從攻守日志看網絡江湖的快意恩仇
網絡江湖門派眾多,路由派、交換派、無線派、網關派…,其中紅方和藍方兩派特立獨行,不為爭奪霸主之位,只為了切磋攻防技藝,常常開展紅藍對決。藍方以控制業務、盜取機密信息為目標,用最接近真正APT的攻擊方式,挑戰紅方最真實的網絡防護能力。紅方則需要通過分析網絡流量還原藍方攻擊鏈,雙方在確保業務平穩運行的前提下,以企業真實網絡環境開展實兵對決。
小生不才,偶入江湖一樓,目睹紅藍兩派刀光劍影,你來我往,好不快哉。
各路招式匆匆記錄在冊,若他日參與其中,或攻或守,豈不是能輕車熟路?
藍:顧盼間乾坤倒轉
特殊弱口令
藍方某小隊通過對收集的信息進行分析,發現多個目標系統存在暴力破解威脅,結合以姓名作為用戶名的系統特性,較多公司員工使用公司名稱及其變形作為密碼的習慣,編寫弱口令字典并成功爆破得到約20個賬號。憑借這些賬號,逐一登錄多個內網目標,獲取到多份敏感數據,并利用這些賬號得到多個Web系統的管理員權限。
賬號劫持
在攻擊時藍方發現C系統版本老舊,存在一個遠程代碼執行漏洞。利用這個漏洞藍隊成功寫入了一句話木馬,分析文件時又發現該系統存在弱口令賬號,利用弱口令成功切換賬號并完成提權操作,最終順利拿下服務器,為了防止權限丟失,還為root賬號添加了公鑰以備不時之需。
但藍方并沒有因為拿下系統權限而減弱攻勢,而是利用其作為跳板做進一步的攻擊。C系統存在一個登錄頁面,藍方在Web登錄頁面中添加了Javascript代碼,使每個用戶通過Web登錄時將用戶名、密碼發送給攻擊者,利用了C系統登錄劫持,藍方嗅探到多個內網賬號密碼。成功登錄大量系統,其中包括核心系統,從中發現了大量核心數據和資源管理賬號密碼。
虛機克隆
藍方對賬號劫持中獲取的賬戶繼續分析,發現部分賬號在某些系統具有較高權限。藍方使用某獲取的賬號登錄內部倉庫管理業務。通過分析發現該平臺可以基于快照創建虛擬機。藍方一頓操作刀光劍影,使用修改后的管理員密碼登陸了克隆G系統獲取到該系統管理的所有倉庫。
當然,藍方的成果遠不止這些,從本次對抗的結果來看,藍方收獲頗豐,他們以千姿百態的攻擊繞過方式,成功攻下六個業務系統不同級別的權限和大量的敏感數據。
紅:籌謀間了然于心
雖然藍隊攻勢兇猛,但紅方早有防備,提前對安全問題的系統進行了整改和防護,對業務系統進行升級和部署基礎防護設備外,還主動對業務系統發起了檢查,包括:漏洞掃描、后門檢測、弱口令檢測和環境準備。
在此次紅藍對抗中,紅方監測到藍方三個小分隊:Webshell狂魔、爆破狂魔、木馬狂魔發起的133次攻擊事件,紅方也成功利用各團隊上報的攻擊事件還原了藍方的多條攻擊鏈。
攻擊鏈還原1:對C系統的攻擊還原
紅方成員分析了平臺產生的大量C系統攻擊告警,包括Webshell后門訪問、PHP代碼執行漏洞、跨站腳本攻擊等事件,最終將攻擊者定位到了藍方花無缺,他以C系統的某文件作為突破口,利用PHP代碼執行漏洞執行phpinfo函數,隨后結合遠程代碼執行漏洞和SQL注入漏洞成功寫入Webshell,通過andSword工具成功進行Webshell入侵。與此同時,紅方發現藍方成員張無忌也對C系統發起了攻擊,攻擊方法包括:木馬后門訪問、RCE漏洞攻擊、暴力破解、任意文件上傳等,并利用暴力破解得到多個賬號密碼。
攻擊鏈還原2:從攻擊者角度進行攻擊還原
多個平臺產生了對B系統和F系統的攻擊告警日志,經分析發現這些攻擊均來自兩個固定的攻擊者。其中,紅方通過TAM記錄的日志發現藍方成員張無忌和周芷若向B系統發起了大量的HTTP請求,從記錄的HTTP訪問日中發現提交的內容極為相似,只變換了用戶名和密碼,據此可確認為針對B系統的暴力破解攻擊;同時,還通過分析HTTP響應內容和響應長度可以確認這兩位攻擊者成功爆破并得到多個賬號密碼,并利用獲取到的賬號成功登錄了C系統和F系統,因為這兩名攻擊者習慣用暴力破解的方式進行攻擊,所以,紅方封二位為爆破狂魔。
攻擊鏈3:B系統攻擊還原
次日,多平臺檢測到E系統遭受攻擊,通過日志分析最終鎖定攻擊者為藍方成員虛竹。鎖定攻擊者后根據源IP發現,該攻擊者在當天便已經對E系統發起過XSS攻擊,而告警則是藍方花無缺利用了E系統的任意文件上傳漏洞上傳了文件名為s.cgi的Webshell文件,通過分析還發現該Webshell的連接密碼為fh198,在shell中存在ls/pwd等操作命令,但通過分析HTTP訪問日志發現,攻擊者并未對Webshell成功訪問。此外,通過日志還發現藍方成員虛竹還對系統多個系統發起了攻擊,其攻擊方法多以上傳shell為主。
從敵人破綻中反擊
進攻無論怎樣犀利,反擊總會到來。紅方也并非完全采用被動的方式進行攻擊監測,也采用了主動出擊的方式來發現更多的攻擊。他們通過已掌握到的信息成功抓取到藍方成員段譽的賬號,并利用其賬號登錄郵箱向藍方成員發送了釣魚郵件,引誘藍方入網,但藍方很快發現自己身份已經暴露,采取積極措施后成功避免了被紅方所利用。
鮮衣怒馬,逐鹿江湖,知己知彼,攻守自如。兩方通過此次對抗,深入發現、整改企業內外網網絡資產和業務數據深層次的安全隱患,整合內部安全威脅監測發現能力、應急處置能力和安全防護能力,此役之后,雙方將采取措施提高企業安全防護管理,完善企業安全防護技術體系。綠盟科技可為企業客戶提供紅藍對抗服務,整合攻防能力、設備防護能力以及平臺運營能力,為企業安全保駕護航。
