前言 一年一度大型活动刚刚过去,对于BT来说,能在这一期间坐在电脑前点点鼠标,业务安然无恙是极好的,本文为BT视角对今年大型活动中的RT打法思考与观感,重点观察思考了今年主流攻击思路,以及今年攻击姿势重点方向发生的转变。 0x01 打点撕口子方式0day仍占主流 每年大型活动期间都会爆出极多的0day漏洞,当然传统打点漏洞也不是不存在,nday漏洞通常目标单位的子公司,孙公司安全防护做的不到位,打这些资产起效果较好,一般攻击总部单位以及靶标等为达到目的还是要祭出0day,不过今年来看,能通过nday打的很多一部分是目标单位误将测试系统开放。 通过今年爆出的0day漏洞来看,几大oa仍然是主要攻击目标,其次各厂商安全产品也有漏洞爆出,邮件服务器,vpn,srm系统,crm系统,erp等漏洞频出 总体来说个人认为今年爆出的漏洞类型第一范围较广,涵盖了各大供应商的漏洞,各大产品的漏洞,第二可能为历年演练期间爆出漏洞数量最多的一次,第三今年爆出的漏洞相较于往年来说,能直接获取数据的漏洞较多了,例如某信的密钥泄漏等,该漏洞可直接进行接管,若被进一步利用可造成钓鱼风险,猜测与得分机制有关,这样的攻击方式极难防守的,其次今年邮服类漏洞也频发,这对RT进一步横向更有利了。 0x02 钓鱼手法层出不穷 常规钓鱼手段 1.RT通过某企业聊天办公软件漏洞,利用漏洞拿到泄漏密钥从而接管,从而可以使用官方企业推送信息钓鱼 2.RT拿到一枚邮箱账号开始钓鱼,视情况而定广撒网或者针对性钓鱼 3.RT利用某国产办公软件进行发送恶意文档造成rce钓鱼上线 4.RT向客服,招聘网站,招投标,商务合作等方式进行钓鱼 5.这一期间某Q客户端出了一个可以利用钓鱼的逻辑洞,若被利用也可以导致直接点击上线 下游至上游供应链污染钓鱼 1.某产品云端官方升级文件被投毒 2.安全服务提供商,可构造样本分析需求的邮件,诱使其在虚拟机上动态分析。 3.攻击其相关资产,获取SVN、Git的权限后在代码中污染投毒。 在github钓鱼BT 每年都有的套路,在github,公众号等地方投放为恶意文件的工具。 直接利用某企业安全云的功能来实施钓鱼达到远程控制 攻击者先在某企业安全云注册团队账户 注册完成后,即可邀请别人加入,如图:采用方式二,通过链接邀请同事加入 受害者获取到链接访问下载对应的安装包,安装即可 这时,回到管理员web管理页面,即可看到新上线的主机,可进行远程控制。 0x03 恶意钓鱼邮件群发仍是主流钓鱼攻击姿势 观察RT从前期的定向钓鱼,例如通过某些招聘平台,或者是通过招投标进行投标发恶意附件给目标单位等,发展到了获取一枚账号权限后开始疯狂的滥发经过文案包装的钓鱼邮件,猜测这很大原因是RT的技战法,从一开始的时间充裕,可进行鱼叉式钓鱼,甚至水坑攻击,到最后几天的一种急于攻破进行得分的最后冲刺。
今年文案案例来看,依然充满欺骗性,但多为伪装后的exe文件,其次便是利用某国产化办公软件的直接无需伪装进行rce利用,并且在这一期间exchange爆洞,以及某国产邮件系统网传的rce也是很具威胁。 0x04 供应链逐渐成为最大威胁
案例: 1.某产品云端官方升级文件被投毒 某云官方被演习RT攻击,云端官方升级文件被投毒,升级包中包含某云助手软件(远控程序) 某云端官方升级文件被投毒为攻击队注册的某云助手软件(远控程序),(进程名为x x x x x_assist_service ,文件名为xxxxx_agent_latest_setup.exe) 2.一些针对python及npm的投毒 3.从供应商入手,获得目标源码,供应商工作人员一般有攻击目标的vpn账号,方便进内网协助工作,供应商的人员去攻击目标现场干活,导致被钓鱼控制,可横向攻击目标内网等。 0x05 企业集成系统仍然是RT攻击首要目标 各大内网集成系统依然是RT攻击首要目标,例如域控,zabbix,堡垒机,vcenter,exchange,k8s,各大安全厂商杀软控制端等。
0x06 总结 1.子公司,孙公司一直是RT突破口 2.RT的隐秘手段层出多样 3.RT的投毒技术防不胜防 4.未来国产软件供应链攻击会逐渐成为攻防利用姿势主角 5.打点撕口子越来越依赖0day,常规可拿权限漏洞越来越少 6.可以看出今年对数据安全很重视,尤其对爆出的0day来说,很多都可以直接获取目标数据,即使拿不到权限也能起到非常好的效果 7.钓鱼攻击依然是最佳突破口 8.企业集成系统依然是RT进内网后的首选攻击目标,尤其是域控,在钓鱼后若目标机器在域内可进行域渗透
|