的控制权限。这些案例展示了攻击者如何利用网络的薄弱点进行渗透,并强调了网络安全防御的重要性。
蓝队经典攻击实例
实战攻防演练中红队网络的部署情况各有特点,蓝队也会根据攻 击目标的不同而采取不同的攻击策略和手段。下面几个案例展示的就 是针对红队网络的不同薄弱点采取的不同的典型攻击策略与方法手 段。
正面突破:跨网段控制工控设备
某企业为一家国内的大型制造业企业,其内部生产网大量使用双 网卡技术实现网络隔离。在本次实战攻防演练中,攻击队的目标是获 取该企业工控设备的控制权限。
经过前期的情报搜集与分析,攻击队制定了首先突破办公内网, 再通过办公内网渗透进入工控网的战略部署。
(1)突破办公内网
攻击队首先选择将该企业的门户网站作为突破口,并利用一个 0day漏洞获取了该门户网站的应用及操作系统的管理员权限,从而获 取到该企业办公内网的接入权限。
在横向拓展过程中,攻击队又探测到该企业内网中的多个服务系 统和多台服务器。使用已经获得的门户网站管理员账号和密码进行撞 库攻击,成功登录并控制了该企业内网中的绝大多数服务器。这表 明,该企业内网中有大量系统服务器使用了相同的管理员账号和密 码。
至此,攻击队突破办公网的第一阶段目标顺利完成,并取得了巨 大的战果。接下来的目标就是找到工控网络的突破口。
(2)定位运维人员
经过对已攻破服务器系统的全面排查,攻击队发现,有多台服务 器中存储了用Excel明文记录的密码本,密码本中包含所有系统用户的 账号和密码。同时,服务器上还明文存储了大量内部敏感文件,包括 企业IT部门的组织架构等信息。结合组织架构及密码本信息,攻击队 成功定位到一位工控系统的运维人员,并对其联网行为展开长时间的 监控。
(3)突破工控网
经过一段时间的监控,攻击队发现该运维人员的办公终端上有嵌 套使用远程桌面的情况:首先通过远程桌面登录一台主机A,继而又用 主机A通过远程桌面登录另一网段的主机B。通过与密码本比对,发现 主机A和B都是该企业工控系统中的主机设备,但处于网络拓扑结构中 的不同层级。其中,主机B之下连有关键的工控设备。
进一步分析发现:主机A使用了双网卡,两个网卡分别对应不同网 段,但它们之间没有采取任何隔离措施;主机B也是一台双网卡主机, 其上部署了隔离卡软件用于双网卡切换。
最终,攻击队发现了主机B上隔离卡软件的一个重大设计缺陷,并 利用该缺陷成功绕过双网卡的隔离机制,成功获取到工控设备的操作 权限,可以随意停止、启动、复位相应的工控设备,某些操作可对设 备的生产过程造成直接且严重的伤害。
同时,攻击队的另一组人马继续摸排受控主机的用途和存储文 件。功夫不负有心人,攻击队最终又发现一台名为“生产主操作室” 的主机设备,其上存储有生产专用的文件,其中有一些涉密文件,这 些涉密文件一旦被窃取,后果难以想象。
浑水摸鱼:社工钓鱼,突破系统
某企业为一家国内的大型国有企业,该企业部署了比较完善的网 络安全防护设备。在本次实战攻防演练中,攻击队的目标是获取该企 业财务系统的控制权限。
经过前期的情报搜集与分析,目标企业外网的开放系统非常少, 也没有可利用的漏洞,很难直接突破目标外网,于是攻击队将突破重 点放在了钓鱼上。
(1)破解员工邮箱密码
攻击队通过网上搜索以及搜索一些开源社工库,搜集到一批目标 企业的工作人员邮箱列表。掌握这批邮箱列表后,攻击队便根据已泄 露的密码规则、123456和888888等常见弱口令、用户名与密码相同、 用户名123这种弱口令生成了一份弱口令字典。利用hydra等工具进行 爆破,攻击队成功破解一名员工的邮箱密码。
(2)改造和伪装钓鱼邮件
攻击队对该名员工的来往邮件进行分析后发现,他是IT技术部员 工。查看该邮箱发件箱,看到他发过一封邮件,邮件标题和附件如 下。
标题:关于员工关掉445端口以及3389端口的操作过程 附件:操作流程.zip
攻击队决定浑水摸鱼,在此邮件的基础上进行改造和伪装,构造 钓鱼邮件,邮件标题和附件如下。其中,zip文件为带有木马的压缩文 件。
标题:关于员工关掉445端口以及3389端口的操作补充 附件:操作流程补充.zip
(3)根据身份精准钓鱼
为提高攻击成功率,通过对目标企业员工的分析,攻击队决定向 财务部门以及几个与财务相关的部门群发邮件。
攻击队发送了一批邮件,有好几个企业员工都被骗,打开了附 件。控制了更多的主机,继而便控制了更多的邮箱。在钓鱼邮件的制 作过程中,攻击队灵活根据目标的角色和特点来构造。譬如在查看邮 件过程中,发现如下邮件:
尊敬的各位领导和同事,发现钓鱼邮件事件,内部定义为19626事 件,请大家注意后缀为.exe、.bat等的邮件附件。
攻击队同样采用浑水摸鱼的策略,利用以上邮件为母本,以假乱 真地构造以下邮件继续钓鱼:
尊敬的各位领导和同事,近期发现大量钓鱼邮件,以下为检测程 序……
附件:检测程序.zip
通过不断地获取更多的邮箱权限、系统权限,根据目标角色针对 性地设计钓鱼邮件&
最低0.47元/天 解锁文章
1188
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
