2024攻防演练之攻击思路与手法分析

admin 2024年6月24日11:33:22评论16 views字数 4120阅读13分44秒阅读模式
2024年攻防演练即将拉开帷幕,作为一种实战化的训练方式,攻防演练执行力度正在逐年增强,其攻击力度、攻击点范围、防护难度都在快速演进。

瑞数信息作为已连续数年参与国家级攻防演练的专业安全厂商,基于历年攻防演练总结发现,随着红队攻击手段不断变化,越来越多的0day漏洞从web应用组件转向供应链,攻击渠道从网络接口转向智能终端,攻击工具变得一体化、智能化,API成为主要攻击目标。

在这样的新趋势下,作为蓝队的企事业单位会面临哪些安全风险,又该如何做好常态化防御?为了让企事业单位跳出固有的防守者思维,真正站在攻击者的角度去审视和提升安全防护,瑞数信息安全响应中心研究员陆攀对攻防演练中的攻击思路、攻击流程、攻击手法、攻击案例进行了解析。

01  攻防演练之6大攻击思路

实网攻防演练如同两军交战,知己知彼才能百战不殆。研究红队如何进攻,才能让蓝队直观感知攻击路径,精准定位防御体系的潜在弱点。

攻击思路一:正面进攻

正面进攻是最有效的方法,一旦有所突破就会有较大进展,能够长驱直入,迅速控制核心目标。但此路径的设备防护与安全措施都较为严密,攻击难度较大。

攻击思路二:迂回攻击

如果正面突破没有效果,一般会选择迂回攻击,攻其不备。例如:边缘资产或者下属单位防护力度相对较弱,攻击成功之后再进行内网横移,进行目标攻击。

攻击思路三:社工钓鱼

前几年的攻防演练,社工钓鱼一般是在技术攻击无果之后才开始使用,但现在是从开始到结束就没停止过。

攻击思路四:云端攻击

现在很多业务系统如:OA、邮件、web服务器,放在了私有云服务中,通过私有云的漏洞进行虚拟机逃逸,可以乘虚而入,间接攻击目标系统

攻击思路五:利用VPN

通过VPN漏洞或者0day拿下VPN服务器,接入内网直接攻击目标系统

攻击思路六:供应链攻击

目前最热门的就是攻击供应链和联网设备,以供应链为突破口,寻找相关供应链漏洞,利用供应链源头攻击间接再攻击目标系统。

02 攻防演练之3大攻击流程

如同把大象关冰箱分几步,攻击从起点到终点也是有步骤、有流程的。

步骤一:外围探测、自动化攻击、信息收集

先收集OA、邮箱系统、VPN等系统信息,进行资产探测、漏洞探测,之后利用工具发起批量攻击、弱口令嗅探、路径遍历、批量POC等。

步骤二:深入渗透、手工攻击、权限获取

信息收集后,攻击转向重点系统。通过人工分析、定点打击、多源低频等方式,对现在安全措施进行突破,以权限获取为主。

步骤三:横向移动、内网漫游、核心渗透

权限提升后,以内网机器为跳板,横向移动,隐秘通信,对目标靶标进行渗透,从而获取数据和攻击目标系统,最后整理成果、上交报告。

03  攻防演练之4大热门攻击手法

掌握红队攻击手法在攻防演练中至关重要,蓝队可以有针对性地加强系统和网络的防御措施,提高所有参与者的安全意识

攻击手法一:供应链攻击

供应链攻击是目前最为热门的攻击手法之一,下面通过一个经典案例,展示攻击者是如何利用供应链薄弱环节,对目标企业实现深度渗透的:

在一次供应链攻击活动中,攻击者针对某目标企业正面进攻未果后,转而采取情报搜集策略,在公开的招标信息平台上发掘了该企业合作的软件开发供应商。通过细致的侦察工作,攻击者识别出供应商网络中的一个测试服务器,该服务器运行Windows操作系统暴露了远程桌面服务(端口3389),从而复制了生产环境的业务系统配置,为攻击者提供了宝贵的入侵途径。

不仅如此,攻击者还利用测试服务器上的一个辅助站点作为突破口,该站点存在SQL注入漏洞。通过此漏洞成功注入操作系统命令,进而取得了系统控制权,并利用开放的远程桌面服务登录,深化了对测试服务器的控制。令人意想不到的是,测试环境的业务系统管理员密码与生产环境相同,且在同一服务器上存储了代码托管系统的登录凭证,这无疑为攻击者敞开了更深层侵入的大门。

获得代码托管访问权限后,攻击者下载了核心系统的完整源代码,在本地环境中进行详尽的代码审计,发现了命令注入接口,为后续攻击埋下了伏笔。利用这一发现,攻击者利用在测试环境中获取的后台登录凭据,顺利登录到了目标企业的生产系统,通过上传恶意文件获得了初始的Webshell访问权限,进而完全掌握了业务系统的控制权。

最后,凭借对业务系统内部的深入了解及之前发现的命令注入漏洞,攻击者实现了内网的横向渗透,成功夺取了核心系统的最高权限。

攻击手法二:社工钓鱼

随着攻防对抗的发展,老旧漏洞、易挖掘漏洞越来越少,针对人的攻击尝试会越来越多,因此钓鱼攻击是攻防对抗最主要的手段之一,以下案例展示了攻击者是如何通过伪造钓鱼邮件发起攻击的:

攻击者首先非法获取了一个内部邮箱的访问权限,随后利用这一邮箱向企业内部发起了精心伪造的钓鱼邮件。邮件内容伪装成官方通知,声称收件人的密码即将过期,需立即更新。邮件中包含的链接指向一个伪造的网站,该网站外观设计与企业内部使用的认证中心网站极为相似,进而诱导企业员工在该假冒平台上输入用户名和密码进行所谓的“密码重置”。

此次攻击范围覆盖了1360个邮箱账号,其中86%的邮件成功送达;在收到邮件的员工中,约有50%打开了邮件;24%的邮件阅读者点击了嵌入的钓鱼链接;21%的点击链接者在虚假网站上输入了个人敏感信息并提交,总计有254名员工不幸中招。这表明即使是在有一定安全意识的环境下,精心设计的钓鱼攻击仍能取得显著的效果。

攻击手法三:API数据获取

随着国家对数据安全逐渐加大重视,API也成为主要的攻击入口和攻击目标。

在某民众服务的大数据平台上,其中一个关键的API接口设计缺陷暴露了严重的数据泄露风险。该API接口负责从外部互联网服务器调取个人身份信息以便在线展示,但平台开发者未能实施必要的访问控制和身份验证机制,使得该API处于完全开放状态,未经任何鉴权即可被外界访问。

攻击者利用这一重大漏洞,通过自动化工具轻松实现了对API的批量请求,系统地收集和下载了近20万名用户的身份证正反面照片。这一行为不仅严重侵犯了用户的隐私权,还可能为受害者带来诸如身份盗用、金融诈骗等一系列连锁安全问题。

攻击手法四:APP私开缺口

APP攻击一般会通过常规的网络抓包分析来识别APP潜在安全漏洞,但在直接抓包分析未能奏效时,攻击者会深入代码层面进行漏洞挖掘,展现了多阶段渗透的策略。一个典型的APP攻击案例如下:

在初步尝试抓包分析未能取得预期成果后,攻击者对目标APP进行了反编译。这一操作使攻击者能够直接查看应用程序的内部结构和源代码。通过细致的代码审查,攻击者在反编译后的APP代码中发掘出多个敏感URL信息,包括测试账号密码、内网地址、服务器地址、管理后台等。

在进一步分析这些敏感信息后,攻击者发现了两个重要安全漏洞:一是未授权API访问,该漏洞允许无需任何身份验证即可直接从服务器获取敏感数据;二是Shiro反序列化漏洞,可让攻击者在服务器端执行任意命令,实现对目标系统更深层次的控制,甚至完全接管服务器权限。

之后攻击者利用这些安全弱点,不仅非法获取数据,还进一步渗透至目标组织的内部网络,为后续的攻击行动铺平道路。

04从攻击者视角如何进行安全防御?

综上所述,站在攻击者的视角,企业主要面临四大安全风险:

  • 一是攻击面巨大且资产不清晰,随着数字化的发展,资产类型和数量越来丰富,云资产、APP、小程序、VPN、API接口等服务越来越多,企业难以完全掌握所有的潜在风险点,导致攻击面越来越多。
  • 二是供应链安全,供应链数量众多,并且类型错综复杂,安全难以做到统一管理。
  • 三是安全意识,社工攻击方法日新月异,不同企业和部门的安全重视程度不一样,因此员工安全意识差异也很大,整体的安全意识仍要提高。
  • 四是0day漏洞,这一直都是防御难点,并且危害巨大。

面对这些安全挑战,瑞数信息安全响应中心研究员陆攀提出了四个对策:

防御策略一:战线整理-缩小攻击面

防守方可以进行战线整理,加大攻击队信息收集的难度,缩小攻击面。通过敏感信息排查、攻击面收敛、攻击路径梳理、安全措施排查、外部接入网络梳理、隐蔽入口梳理等方式,可以有效减少90%以上的攻击面。

防御对策二:供应链安全

防御供应链攻击是一个系统性工程,需要从策略、技术和管理等多个维度综合施策,包括:供应链管理策略、保障供应链完整性验证、供应商访问控制、安全测试等关键措施。

例如,瑞数信息研发的下一代WAAP+平台基于动态安全、流量学习、客户端验证、特征规则、威胁情报、AI智能分析等多项创新技术,具备对WAF、DDoS、Bots防护以及API的安全防护能力,与API扫描器、API安全审计共同构建完整的API安全防护体系,形成前扫描、中防护、后审计的API完整防护。

防御对策三:社工安全

针对人员安全意识建设是一个永不过时的需求,一方面要持续提升安全意识,另一方面也要加强安全管控,如部署钓鱼邮件检测设备、终端侧安全、网络侧安全等防护措施,以减少此类安全事件的发生。

防御对策四:0day防御

尽管防御0day漏洞是一项挑战性的任务,但仍然可以采取一系列措施来减轻0day漏洞带来的风险,如:针对所有流量、日志、主机行为进行全方位监控分析;对核心系统、重要系统、集权系统、靶标系统进行重点防御;部署蜜罐、动态防御等安全设备;建设威胁情报体系等。

例如,瑞数信息“动态安全”技术,从0day漏洞利用过程中的固有属性出发,通过自身的动态安全防护,摆脱对规则特征的依赖,对0day利用工具的行为直接进行阻断,在攻防演练中已实时拦截近百个0day漏洞。

对于人工攻击,基于规则和特征的传统安全设备防护效率已越来越低,瑞数信息“动态安全”技术,从干扰攻击行为的角度出发进行防护,拥有多种动态干扰功能:web代码混淆、JS混淆、前端反调试、Cookie混淆、中间人检测等,能够不基于任何特征、规则的方式进行有效防护。

对Webshell等跳板工具,同样可以采用瑞数信息的“动态安全”技术,通过令牌等方式判定为非法访问,并直接进行阻断,而不依赖于攻击特征的识别。

05

结语

在攻防演练中,面对日益复杂的攻击手段,企业应采取全面而灵活的策略来提升防御能力。

原文始发于微信公众号(CISSP):2024攻防演练之攻击思路与手法分析

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年6月24日11:33:22
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   2024攻防演练之攻击思路与手法分析https://cn-sec.com/archives/2877588.html

发表评论

匿名网友 填写信息