浅析网络攻击中攻击者思路
2021-10-29蒙忠爽
◆蒙忠爽
浅析网络攻击中攻击者思路
◆蒙忠爽
(交通银行股份有限公司 上海 200120)
伴随着信息时代的发展以及计算机技术的不断迭代更新,信息系统的安全在企业的中占据着愈来愈重要的权重,国家对信息安全也愈来愈重视。与此同时,针对相关大中型企业的网络攻击的数量也在不断增加。本文结合具体的现实案例,主要分析了在网络攻击中,攻击者完成攻击行为的流程以及思路,并对相应的攻击方式提出防御措施,与大家一同探讨。
网络攻击;企业防护;外网攻击;横向渗透
众所周知,攻击者在入侵相关的企业网站时,通常通过各种方式,无论是针对目标系统、硬件、软件还是企业人员,执行多种角度的攻击行为,最终取得目标企业的重要服务器或者主机的控制权限,从而方便其搜集、传输、下载所需的企业的内部信息和隐私数据。
1 信息收集
攻击者第一步是对暴露在互联网上的信息进行大范围的收集,既包括主域名,也包括其下属的子域名。对于某些特定的C段地址,端口banner信息,也会成为攻击者想要搜寻的目标。
1.1 whois域名及Google hacker
针对whois信息可以从多个专门的网站如https://who.is/和http://whois.chinaz.com/等获取到,可以找到网站注册人、相关邮箱、以及DNS解析的服务器相关信息。而子域名是指在企业顶级域名下的域名,作为总集团下,倘如作为其子公司或者关联机构,其站点皆属于子域名。相比于母公司的站点,子公司防护措施较为薄弱,具有一定的脆弱性,重视程度也会较低。在信息搜集阶段,收集的子域名越多,攻击者能够攻击测试的目标就越多,进行下一步渗透工作的成功率也越大。往往在主站的界面上找不到突破口,攻击者会从子域名入手,低维向高维度逐级渗透。
Google hacker是一种在因特网络上使用谷歌搜索引擎以及相配套的其他的谷歌应用,寻找上线布置的网站代码中的相关配置漏洞和安全缺陷的方法。诚然,Google hacker只是一种抽象化的描述,包括但不仅限于诸如Google、百度、搜狗、bing等搜索引擎。作为非常强大的搜索引擎,同时也是一个有用的黑客工具。攻击者可以通过使用简单的google dorks破解一个网站,获取到其WEB站点中存在的漏洞,进而得到用户个人数据资料。利用Google dorks,如图一所示,攻击者能够获得关于部分企业网站的数据库配置的详细信息,既包括用户名、密码,又包括主站目录列表。
图1 Google hacker实例
1.2 相近的C端
在攻击者眼中的C端,并不表示网络中的C段地址,而是和其所要攻击的目标服务器的IP地址处在同一个C段的其他的最多254个相似服务器,也就是子网掩码为255.255.255.0/24中的IP地址段。因为大多数的中型乃至于大型的企业,基本上使用的都是自建托管机房。为了更加方便运维操作,公司之中的相关的业务数据和服务器通常都会部署在同一个C类的子网中,这也就为安全性埋下了一定的隐患,也增大了攻击者可以利用的空间。
1.3 敏感banner信息
正常的情况下,服务器在收到请求的时候会返回banner。banner信息在界面中的作用是展示欢迎语。然而其中会包含一些诸如端口、软件开发商、软件名称、服务类型、版本号等敏感信息。在渗透测试中,典型的 4xx、5xx 信息泄露就属于 banner 泄露的一种。版本号有时候就会存在公开的 CVE 漏洞,可以直接进行攻击利用。攻击者一般通过nmap、dmitry等扫描工具进行端口banner的信息获取。
2 打击外网系统
在攻击者搜集到足够的信息之后,就能够有针对性地对企业们公布在互联网上的系统和网站进行攻击。企业开放了大量因特网上的服务器,部分的服务器由于上架时间过久、运维人员的管理疏忽等原因,存在很多可利用的漏洞未被及时修复,而这也为攻击者的下一步攻击提供了契机。
图2 通过nmap探测banner信息
2.1 漏洞直接利用
攻击者进行漏洞攻击的方式有很多种,从常见的XSS跨站脚本攻击、SQL注入、非法文件上传,到CSRF (跨站请求伪造Cross-site request forgery),cookie安全检测,敏感信息泄露,通信数据传输,字典暴力破解,文件包含,重放攻击,以及使用漏扫工具。
根据前一步骤所搜集到的信息,漏扫会扫描目标企业在公网上存在的漏洞。常见的漏洞扫描技术分为CGI(Common Gateway Interface公用网关接口)扫描、弱口令扫描、操作系统的漏洞扫描和针对数据库的漏洞扫描。
除此之外,有些攻击者甚至可以对某些曝光的CVE漏洞开发专门的扫描工具进行使用,RPC(Remote Procedure Call)漏扫就是其中的一种类型。这种“远程过程调用”是利用了操作系统之间的消息传递功能的缺陷,是微软公司在设计系统时遗留下的缓冲区溢出漏洞。RPC可以使远程攻击者获得SYSTEM权限,其实质是攻击者对DCOM分布式组件的对象模型接口进行客户端的远程请求,通过缓冲区溢出实现命令执行。进而获得目标主机的控制权。虽然Windows已经专门这一漏洞(MS03-026)发布了相对应的补丁,但也无法保证下发安装到每一台受影响的版本终端,这就给予了攻击者可乘之机。ISS公司就曾经根据这一漏洞的补丁开发出扫描器scanms.exe,通过scanms.exe可以探测某网段下的RPC漏洞补丁安装情况,如下所示:
C:>scanms.exe 192.168.0.1-192.168.0.254
192.168.0.2 [Windows XP] [ptch] [ptch] 5.6
192.168.0.5 [unknown010] [????] [VULN] 0.0
192.168.0.10 [Windows XP] [ptch] [ptch] 5.6
192.168.0.55 [Windows XP] [ptch] [ptch] 5.6
第二行的192.168.0.5此IP地址回显[VULN],即表示终端未安装DCOM接口的补丁文件,攻击者可以有目的性地采用cndcom.exe对192.168.0.5机器进行RPC溢出攻击,添加自己的用户名和密码作为管理员进行命令执行,获得机器的控制权。
2.2 钓鱼邮件攻击
邮件作为企业外网系统中最重要的沟通工具,也最容易成为攻击者的首选目标。对于钓鱼邮件的防护既要求企业的安全设备防护检测能力,又要求员工的安全意识和应急响应能力。如若防护不善,钓鱼邮件会成为突破防御的焦点。
SMTP邮件服务器往往在进行邮件中转的时候未进行认证操作,利用这一特性,攻击者可以进行邮件伪造攻击。在手动搭建的SMTP中继服务器中,攻击者利用telnet命令实现邮件的发送,并在“mail from实际发件人”处任意伪造邮箱发件人。接收方的邮件服务器若没有对所接收邮件进行身份校验,则极有可能直接显示为伪造的发件人,降低收件人的警惕性。
对于邮件的内容,攻击者会构造出具有一定迷惑性的附件和描述,诸如向内部邮箱投递主题为“五一放假通知”的钓鱼邮件,包含五一假期员工福利发放详情,并将附件伪装成doc文档的exe可执行文件。员工用户在无意点击之后,终端则被种下了攻击者恶意的木马程序,能够在开机状态进行非法外联的操作,被攻击者利用为跳板机攻击其他服务器。
3 渗透提权
在取得企业开放在公网上的某一台终端的控制权之后,往往无法获得涉及企业核心关键的信息和数据。由于所获得信息并非其所想,攻击者会利用此机器作为跳板,进行更大范围的企业内网信息收集和情报刺探工作,与此同时还会利用内网的弱点进行横向渗透以扩大战果。一般称此步骤为横向渗透的提权过程。
攻击者会根据版本信息利用新型的0day等方式,重点关注企业的邮件服务器权限,还包括企业办公OA系统、集中运维管理平台权限,这些系统是内网的重要组成部分,涉及核心的业务数据,可以赋予攻击者集中管理操控大多数子终端的权力,以及统一认证系统权限、域控权限等。如上几种皆属于核心的机密服务器,攻击者顺利取得权限,则代表着企业的核心业务已被控制,机密数据也已经泄露。
图3 攻击者网络攻击的简要流程图
4 现实案例复盘
本节来源于一次真实的网络攻击。根据前段时间曝光出来自某OA办公软件的office servlet的getshell 0day漏洞。根据POC知道,漏洞的触发点为seeyon文件夹下的htmlofficeservlet。即com.seeyon.ctp.commom.office.Htmlofficeservlet.class代码中的参数OPTION和FILENAME结合可以提高用户的权限,直接在后台进行文件的任意上传。
攻击者首先在网络上搜寻暴露在公网上的脆弱性系统信息,确认相关的资产范围。
图4 利用FOFA网络测绘进行信息收集
在确认了攻击目标之后,远程攻击者在无需登录的情况下,修改URL为“目标URL/seeyon/htmlofficeservlet”,通过POST请求精心构造的数据即可向目标服务器写入任意文件。首次尝试上传了名称为“test111111”文件,确认上传的文件可以被其服务器任意读写。于是在第二次主动上传了名为“qwer960452.jsp”恶意远控文件,通过内置的命令行取得本机权限。
再利用内网扫描工具探测上一级的OA办公系统,通过内网横向渗透上传动态二进制加密网站冰蝎Web后门文件,取得OA办公系统最终权限。
5 企业防御的对应措施
常言道,兵来将挡水来土掩。攻击者可以采取任何方式和手段进攻和渗透企业的系统和网络,这就需要防守者全方位考虑互联网的出入口以及其他边界网络的监控,从网络、系统、应用和终端多个层面进行安全的布防和监控。若根据攻击者的入侵思路做出对应的防守准备,可以起到事半功倍的效果。在信息收集阶段,仔细对涉及互联网访问的应用系统和网络访问控制策略,并及时回收无效的互联网域名;在攻击者打击外网系统之前,提前完成全覆盖的漏洞扫描工作,将涉及的版本暴露问题及时整改和升级。与此同时进行安全基线的扫描和整改加固,完成集权系统的加固和应用账号的绑定回收策略。若攻击者进入了内网横向渗透阶段,则应立即启动应急响应评估,进行对应分区的下线和断网,在隔离的环境下扼杀有害病毒脚本。下面将从两个角度详细介绍企业防守的手段:
图5 某OA系统的文件上传漏洞
图6 此次攻击全部流程
5.1 流量回溯分析
网络攻击行为稍纵即逝,且无法预测其发生的时间和动作。而企业的运维人员针对历史流量的回溯分析可以对攻击者进行数据溯源,通过全流量构造出攻击者的行为轨迹。流量的回溯以“安全事件产生——通讯会话回溯——流量数据包回溯”的链路执行,在企业安全运维的场景下,可以更好满足精准定位异常情况的需求。在流量回溯设备的部署方面,如今采用旁路镜像流量的部署方式,不会改变网络的配置和架构。旁路复制完全相同的流量,对于正常的业务运行不会产生任何影响。
图7 流量回溯设施的架构图
除了正常的流量回溯之外,企业还可以通过其他防守方式如进行相关特征网络攻击检测,以及对恶意文件的拦截等操作,达到防御的目的。
5.2 蜜罐
上文的流量回溯在大部分情况下是在攻击完成后进行的一个应急处置方法。本节提出的“蜜罐诱捕”利用欺骗伪装的技术手段,从诱捕到发现再到处置,最后溯源攻击源,逐步取得防守的主动权,甚至可以实现反制的目的。
企业设置诱捕蜜罐是为了诱导攻击者进入一个较为真实的环境,攻击者在此进行的所有操作都会被记录、跟踪以及反馈,并且不影响系统的运行。在PC终端部署的蜜罐中,可以根据攻击者上传的内网扫描工具、漏洞复现工具刻画出攻击者的行为画像。除此之外,通过蜜罐内置的信息跟踪装置,可以有效获取到攻击者的基础设备信息,例如常见的远程IP、主机名、连接方式等等。由于蜜罐本身具有足够的安全性且与内网重要设备相隔离,在诱导攻击者进行攻击的过程中,不会成为攻击的突破点。
诚然,除了上文提及的流量回溯和蜜罐诱捕方式之外,企业在防御方面可以使用的工具和手段还有很多,包括但不局限于建立SOC安全运营中心、APT高级持续威胁情报、EDR主机监控等等。除此之外,在平时工作中,仍然需要对集团的互联网资源进行梳理、加固和优化,细化安全工作。加强人员管理的安全意识。从多个维度入手做好安全的防护,提高抵御网络攻击的能力。
6 总结
总而言之,由于网络环境的变幻莫测,攻击者的攻击手段层出不穷。但是对于攻击者的思路而言,总是会需要经过“前期信息收集——中期打击外网——后期渗透提权”的步骤。本文简要分析了攻击者在网络攻击中的思路,并辅以具体的案例信息,从多个角度阐述了企业防御网络攻击的重要性,并根据对应的攻击思路提出解决方案,提高系统的安全可靠性,强化了企业的网络安全体系建设。
[1]冷涛.基于渗透测试理论的信息搜集技术[J].警察技术,2020(04):49-52.
[2]黄波,孙羽壮.XSS跨站攻击原理与调查方法研究[J].网络安全技术与应用,2017(06):50-52.
[3]王林平. 基于内容的电子邮件过滤系统的研究[D].电子科技大学,2010.
[4]薄明霞,唐洪玉,张静.云环境下威胁情报技术与应用综述[J].电信技术,2017(06):46-48+52.
[5]杨红飞.GSN:全面防范DDoS攻击[J].中国教育网络,2005(09):60-61.
[6]黄玉文,刘春英,李肖坚.基于可执行文件的缓冲区溢出检测模型[J].计算机工程,2010,36(02):130-131+134.
[7]李婷. 混合式缓冲区溢出漏洞检测模型的研究[D].大连海事大学,2012.
[8]Sabetamal Hassan,Carter John P.,Zhang Xue,Sheng Daichao. Coupled analysis of full flow penetration problems in soft sensitive clays[J]. Computers and Geotechnics,2021,133.