身为一个资深的网络安全从业者,由于比较擅长去给客户讲案例,这里把以前攻防演练如何突破的过程做成了PPT给客户展示一些经典突破手段。
案例一:某机场的渗透案例
渗透过程:
1文件上传突破互联网边界进入某机场内网,发现各类设备密码本
2通过多网卡主机及密码本信息,成功进入集团本部
3内网虚拟化平台、域控、航班信息、财务结算等重要系统均失陷
存在问题:
1、互联网暴露面管理不到位,存在可被利用的漏洞;
2、网络边界设备没有发挥价值,未成功拦截
3、 内部威胁检测能力不到位,无法发现批量扫描、破解的行为
4、未使用堡垒机+动态口令加强账号管理;
5、未做好登录限制,限制仅堡垒机可远程管理;
6、隔离网络禁止使用双网卡机做管理,易导致跨网互联;
案例二:某市工业生产制造企业
渗透过程:
1弱口令登录某集团互联网系统,0day攻击进入内网
2利用弱口令、SQL注入、MS17-010相继拿下众多服务器、数据库
3定位并利用漏洞拿下域控,可掌控全集团上万台主机,整个集团网络失陷
暴露问题:
1、内部漏洞管理不到位,存在5年前的高危漏洞;
2、内部威胁检测能力不到位,无法发现批量扫描、破解的行为;
3、未使用堡垒机+动态口令加强账号管理;
4、未做好登录限制,应限制仅堡垒机可远程管理;
案例三:某政府媒体单位
渗透过程:
1利用弱口令及常规执行命令漏洞反弹shell进入某单位内网
2抓取主机密码,口令复用及弱口令,导致内网大量服务器失陷
3广告/新闻发布服务器、数据库、广播节目播放编辑系统失陷
存在问题:
1、互联网暴露面管理不到位,存在可被利用的漏洞;
2、密码复用,容易导致全面沦陷;
3、未使用堡垒机+动态口令加强账号管理;
4、未做好登录限制,限制仅堡垒机可远程管理;
案例四:某市公积金全网沦陷
渗透过程:
1利用文件上传漏洞,进入某单位内网
2弱口令拿下众多服务器,全单位职员、工资待遇、贷款等敏感信息泄露
3突破内网边界进入国家行业专网、金融专网,
4可接管自治区行业监管系统,管理全区6百多万公积金缴存信息
存在问题:
1、互联网暴露面管理不到位,存在可被利用的漏洞;
2、内网资产普遍存在弱口令;
3、未使用堡垒机+动态口令加强账号管理;
4、未做好登录限制,限制仅堡垒机可远程管理;
案例五:区内某供应链企业存储大量重点单位运维账号
渗透过程:
1 0day漏洞攻击互联网系统,进入某单位内网
2 代码执行、弱口令拿下大量内网服务器、研发云平台权限
3 供应链企业内部项目管理系统失陷
4 大量重点单位核心系统内部VPN、账号密码等资产信息泄露
存在问题:
1、内部缺少纵深防御,导致全网沦陷;
2、内网资产普遍存在弱口令;
3、未使用堡垒机+动态口令加强账号管理;
4、未做好登录限制,限制仅堡垒机可远程管理;
互联网直接突破入口
存在问题:
1、未授权访问是个中危漏洞;
2、未授权访问的页面存在上传点,属于高危漏洞,两个漏洞组合导致沦陷;
3、说明渗透测试不够深入,缺少带合法账号的白盒测试,充分暴露风险;
4、数据库自身未做访问控制规则,应当仅允许堡垒机连接;
5、网站源代码中的配置文件未做加密;
互联网直接突破拿下云资源管理平台
存在问题:
1、互联网资产存在高危漏洞风险,存在多个突破口;
2、租户没做到真正隔离,导致内网资产暴露,
3、互联网与内网系统缺乏网闸隔离;
4、运维堡垒机使用不到位,存在独立的运维服务器保存密码;
5、防火墙规则不到位,允许任意IP登录云平台;
6、内网威胁发现能力不到位(值班人员敏感度不足),未及时发现内网扫描行为;
7、租户IP应禁止访问到管理平台,
8、未做到纵深防御,可能防火墙规则不到位;
防守方的两个典型问题一
复盘思考:为何WAF没有拦住攻击?
1、尝试获取安全设备型号。攻击者上传webshell之前会尝试探测IPS和WAF的型号;
2、针对安全设备做免杀。Webshell会针对某品牌安全设备做免杀或绕过,无法检测到攻击行为,因此就无法拦截该攻击行为了。
3、如果不做特定免杀,那么在上传的过程中会失败多次,产生日志告警,可被监控察觉;
4、在攻防演练阶段对安全设备应当启用战时强安全策略;
防守方的两个典型问题二
复盘思考:为何无法及时发现内网攻击?
1、攻击者通过内部肉鸡架设扫描器,如果部署了主机安全软件(椒图)则无法安装扫描器;
2、攻击者的扫描行为会导致政务云内部的天眼流量探针告警,发生大量的日志,此时可感知内网攻击行为。
3、实际上似乎被值班监控忽略了。体现了值守人员无法从海量日志中发现真正的威胁行为,可能是对告警麻木了,也可能是不具备威胁分析的能力。
总结:攻防演练暴露的问题原因分析
原文始发于微信公众号(进击的HACK):攻防演练中的经典突破案例
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论