最近刚完成针对于某行业的技战法,从中剥离出供应链部分并且对其进行扩充和延展。现在在项目中明显能察觉到红队攻击成本以及技术壁垒在不断的提高,在人力与资源的不断堆砌下,这样的趋势是必然的。在这样的背景下,以往印象中相对需要绕路的供应链打击越来越被推向高点,一推一拉的情况下绕路也变成了捷径,在下面我会站在个人的红队视角下针对于供应链打击进行浅薄的分析,主要是提供一些思路。
注意:所有攻击行为需要在获取供应商授权的情况下进行,禁止做未授权的攻击。
针对于不同的攻击场景我这边列举了不同的攻击维度
供应链攻击维度主要分为:
-
常规web攻击获取供应商源代码->代码审计->客户系统权限
-
社工钓鱼商用合作等途径获取源代码->代码审计->客户系统权限
-
供应链企业信息泄露->获取客户网络入口权限
-
伪造客户或厂商进行社工->获取系统应用权限
-
供应链企业内网网络权限->代码库、知识库等->客户源码或客户系统信息
-
供应链企业内网网络权限->客户系统部署文档或机器->客户vpn或堡垒机->客户内网
当然重点就是供应链资产和供应商的寻找。
定位匹配供应商主要分为对已知的资产进行资产出发的搜集,还有供应商与企业之间的关联性在互联网上暴露的搜集。
主要总结了几个方法,并不完全只是提供一种思路。
0x01 页面定位
通过html匹配技术支持等关键词对应供应商
0x02 指纹定位
遇到过一种情况,某些系统可能无法通过页面确定供应商,但是提取出指纹之后通过搜索引擎有时候能发现其供应链公司的demo测试站,并且通过域名匹配到了该供应商。
0x03 搜索引擎语法匹配
intext:XX系统 intext:XX单位 等构造
0x04 应用系统特征定位
下载应用系统的某些插件,或者文档,有些初始标记,可能会记录供应商。
0x05 招投标信息定位
一般大型单位会存在招投标系统,可以通过对应系统名称去搜索中标结果,遇到过一种情况,js里面把search给注释掉了,但后端的查询并没有删除,可以通过修改js去做正常查询。
0x06 微信公众号定位
关注公众号范围:目标的官微、各种技术公司的官微、各种新闻媒体的官微
关键字:目标名 +(应用系统、软件开发、信息技术、科技有限公司),目标系统名+(应用系统、软件开发、信息技术、科技有限公司)
0x01 代码托管平台
gitlab、Harbor等系统,寻找可突破的点
0x02 信息泄露
找部署了相同代码的目标或供应商,找备份文件或目录浏览等漏洞
0x03 网盘搜索
利用某网盘集成搜索
0x04 github
某些网站的报错,某些代码特征,一些关键词通过github搜索
0x05 内网信息收集
从业务入手,或者知识库等进行分析,获取一条通往客户内网的路,这里篇幅太大,先不展开了。
笔者在经历几次hvv后,深刻的感受到在攻击成本与技术壁垒逐渐上升的浪潮下,原先依靠几个N day或者扫描器就能获得突破点变得愈发困难,在没有0 day支援的情况下,供应链攻击愈发被红队重视,针对供应链的专项hvv也将被推到台前,所以对于供应商的安全防御又提出了新的挑战,如何构建客户与供应链一体化的防御体系,将成为安全行业发展的新方向。
原文始发于微信公众号(LK安全):天降神兵-狙击供应链
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论