專注APT攻擊與防御
https://micropoor.blogspot.com/
這一季依然是一個(gè)過(guò)渡季,根據(jù)之前的連載中,了解到后門是滲透測(cè)試的分水嶺,它分別體現(xiàn)了攻擊者對(duì)目標(biāo)機(jī)器的熟知程度,環(huán)境,編程語(yǔ)言,了解對(duì)方客戶,以及安全公司的本質(zhì)概念。也同樣檢測(cè)了防御者需要掌握后門的基本查殺,與高難度查殺,了解被入侵環(huán)境,目標(biāo)機(jī)器。以及后門或者病毒可隱藏角落,或樣本取證,內(nèi)存取證等。.對(duì)各種平臺(tái)查殺熟知,對(duì)常見(jiàn)第三方軟件的了解程度。
既然題目以“藝術(shù)”為核心,那么怎樣把后門“藝術(shù)”行為化呢?依然遵循以往,引入概念,只有概念清晰,本質(zhì)清晰,對(duì)于攻擊者,這樣的后門更具有持久性,潛伏性,鎖定性等。對(duì)于防御者,更能熟知反后門對(duì)抗,對(duì)待常用第三方軟件的檢測(cè)方式方法,切斷攻擊者的后滲透攻擊。溯源或取證攻擊者。
在高級(jí)持續(xù)滲透測(cè)試中,PTES的滲透測(cè)試執(zhí)行標(biāo)準(zhǔn)主要分為6段1報(bào)。既:
1.前期交互階段
2.情報(bào)收集階段
3.威脅建模階段
4.漏洞分析階段
5.滲透攻擊階段
6.后滲透攻擊階段
7.報(bào)告編寫(xiě)
這里要講的不是打破它的流程,而是歸納總結(jié)到類,明確了類的方向,對(duì)待一個(gè)未知的目標(biāo)網(wǎng)絡(luò)環(huán)境,更能清晰的進(jìn)行攻擊或者對(duì)抗。
提權(quán)的本質(zhì)是什么?
信息搜集,搜集目標(biāo)補(bǔ)丁情況,了解目標(biāo)第三方利用等。
內(nèi)網(wǎng)滲透的本質(zhì)是什么?
信息搜集,搜集目標(biāo)內(nèi)網(wǎng)的組織架構(gòu),明確滲透訴求,在滲透過(guò)程中,當(dāng)獲取到內(nèi)網(wǎng)組織架構(gòu)圖,如魚(yú)得水。
滲透與高級(jí)持續(xù)滲透的本質(zhì)區(qū)別是什么?
區(qū)別于“持續(xù)”,可長(zhǎng)期根據(jù)攻擊者的訴求來(lái)潛伏持久的,具有針對(duì)性的信息獲取。
(而在高級(jí)持續(xù)滲透它又分為2類,一類持久滲透,一類即時(shí)目標(biāo)滲透)
溯源取證與對(duì)抗溯源取證的本質(zhì)是什么?
信息搜集與對(duì)抗信息搜集。
以上4條,清晰的明確了類,以及類方向,在一次完整的實(shí)戰(zhàn)過(guò)程中,攻擊者與防御者是需要角色對(duì)換的,前期,攻擊者信息搜集,防御者對(duì)抗信息搜集。而
后滲透,攻擊者對(duì)抗信息搜集,防御者信息搜集。而在兩者后的持續(xù)把控權(quán)限,是隨機(jī)并且無(wú)規(guī)律的角色對(duì)換過(guò)程。主要表現(xiàn)之
一為后門。這一句話也許很難理解,舉例:持續(xù)把控權(quán)限過(guò)程中,攻擊者需要對(duì)抗防御者的信息搜集,而又要根據(jù)對(duì)方行為制定了解防御者的相關(guān)動(dòng)作以及熟知目標(biāo)環(huán)境的信息搜集安全時(shí)間。(包括但不限制于如防御者近期對(duì)抗查殺動(dòng)作,防御者的作息規(guī)律,目標(biāo)環(huán)境的作息規(guī)律等來(lái)制定相關(guān)計(jì)劃)。
而在持續(xù)把控權(quán)限的過(guò)程中,防御者需要定期不完全依賴安全產(chǎn)品對(duì)自身環(huán)境的信息進(jìn)行搜集(包括但不限制于日志異常,登陸異常,數(shù)據(jù)異常,第三方篡改日常等),一旦發(fā)現(xiàn)被攻擊或者異常,對(duì)抗攻擊者搜集,并且搜集攻擊信息,攻擊殘留文件,排查可能淪陷的內(nèi)網(wǎng)群,文件等。
在一次的引用百度百科對(duì)APT的解釋:APT是黑客以竊取核心資料為目的,針對(duì)客戶所發(fā)動(dòng)的網(wǎng)絡(luò)攻擊和侵襲行為,是一種蓄謀已久的“惡意商業(yè)間諜威
脅”。這種行為往往經(jīng)過(guò)長(zhǎng)期的經(jīng)營(yíng)與策劃,并具備高度的隱蔽性。APT的攻擊手法,在于隱匿自己,針對(duì)特定對(duì)象,長(zhǎng)期、有計(jì)劃性和組織性地竊取數(shù)據(jù),這種發(fā)生在數(shù)字空間的偷竊資料、搜集情報(bào)的行為,就是一種“網(wǎng)絡(luò)間諜”的行為。
實(shí)戰(zhàn)中的APT又主要分為2大類,一類持久滲透,一類即時(shí)目標(biāo)滲透,主要區(qū)別于高級(jí)持續(xù)滲透是6段1報(bào),即時(shí)目標(biāo)滲透是5段1清1報(bào),共同點(diǎn)都是以黑客以竊取核心資料為目的,并且是一種蓄謀已久的長(zhǎng)期踩點(diǎn)針對(duì)目標(biāo)監(jiān)視(包括但不限制于服務(wù)更新,端口更新,web程序更新,服務(wù)器更新等)。不同點(diǎn)主要區(qū)別于即時(shí)目標(biāo)滲透清晰目標(biāo)網(wǎng)絡(luò)構(gòu)架或是明確訴求,得到目標(biāo)訴求文件,隨即銷毀自身入侵軌跡。結(jié)束任務(wù)。而即時(shí)目標(biāo)滲透往往伴隨著傳統(tǒng)的人力情報(bào)的配合進(jìn)行網(wǎng)絡(luò)行動(dòng)。
在即時(shí)目標(biāo)滲透測(cè)試中,主要分為5段1清1報(bào)。既:
1.前期交互階段
2.情報(bào)收集階段
3.威脅建模階段
4.漏洞分析階段
5.滲透攻擊階段
6.清理攻擊痕跡
7.報(bào)告編寫(xiě)
持久滲透以時(shí)間換空間為核心的滲透,以最小化被發(fā)現(xiàn),長(zhǎng)期把控權(quán)限為主的滲透測(cè)試。
即時(shí)目標(biāo)滲透則相反,放大已知條件,關(guān)聯(lián)已知線索,來(lái)快速入侵,以達(dá)到訴求。
為了更好的解釋APT即時(shí)目標(biāo)滲透,舉例某實(shí)戰(zhàn)作為demo(由于是為了更好的解釋即時(shí)目標(biāo)滲透,所以過(guò)程略過(guò)),大部分圖打碼,見(jiàn)諒。
任務(wù)背景:
任務(wù)訴求:需要得知周某某的今年采購(gòu)的其中一個(gè)項(xiàng)目具體信息。
已知條件:該成員是xxx某大型公司。負(fù)責(zé)XXXX的采購(gòu)人員。配合人力得知姓名,電話,身份證,照片等。
任務(wù)時(shí)間:一周之內(nèi)
制定計(jì)劃:找到開(kāi)發(fā)公司,獲取源碼,代碼審計(jì),得到shell,拿到服務(wù)器,
得到域控(或者終端管理)。得到個(gè)人機(jī)。下載任務(wù)文件。
任務(wù)過(guò)程:得知該XXX公司xxxx網(wǎng)站是某公司出品,得到某公司對(duì)外宣傳網(wǎng)站,并且得到該開(kāi)發(fā)公司服務(wù)器權(quán)限,下載源碼模板。源碼審計(jì)過(guò)程略過(guò)。得到webshell
提權(quán)略過(guò)。得到服務(wù)器權(quán)限。
內(nèi)網(wǎng)滲透略過(guò),配合人力情報(bào),大致清楚目標(biāo)內(nèi)網(wǎng)架構(gòu)。直奔內(nèi)網(wǎng)終端管理系統(tǒng)。
查看在線機(jī)器,查找目標(biāo)人物。
任務(wù)推送執(zhí)行:
目標(biāo)回鏈:
目標(biāo)桌面截圖:確定為目標(biāo)人物
下載任務(wù)文件后,清理入侵痕跡。任務(wù)完成。
那么持久滲透,即時(shí)目標(biāo)滲透的主要表現(xiàn)區(qū)別即為后持續(xù)滲透,無(wú)后門的安裝,無(wú)再次連接目標(biāo)。以及傳統(tǒng)人力情報(bào)的配合。
那么在demo中,如果需要長(zhǎng)期跟蹤,并且對(duì)方的內(nèi)網(wǎng)中有多款安全產(chǎn)品,那么就要為它來(lái)制定一款針對(duì)該目標(biāo)的后門。在傳統(tǒng)后門中,大多數(shù)只考慮目標(biāo)機(jī)系統(tǒng)環(huán)境,那么題目為“后門”的藝術(shù),在今天強(qiáng)大的安全產(chǎn)品中對(duì)抗升級(jí)中,后門也開(kāi)始加入了人性化因素。以及傳統(tǒng)后門的特性變更:如無(wú)進(jìn)程,無(wú)服務(wù),無(wú)端口,無(wú)自啟,無(wú)文件等,來(lái)附屬在第三方上。根據(jù)目標(biāo)環(huán)境的人為特點(diǎn),上線時(shí)間,操作時(shí)間。來(lái)制定一次后門的喚醒時(shí)間。需要了解目標(biāo)經(jīng)常使用的第三方軟件,來(lái)制定后門類型。(參考第一季)。如何把后門定制到更貼近目標(biāo),來(lái)對(duì)抗反病毒,反后門查殺。利用人為化來(lái)啟動(dòng),或者第三方喚醒,這應(yīng)該是值得攻擊者思考的問(wèn)題。而明確了類與類的方向,如何阻斷攻擊者的信息搜集,并且加大攻擊者的暴露蹤跡,減少非必要的第三方,這應(yīng)該是指的防御者思考的問(wèn)題。
后門在對(duì)抗升級(jí)中,越貼近目標(biāo)的后門越隱蔽,越貼近人性化的后門越持久,而由于目前存儲(chǔ)條件等因素,還不能夠全流量的全部記錄,而是全流量的部分流量記錄。導(dǎo)致不能完全依賴安全產(chǎn)品,并且在實(shí)戰(zhàn)中,往往并不是每一臺(tái)機(jī)器(包括但不限制于服務(wù)器,個(gè)人機(jī),辦公及)都遵循安全標(biāo)準(zhǔn)。尤其是在當(dāng)今VPN辦公普遍的情況下,家用個(gè)人機(jī)為突破點(diǎn)的例子層出不窮。其他非人為因素等。導(dǎo)致了當(dāng)下的安全再次回歸到安全的初衷:人。是的,人是安全的尺度。
/*段子*/
可能某老夫跳出來(lái),大喊,后門的人性化制作就這一個(gè)也能算藝術(shù)?
在現(xiàn)實(shí)中,我很喜歡問(wèn)別人三個(gè)問(wèn)題:
1.你用過(guò)最糟糕的后門是什么樣的?
2.你用過(guò)最精彩的后門是什么樣的?
3.你最理想的后門是什么樣的?
問(wèn)題1.能大致分析出對(duì)方的入行時(shí)間。
問(wèn)題2.能大致的判斷出對(duì)方目前的技術(shù)水平。
問(wèn)題3.能直接判斷出對(duì)方對(duì)技術(shù)的追求是怎樣的心態(tài)。
后門是一種藝術(shù)。
在文章的結(jié)尾處,我想貼幾個(gè)圖。
當(dāng)初:多么簡(jiǎn)單的知識(shí),都會(huì)找到你想要的教程。多么復(fù)雜的知識(shí)都會(huì)找到相關(guān)的文章。
.現(xiàn)在:想學(xué)習(xí)的人,找不到入門的知識(shí),與可以建立興趣的文章。想分享的人卻又膽戰(zhàn)心驚。
來(lái)自知乎某大V的回憶當(dāng)初:
黑吧的logo還是曾經(jīng)的那個(gè)logo,聯(lián)盟的國(guó)徽還是那個(gè)國(guó)徽,只是人的心變了。
附錄:
PTES中文版
http://netsec.ccert.edu.cn/hacking/files/2011/07/PTES_MindMap_CN1.pdf
Micropoor