|
终于完成了2023HVV,来壶茶休息一下,哈哈!
竹枝词二首·其一宋·黄庭坚浮云一百八盘萦,落日四十八渡明。鬼门关外莫言远,四海一家皆弟兄。
2023年HVV行动简介 2023年的HVV行动时间从8月9日开始,到8月23日结束,历时15天。本次行动期间,主要以0day漏洞、钓鱼样本为今年红队的攻击手段。 基于今年红队的攻击手段,本文附上对HVV中如何缓解0day的风险、虚拟补丁对漏洞的效果、安全设备的风险和管理方法、红队避开告警操作的话题讨论。 红队攻击技战术
整个攻防活动周期一般在3周左右,红队需要在极短的时间内完成从情报收集、建立据点到横向移动三个阶段的任务,在此过程中蓝队有大量技战术的运用,但下面四种技战术被蓝队频繁使用。 1. 利用弱口令获得权限弱密码、默认密码、通用密码和已泄露密码通常是蓝队专家们关注的重点。实际工作中,通过脆弱口令获得权限的情况占据90%以上。 当一台服务器被攻陷并获取到密码后,进而可以扩展至多台服务器甚至造成域控制器沦陷的风险,为打开新的攻击面提供了便捷。 2. 利用社工来进入内网很多情况下,当蓝队专家发现信息系统难以进入时,通常会使用社工、钓鱼等手段寻找蓝队安全意识薄弱的员工开展攻势。 最常见的社工手段当属钓鱼邮件,很多员工对接收的钓鱼邮件没有防范意识。蓝队专家可针对某目标员工获取邮箱权限后,再通过此邮箱发送钓鱼邮件。大多数员工由于信任内部员工发出的邮件,从而轻易点击了夹带在钓鱼邮件中的恶意附件。一旦员工个人电脑沦陷,蓝队专家可以员工PC作为跳板实施横向内网渗透,继而攻击目标系统或其他系统、甚至攻击域控制器导致内网沦陷。 3. 利用旁路攻击实施渗透有时红队总部的信息系统防守得较为严密,蓝队专家很难直接撬开进入内网的大门。此种情况下,通常蓝队不会去硬攻城门,而是会想方设法迂回进攻。 例如很多企业忽视了总部与下属机构之间的安全边界,缺乏足够有效的网络访问控制,导致下属机构一旦被突破,蓝队可通过内网向上攻击到集团总部,漫游企业整个内网,攻击任意系统。 另外大部分企业对开放于互联网的边界设备较为信任,如VPN系统、虚拟化桌面系统、邮件服务系统等。考虑到此类设备通常访问内网的重要业务,为了避免影响到员工的正常使用,企业没有在其传输通道上增加更多的防护手段;再加上此类系统多会集成统一登录,一旦获得了某个员工的账号密码,就可以通过这些系统突破边界直接进入内网中来。 4. 秘密渗透与多点潜伏在情报收集阶段,蓝队一般不会大规模使用漏洞扫描器。目前主流的WAF、IPS等防护设备都有识别漏洞扫描器的能力,一旦发现后,可能第一时间触发报警或阻断IP。因此信息收集和情报刺探是蓝队工作的基础,在数据积累的基础上,针对性地根据特定系统、特定平台、特定应用、特定版本,去寻找与之对应的漏洞,编写可以绕过防护设备的EXP来实施攻击操作,可以达到一击即中的目的。 现有的很多安全设备由于自身缺陷或安全防护能力薄弱,基本上不具备对这种针对性攻击进行及时有效发现和阻止攻击行为的能力。导致即便系统被入侵,蓝队获取到目标资料、数据后,被攻击单位尚未感知到入侵行为。此外由于红队安全人员技术能力薄弱,无法实现对攻击行为的发现、识别,无法给出有效的攻击阻断、漏洞溯源及系统修复策略,导致在攻击发生的很长一段时间内对蓝队尚没有有效的应对措施。 蓝队专家在工作中,通常不会仅仅站在一个据点上去开展渗透工作,而是会采取不同的Webshell、后门,利用不同的协议来建立不同特征的据点。因为大部分应急响应过程并不能溯源攻击源头,也未必能分析完整攻击路径,缺乏联动防御。红队在防护设备告警时,大部分仅仅只处理告警设备中对应告警IP的服务器,而忽略了对攻击链的梳理,导致尽管处理了告警,仍未能将蓝队排除在内网之外,蓝队的据点可以快速“死灰复燃”;如果某些红队成员专业程度不高,缺乏安全意识,导致如针对Windows服务器应急运维的过程中,直接将自己的磁盘通过远程桌面共享挂载到被告警的服务器上行为,反而可以给蓝队进一步攻击的机会。 挂图作战
定义采用国外说法,红队攻击,蓝队防守。红队一般会在前期搜集情报,寻找突破口、建立突破据点;中期横向移动攻击内网,尽可能多地控制服务器或直接打击目标系统;后期会删日志、清工具、写后门建立持久控制权限。 针对红队的常用套路,蓝队应对攻击的常用策略可总结为:防微杜渐、收缩战线、纵深防御、核心防护、洞若观火等。
1. 防微杜渐:防范被踩点红队首先会通过各种渠道收集目标单位的各种信息,收集的情报越详细,攻击则会越隐蔽,越快速。前期防踩点,首先要尽量防止本单位敏感信息泄露在公共信息平台,加强人员安全意识,不准将带有敏感信息的文件上传至公共信息平台。 社工也是红队进行信息收集和前期踩点的重要手段,在攻防期内要更多关注钓鱼邮件和未验证身份的聊天。 2. 收缩战线:收敛攻击面门用于防盗,窗户没关严也会被小偷得逞。红队往往不会正面攻击防护较好的系统,而是找一些可能连红队自己都不知道的薄弱环节下手。这就要求红队一定要充分了解自己暴露在互联网的系统、端口、后台管理系统、与外单位互联的网络路径等信息。哪方面考虑不到位,哪方面往往就是被攻陷的点。互联网暴露面越多,越容易被红队“声东击西”,最终导致蓝队顾此失彼,眼看着被攻击却无能为力。可从如下几方面收敛互联网暴露面。 1) 攻击路径梳理 由于网络不断变化、系统不断增加,往往会产生新的网络边界和新的系统。蓝队(防守单位)一定要及时梳理自己的网络边界、可能被攻击的路径,尤其是内部系统全国联网的单位更要注重此项梳理工作。 2) 互联网攻击面收敛 一些系统维护者为了方便,往往会把维护的后台、测试系统和端口私自开放在互联网上,方便维护的同时也方便了红队。红队最喜欢攻击的WEB服务就是网站后台,以及安全状况比较差的测试系统。蓝队须检测如下内容:开放在互联网的管理后台、开放在互联网上的测试系统、无人维护的僵尸系统、拟下线未下线的系统、疏漏的未纳入防护范围的互联网开放系统。 3) 外部接入网络梳理 如果正面攻击不成,红队往往会选择攻击蓝队企业的供应商、下级单位、业务合作单位等与目标单位有业务连接的其他单位,通过这些单位直接绕到目标系统内网。蓝队应对这些外部的接入网络进行梳理,尤其是未经过安全防护设备就直接连进来的单位,应先连接防护设备,再接入内网。 4) 隐蔽入口梳理 由于API接口、VPN、WiFi这些入口往往会被忽略,这往往是红队最喜欢打的入口,一旦搞定则畅通无阻。蓝队需要梳理WEB服务的API隐藏接口、不用的VPN、WiFi账号等,便于重点防守。 3. 纵深防御:立体防渗透前期工作做完后,真正的防守考验来了。红队在互联网上的冠名网站、接口、VPN等对外服务必然会成为红队的首要目标。一旦一个点突破后,会迅速进行横向突破,争取控制更多的主机,同时试图建立多条隐蔽隧道,巩固成果,使蓝队顾此失彼。 此时,战争中的纵深防御理论就很适用于网络防守。互联网端防护、内外部访问控制(安全域间甚至每台机器之间)、主机层防护、重点集权系统防护、无线网络防护、外部网络接入防护甚至物理层面的防护,都需要考虑进去。通过层层防护,尽量拖缓蓝队扩大战果的时间,将损失降至最小。如何开展纵深防护建设不再在本报告中赘述。 4. 守护核心:找到关键点核心目标系统是红队的重点攻击目标,是蓝队重点防护对象。上述所有工作都做完后,还需要重点梳理:目标系统和业务系统关联关系、目标系统的开放的服务或接口、传输方式等,梳理得越细越好。同时还须针对重点目标系统做一次交叉渗透测试,充分检验目标系统的安全性。专门对目标系统的进出流量、中间件日志进行安全监控和分析。 5. 洞若观火:全方位监控任何攻击都会留下痕迹。红队会尽量隐藏痕迹、防止被发现;而蓝队恰好相反,需要尽早发现攻击痕迹,并通过分析攻击痕迹,调整防守策略、溯源攻击路径、甚至对可疑攻击源进行反制。建立全方位的安全监控体系是防守者最有力的武器。如何建立有效的安全监控体系不再在本报告赘述,可从全流量网络监控、主机监控、日志监控、情报监控等多方面进行。
0day漏洞篇
8月9日 WPS Office for Windows 存在高危0day漏洞预警
1.漏洞描述 WPS Office for windows的内置浏览器存在逻辑漏洞,攻击者可以利用该漏洞专门构造出恶意文档,受害者打开该文档并点击文档中的URL链接或包含了超级链接的图片时,存在漏润版本的WPS office会通过内嵌浏览器加载该链接,接着该链接中js脚本会通过cefQuery调用WPS端内API下载文件并打开文件,进而导致恶意文件在受害者电脑上被运行。 2.复现环境 Windows 版本:Windows 10.0.19045.3324 WPS Office 版本:11.1.0.11744 3.漏洞复现 添加 hosts 文件 C:\Windows\System32\drivers\etc\hosts 在该文件中添加如下内容: 127.0.0.1 clientweb.docer.wps.cn.cloudwps.cn 打开 cmd ,将目录切换到 poc文件所在的路径,输入以下语句: python -m http.server 80 进入poc所在目录,双击 poc.docx,等待 WPS Office 打开该文档,之后将弹出计算器。 4.复现效果
8月22日 WPS Office 未公开远程命令执行漏洞
1.漏洞描述 该漏洞影响最新版WPSOffice,官方尚未发布补丁,配合钓鱼等场景危害极大。用户只需正常打开wps文档,无需其他任何操作,即可执行恶意代码,进而终端被控 2.紧急措施 1、紧急封禁漏洞利用的以下IOC及云函数域名(集团数据中心已默认封禁腾讯云、阿里云云函数); 2、集团已从终端EDR上监测并拦截有关IOC,请仍未覆盖终端EDR的单位,抓紧安装。 3.手动封禁IOC 39.105.138.249 123.57.150.145 182.92.111.169 39.105.128.11 123.57.129.70 123.56.0.10 182.92.111.169 182.92.165.230 safetyitsm.s3-us-east-1.ossfiles.com hbf3heeztt3rrwgmccao.oss-cn-shenzhen.aliyuncs.com 76z1xwz6mp5fq7qi4telphdn0c0.oss-cn-shenzhen.aliyuncs.com 6e8t0xobdnmerpraecktu1bge1kmo1cs.oss-cn-shenzhen.aliyuncs.com a9ptecut5z3vv7w1o489z.oss-cn-shenzhen.aliyuncs.com
8月21日 QQ客户端逻辑漏洞 RCE
1.漏洞描述 这个漏洞是一种逻辑漏洞,利用了 QQ 客户端中的逻辑缺陷进行攻击。当被攻击方点击消息内容(链接)时,不会出现弹窗提示,而是自动下载并执行。这种漏洞的存在使攻击者能够更轻松地进行钓鱼等攻击手段。 2.复现效果 上个线?
8月16日 events02.huawei.com追踪
1.网址追踪
恶意软件 ICCClient.exe 恶意名称:ICCClient.exe(伪装客户端) 体积14.39MB,YARA 签名匹配中5个,其中一些是重复报警 : SHA-256: 6ef88b0238d639a377a80cb9c86b90af71644cd8e975a516b2c49e5ecdbc4c01 l检测可疑双精度Base64 编码的 kernel32 函数,如 OpenProcess、WriteProcessMemory 和CreateRemoteThre l检测编码关键字- GetProcAddress l检测编码和加密的 CobaltSrike信标 恶意软件 CPC.exe 恶意名称为:CPC 5/70 体积19.47MB这个是15日未更新的情况,根据最开始那张恶意列表的图,这个CPC最后更改是15日,后来我刷新了一下,AV显示16日凌晨1点左右有更新动作行为,变了成8/71的检测指标 SHA-256: d0e07185e94799aeb86b32dba29f54fb2ad27633a3f827c9f7158c01379be4fa YARA 签名匹配中5个,其中一些是重复报警 : l检测可疑双精度Base64 编码的 kernel32 函数,如 OpenProcess、WriteProcessMemory 和CreateRemoteThre l检测编码关键字- GetProcAddress l检测编码和加密的 CobaltSrike信标 以上可猜测为python打包,轻便,快捷,因为体积基本很大也比较,制作手法基本一致,并无太多其它痕迹,YARA规则捕获也是通过相关的编码加密、危险函数进行编码行为进行告警。 2.样本关联URL 追溯15日样本,可以追溯相关关联的URL为以下: http://kunpeng.huawei.com/mall_100_100.html https://events02.huawei.com/mall_100_100.html http://developer.huawei.com/mall_100_100.html http://cloud.10086.cn/mall_100_100.html 3.关联域 events02.huawei.com.c.cdnhwc1.com events02.huawei.com hcdnwsa.global.c.cdnhwc6.com hcdnw1256.global.c.cdnhwc6.com www.hikunpeng.com.0bda5447.cdnhwc8.cn cloud.10086.cn developer.huawei.com
钓鱼攻击篇 8月14日 网传的启明星辰举报信及钓鱼附件
微步云沙箱S 对钓鱼攻击的分析
今年的疯狂十五天一开始,就有师傅收到一份特殊简历——疑似包含钓鱼木马。 微步云沙箱S分析了上面的样本,结果证实,这次属于钓鱼攻击。 还在拉扯人马的防守队伍,人要被钓成翘嘴了,上述攻击手段在最近的演习中屡见不鲜。演习进入第二周,微步云沙箱S捕获了数百个针对性的钓鱼文件,其中多数是CobaltStrike(以下简称CS)木马。 在这些钓鱼攻击中,攻击队使用了各种迷惑性的主题,如简历、零日、安全工具、吃瓜、骚扰、曝光、补贴、通知、问题反馈、绩效考核、薪资等,钓鱼方向和社工高度相关。 比如,这是其中一个试图以社保信息为饵,进行钓鱼攻击的案例。 在这个钓鱼攻击中,攻击队伪装人力资源部,向目标发送社保相关“通告”,引诱目标打开恶意附件。附件是一个加密压缩包,包含一个图标伪装文档的恶意可执行文件,为了迷惑受害者,打开之后会出现一个看上去像那么回事的文档,文档内容和邮件主题内容呼应,简直做戏做全套。 恶意文件图标如下: 恶意文件运行截图如下: 对附件进行分析后,可以看出场景标签包含“CobaltStrike检测”,说明是CS木马。 在“CS场景检测”模块,还可以看到该样本在情报、静态、网络行为和流量这几方面都呈现了CS相关特征。 至此,可以确认此样本是CS木马。同时,我们可以使用行为检测、情报检测、配置提取、多维检测、引擎检测、静态分析、动态分析等模块对样本进行进一步分析。
 HVV期间对红队攻击的讨论8月18日 演习中0-Day如何缓解;如何检测并阻断进入内网的红队
1.今年的HVV攻击手段集中在安全厂商和重要信息系统的0-Day上,大家有没有好的安全措施减少0-Day的安全风险,避免0-Day打穿全网? A1:管理好互联网暴露面、三方外联、全流量,HIDS这些覆盖度要够,另外就是确保保障人员要尽职尽责。 A2:现在不都讲纵深防御吗,做方案的时候有考虑安全设备出问题吗? A3:计划后续把这块内容放采购合同里,之前考核开发公司,我觉得以后安全公司也得考核。内部品控特别差的,应急态度不积极,该扣款扣款,该中止合作就中止合作。 A4:上零信任,单包认证,直接隐身。 A5:安全域隔离,分层防护,或者有能力的,自研安全工具。 A6:所有组件统统升级到最新,自查一定要彻底,要大领导来推这个。不兼容只是因为技术不够。 A7:统统升级到最新,像我司基本不可能实现。 A8:我想的是既然防止0-Day,那就是不是一般的防御需求了,这种高质量的防御需求,一定要用砍骨刀才可能实现,除了足够的外防设备,外部厂商支持足够给力,响应及时;自己内部来说,组件必须维持在较高甚至是最新版本,同时同于引入的开源组件,必须经过Review,套上自己的过滤框架,这样有可能尽量消减0-Day。 A9:零信任落地的好,对0-Day还是有很好的效果,零信任本身的0-Day又怎么办呢? A10:这还是鸡蛋壳思想,当然是自身也得硬气点呀。0-Day多半是穿外面,0-Day哪有直接穿业务的,都是外面穿了,内网裸奔,然后才挂掉。 A11:差不多,内网的风险治理,推动的阻力很大的,大部分人就是我在内网,修不了。 2.虚拟补丁是近期流行的概念,目前的虚拟补丁手段一般有封禁IP、Web WAF加规则、IPS旁路阻断、RASP防护规则等,大家觉得HVV期间新出现的漏洞,虚拟补丁需要怎么做能达到比较好的效果? A12:虚拟补丁不就类似于IPS,很久了吧。 A13:本质上还是基于漏洞利用特征的检测,还是存在绕过风险,不能算是补丁。 A14:这个虚拟补丁的概念是咋出来的,和普通的根据流量、特征识别阻断有什么区别吗? A15:主要区别是虚拟补丁是从防守视角,给无法打补丁/无法升级的进行修复的漏洞进行针对性的防护。 A16:虚拟补丁可以服务器端和主机端双向防护,如果可以根据业务自动对应场景,去阻断攻击场景就好了。 A17:我觉得HVV这种场景,应该无脑阻断。 A18: 实时监测和分析:持续监测和分析网络中的漏洞; 更新Web WAF规则:HVV期间确保WAF规则库最新,并及时更新以防止新漏洞的利用; 强化IPS:IPS可以帮助检测和阻止恶意流量,包括利用已知漏洞的攻击; 引入RASP技术:提高对新漏洞的识别和修补速度。 3.对核心安全区域往往要求执行严格的隔离和出网策略。安全设备相应的补丁更新和安全设备升级工作一般通过代理来进行完成,这样会不会有安全风险?大家有没有好的管理方法? A19:最大的是时间风险,同时代理误操作与验证有效性可能还是存在风险,在设备较少的情况下,测试环境后,分项目系统手动打补丁验证比较安全,同时业务也能验证可用,设备多就看CMDB配置的颗粒度了。 A20:说实在的,部署补丁漏洞防护设备是个好选择,但目前云端部署的方式不支持。 A21:这个问题分两方面。先说第一个,如果采取代理方式,那么瓶颈在代理,可能的风险也是代理服务器出现安全问题。解决方法要确保代理服务器安全性,增加多层安全措施,比如单向传输、最小服务、固定人员访问、减少攻击面等等。好的管理方法有很多,比较直接的会选网络和安全双层隔离。比如VLAN、单向传输、零信任等方式。从实战来说这些都简单有效。感觉这个想问的是核心安全区域的管理手段。 A22:其实所有的更新都怕被劫持,或者供应链攻击,导致升级本身就有问题,很多验证还短时间没法发现。所以安全真的要靠人,靠人对各类攻击的持续监测和学习,纯的技术框架可以提升基础,在人工智能还没全面起来之前还是只能靠人。 A23:这个问题,做得好的情况,应该要配置一个运维网段,专门用于这些场景。 A24:带外管理VLAN,用于网络设备运维。 4.大家知道,被红队攻击进来之后,他们是怎么避开安全设备的告警去做一下数据窃取的操作。比如获取到应用服务器的权限之后,去连接数据库,然后做一进步的窃取操作,这种从基于主机防护的产品是否可以检测并阻断呢?因为它的行为也跟管理员的操作行为一样,并没有太多的异常。 A1:都到内网了,很难,大部分内网防护弱得很。 A2:核心问题是:你怎么判断什么是正常行为,什么是异常行为。业务部门没有严格的判断条件,你没法做啊。 A3:内网安全设备,基本就态感这种,几条报警你也不管吧。防火墙开内到外的流量检测,就可以检测到返连软件。 A4:我们态势每条都得管,你把日常误报的及时处理。 A5:绕过主机安全进入主机后,第一时间断开主机与安全平台的连线,不会有人注意这台设备与安全设备平台的连线情况的。 A6:已经进来了做横向渗透,有很多方法限制的,最基础的隔离VLAN你要搞。还有你们其他服务器难道不限制只能堡垒机登录吗? A7:我想应该要用APT防御的思路去解决,并不是上个设备,加个策略,做个认证就可以解决的。 A8:最后一道防线就是主机入侵防护产品,不过如果你有逻辑漏洞、弱口令这种,那就神仙难救。 A9:我觉得没有防线这一说,既然打到内网,就无所谓防不防了。到内网,我们要做的是及时发现,及时阻断。 A10:对的,不过光突破内网对我们这种单位有用,但是机密单位的业务网也是做物理隔离的,使用云桌面这种。 A11:他的假设是其他全摆烂,进内网横向,那就只有主机产品了,正常来说肯定有网络层防护。 A12:最好是可以精确绘制出他攻击路径图,直接直系旁系通通干掉。 A13:其实外内网和内网横向很多都是网络层的安全做控制。 A14:既然已经进入内网开始横向了,就说明他已经做了免杀并且绕过了杀毒。 A15:微隔离产品是不是就可以比较直观看到它的访问关系? A16:那么细的颗粒,简直是运维的噩梦。 A17:微隔离很难实现,单对单的,等反应过来就晚了。 A18:主机产品也有行为检测,你要是把文件权限、补丁这些基础打牢,还是有难度的。 A19:按网段干就完了,主要是你打补丁也是有难度的。 A20:那只要访问控制就行,微隔离是更细的场景。 A21:关键还是前期资产梳理、隔离VLAN、访问控制,隔离VLAN了,你完全没法横向。 A22:上了微隔离,这个不能用,那个被阻断,排错老长时间,运维被骂死。 A23:网段还要微隔离干啥,直接ACL就好了。 A24:我意思是不需要隔离,就按网段分,阻断也按网段阻断。 A25:存量系统不知道调用关系的,只有网络抓包学习访问关系,然后用脚本生成ACL。 A26:云上的安全组,线下的VLAN的ACL就能实现,或者端口ACL。 A27:云有时候真的很坑,很多策略排错就是噩梦。 A28:云节点用自己部署的设备,流量串行过去,否则只能依赖云商配合。 5.本期观点总结 目前正值HW时期,群内的讨论也大多围绕攻防演练展开。在如何防范0-Day、减少其影响的话题中,大家提出了从管理暴露面、实施纵深防御策略、推行零信任架构等方式进行预防。对于比较流行的虚拟补丁,在实际中要根据业务自动对应场景,并关注其与传统防御方法的区别和有效性。 HW期间,对于已经攻入内网的红队,大家认为可通过APT防御思路、严格访问控制、隔离VLAN甚至是微隔离的方式进行防御和阻断,但微隔离的实施可能会增加运维的复杂度。但总体而言,对于已经进入内网的攻击者,综合多种防御手段,进行实时监测和响应尤为重要。
| 
发表于 2023-8-29 17:33:47