神秘红队 "三人小分队横闯天下"
某部级攻防演练悄然开始,本次演练为各红队分配了全国不同区域的目标资产,涉及几个省市部门的应用系统,范围较为分散。神秘的红队虽然只有3个人,但是分工明确,目标精准:
☑ 1人负责外网信息收集、打点,获取入口,对内网发起攻击;
☑ 1人负责内网渗透、横向移动;
☑ 1人负责木马免杀、社工钓鱼;
☑ 其他后方支持人员,帮助提供漏洞审计。
01. 确定攻击类型:供应链攻击
经过大量的信息收集和目标探测,三人小分队发现目标资产已被重重防护,正面突破的可能性很小,只能采用迂回性攻击,从目标资产的薄弱点——供应链发起攻击。
在盘查多家供应链机构后,三人小分队发现的确存在一批未被监控的系统,属于资产黑洞、边缘资产。它们不像目标资产那样有着严密的防护,而是存在一些应用漏洞,这给了三人小分队攻入的绝佳机会。
02. 初步胜利:夺取目标资产网站
很快,三人小分队就通过某第三方供应链企业的系统弱口令,进入到该系统后台,并找到了存储在后台数据中的目标资产发布系统账号和密码。在掌握了登录信息后,三人小分队顺利实现了正常登录目标资产网站系统,并可以随意控制、更改目标资产网站的页面内容。
之后,三人小分队对目标资产网站系统重置账号密码,又结合后台任意文件读取命令,找到了网站源码存储文件,下载到本地后,对网站本身漏洞也进行了审计。
至此,该目标资产已完全失陷。
03. 势如破竹:全国采集供应链平台攻击
为夺取更高的分数,三人小分队持续寻找供应链漏洞。功夫不负有心人,很快,三人小分队又发现了一头更大的“肥羊”——某全国采集供应链平台,很多省市机构包括此次目标对象都在使用此平台。然而,该平台存在一个很大的逻辑漏洞,即可以利用其系统的任意密码重置功能,获得管理员权限。
发现这一漏洞后,三人小分队攻入目标内网势如破竹,很快就通过供应链攻击,横向移动进入目标资产的在线会议、管理系统、存证系统等核心系统。通过自动化工具对用户信息遍历,对用户姓名、电话、证件号码等敏感数据予取予求。
尽管对方对三人小分队行为也有所发现,及时下线部分系统,封禁IP,但是这种处置已经滞后,是不得已而为之的补救行为。对于已经泄露的敏感数据,对方已无能为力。
供应链攻击攻防重点趋势
瑞数信息发现,经过多年的攻防演练,各企业机构的安全防护能力逐步增强,因此也让红队正面突破的难度越来越高。
因此,红队开始盯上了供应链攻击。这种典型的迂回战术,将目光聚集在目标企业的上下游供应商,比如IT供应商、安全供应商等,从这些上下游企业中找到软件或系统、管理上的漏洞,进而攻进目标企业内部。
此外,如今企业严重依赖供应链,这种高度的依赖性使得供应链安全和风险成为现代企业必须面对的重要挑战。随着软件供应链攻击日益普遍和愈演愈烈,Gartner已将其列为2022年的第二大威胁,并预测到2025年,全球45%的组织将遭受一次或多次软件供应链攻击。
2023年,全球经济发展存在大量不确定因素,网络犯罪的发展趋势也将继续不断上升。可以预见,引入到供应链中的安全威胁在复杂性、规模和频率上都将会持续加大,供应链攻击的数量将会快速增加。
瑞数信息防护建议
对于企业而言,简单的安全规划已不足以防御攻击者,尤其是Web应用中动态加载的第三方前端组件,让攻击变得更加复杂与隐蔽。瑞数信息建议加大部署更加全面的供应链安全防护工具,同时应采用更主动的方法来观察和持续分析用户行为以检测可疑访问,不断完善和加强自身供应链安全和风险转变能力。
另外,任意密码重置、弱口令这类逻辑漏洞的防守压力很大,因为模拟正常操作的行为很难被发现。瑞数信息建议各大政企机构定期对系统口令进行扫描,对发现的弱口令进行通报整改,对关键系统增加双因子认证机制,例如生物识别、OTP等等,降低密码泄漏的风险。同时,加强内网防护体系建设,收紧内部访问策略、增加内部访问监测。
本文作者:riversecurity, 转载请注明来自FreeBuf.COM
【Hacking黑白红】,一线渗透攻防实战交流公众号
回复“电子书”获取web渗透、CTF电子书:
回复“视频教程”获取渗透测试视频教程;
回复“内网书籍”获取内网学习书籍;
回复“CTF工具”获取渗透、CTF全套工具;
回复“内网渗透”;获取内网渗透资料;
回复“护网”;获取护网学习资料 ;
回复“python”,获取python视频教程;
回复“java”,获取Java视频教程;
回复“go”,获取go视频教程
知识星球
【Hacking藏经阁】知识星球致力于分享技术和认知。
1、技术方面。主攻渗透测试(web和内网)、CTF比赛、逆向、护网行动等;
400G渗透教学视频、80多本安全类电子书、50个渗透靶场(资料主要来自本人总结、以及学习过程中购买的课程)
2、认知方面。副业经营、人设IP打造,具体点公众号运营、抖*yin等自媒体运营(目前主要在运营两个平台4个号)。
如果你也想像我一样,不想35岁以后被动的去面试,那么加入星球我们一起成长。
欢迎加入99米/年,平均每天2毛7分钱,学习网络安全一整年。
▶【渗透实战系列】51|- 一次BC站点的GetShell过程
▶【渗透实战系列】50|- Log4j打点后与管理员斗智斗勇
▶【渗透实战系列】49|-实战某高校的一次挖矿病毒的应急处置
▶【渗透实战系列】|45-记一次渗透实战-代码审计到getshell
▶【渗透实战系列】|44-记一次授权渗透实战(过程曲折,Java getshell)
▶【渗透实战系列】|42-防范诈骗,记一次帮助粉丝渗透黑入某盘诈骗的实战
▶【渗透实战系列】|40-APP渗透测试步骤(环境、代理、抓包挖洞)
▶【渗透实战系列】|35-旁站信息泄露的dedecms站点渗透
▶【渗透实战系列】|33-App渗透 ,由sql注入、绕过人脸识别、成功登录APP
▶【渗透实战系列】|32-FOFA寻找漏洞,绕过杀软拿下目标站
▶【渗透实战系列】|30-从SQL注入渗透内网(渗透的本质就是信息搜集)
▶【渗透实战系列】|29-实战|对某勒索APP的Getshell
▶【渗透实战系列】|27-对钓鱼诈骗网站的渗透测试(成功获取管理员真实IP)
▶【渗透实战系列】|25一次从 APP 逆向到 Getshell 的过程
▶【渗透实战系列】|24-针对CMS的SQL注入漏洞的代码审计思路和方法
▶【渗透实战系列】|18-手动拿学校站点 得到上万人的信息(漏洞已提交)
▶【渗透实战系列】|17-巧用fofa对目标网站进行getshell
▶【渗透实战系列】|15-博彩网站(APP)渗透的常见切入点
▶【渗透实战系列】|12 -渗透实战, 被骗4000花呗背后的骗局
▶【渗透实战系列】|10 - 记某色X商城支付逻辑漏洞的白嫖(修改价格提交订单)
▶【渗透实战系列】|9-对境外网站开展的一次web渗透测试(非常详细,适合打战练手)
▶【渗透实战系列】|8-记一次渗透测试从XSS到Getshell过程(详细到无语)
▶【渗透实战系列】|1一次对跨境赌博类APP的渗透实战(getshell并获得全部数据)
点分享
点收藏
点点赞
点在看
原文始发于微信公众号(Hacking黑白红):一线作战日记:红队供应链攻击应对
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论