《入侵生命周期细分实践指南系列》：域策略修改攻击

2022年11月11日11:58:36评论70 views字数 2238阅读7分27秒阅读模式

美创科技为了更好地进行入侵检测和防御，参照各种安全威胁框架和自身的实践与思考，提出了基于入侵生命周期的攻击管理模型，作为美创新一代安全架构的三大支柱之一。

入侵生命周期v1.0把入侵过程划分为7个阶段：探索发现、入侵和感染、探索感知、传播、持久化、攻击和利用、恢复。入侵生命周期v1.0同样以ATT&CK作为基本战术知识库，匹配到不同的入侵阶段。需要注意的是，并非所有的入侵都会经历这7个阶段，也没有绝对的线性次序。

1）探索发现

在这个阶段中，攻击者会先锁定攻击对象，然后利用某些技术手段，尽可能多地获取目标暴露出来的信息，如通过端口扫描、指纹探测等方式，发现敏感端口及版本信息，进而寻找攻击点，为下一步入侵做准备。

2）入侵和感染

在这个阶段，攻击者会根据“探索发现”阶段所发现的重要信息，来对目标暴露出的攻击面进行攻击尝试，在“探索发现”阶段收集到的信息越多，攻击对象所暴露的攻击面也就越多，攻击更易成功。

3）探索感知

攻击者在成功进入系统内部后，由于是首次进入所以会出现对内部环境不熟悉的情况，这时攻击者的动作一般会是对当前所处环境进行探索，摸清内部大致的网络结构，常常伴随着被入侵本机的敏感信息收集以及对内网大量的端口进行扫描，后续根据攻击者的目的进行下一步操作。

4）传播

在此阶段，攻击者根据上一阶段在内网探索感知收集到的信息，选择特定的攻击手法。如若发现内部是域环境，攻击者可能会尝试先攻破域控服务器，再传播其他机器。若是工作组环境，可能会利用收集到的端口和服务信息，选择特定漏洞进行批量扫描攻击，来尽可能多地继续获得其他计算机的控制权。

5）持久化

攻击者在对资产进行恶意操作后，为了能够减少再次连接的攻击成本，方便下次进入，会进行“留后门”的操作，常见的后门如：建立计划任务，定时连接远程服务器；设置开机启动程序，在每次开机时触发执行特定恶意程序；新建系统管理员账号等。这样便于攻击者下次快速登录并控制该系统。

6）攻击和利用

攻击者在此阶段便会开始对目标资产进行恶意操作，按照攻击者意愿，对能利用的数据进行窃取、利用；对操作系统、敏感文件进行破坏、删除。所有的防御手段都应该极力阻止攻击者进行到这一阶段。

7）恢复

攻击者在执行所有的攻击操作时，往往会在系统上留下大量的行为日志，因此在这一阶段，攻击者会对记录自身痕迹的所有日志进行处理，或删除或混淆，从而消灭证据，逃避追踪。

本系列文章基于美创科技入侵生命周期1.0架构，细分各阶段攻击者的常用攻击手段，并对相关攻击手段的具体实施方式进行逐一剖析，为安全防御建设提供有力知识补充和反制准备。

域策略修改攻击（攻击和利用）

组策略（Group Policy）是微软Windows NT家族操作系统的一个特性，它可以控制用户账户和计算机账户的工作环境。组策略提供了操作系统、应用程序和活动目录中用户设置的集中化管理和配置。通过使用组策略，你可以设置策略设置一次，然后将该设置复制到多台计算机上。

组策略对象（Group Policy Object），实际上就是组策略设置的集合。用户可以用GPO来存储不同的组策略信息，然后作用在指定OU或者指定作用范围发挥作用。

从攻击者的角度来分析，当攻击者拥有更改某组策略的权限或者域管理员权限时，就可以修改域策略设置。由于域配置设置控制 Active Directory (AD) 环境中的许多交互，因此这种滥用可能会引发大量潜在攻击。此类滥用的示例包括修改组策略对象 GPO 以将恶意计划任务推送到整个域环境中的计算机。攻击者还可以更改 AD 环境中的配置设置以实施Rogue Domain Controller。攻击者可能会临时修改域策略，执行恶意操作，然后恢复更改以删除可疑指标。因此，从入侵生命周期角度分析，攻击者通过修改组策略而发动的攻击可作用于攻击和利用、持久化和恢复三个阶段。

从攻击行为链条的上下文来看，域控使用组策略下发文件并执行的行为链条输入输出如下：

输入：普通域用户身份、域管理员身份、OU（Organizational Unit）、组策略对象（GPO）、bat脚本、gpupdate /force命令

输出：修改的域策略、bat脚本执行结果

域控使用组策略下发文件并执行主要的实现流程如下：

(1)首先新建OU（Organizational Unit）

(2)在OU（Organizational Unit）内新建用户

《入侵生命周期细分实践指南系列》：域策略修改攻击

(3)打开组策略管理(gpmc.msc),右键组策略对象——新建

《入侵生命周期细分实践指南系列》：域策略修改攻击

(4)依次执行右键ADControl——编辑——用户配置——策略——windows设置——脚本——登录——属性——显示文件——新建ADControl.bat。其中，ADControl.bat中的代码为：cmd /c calc

(5)然后依次点击添加——浏览——选择ADControl.bat

(6)右键新建的OU（Organizational Unit）——链接现有GPO——选择ADcontrol

(7)刷新组策略

gpupdate /force

(8)最后使用新建账户登录，成功执行calc

(9)攻击者亦可以通过运行脚本（New-GPOImmediateTask.ps1）实现攻击效果，脚本地址如下：

https://github.com/3gstudent/Homework-of-Powershell/blob/master/New-GPOImmediateTask.ps1

《入侵生命周期细分实践指南系列》：域策略修改攻击

原文始发于微信公众号（第59号）：《入侵生命周期细分实践指南系列》：域策略修改攻击

左青龙
微信扫一扫

右白虎
微信扫一扫

《入侵生命周期细分实践指南系列》：域策略修改攻击

ebpf在Android安全上的应用：结合binder完成一个行为检测沙箱(下篇)

浅谈Kubernetes安全

若依系统恰分攻略

HW必备技能教学之Windows应急响应常见流程【附应急工具】

技术实践｜大模型内容安全蓝军的道与术

Weblogic SSRF漏洞（CVE-2014-4210）

Weblogic 反序列化漏洞（CVE-2017-3506/CVE-2017-10271）

HACKADEMIC: RTB1靶场-复现

卡巴斯基引擎另类免杀玩法

任意文件读取rce记录

发表评论

在线咨询

微信