将安全君呀设为"星标⭐️"
第一时间收到文章更新
声明: 安全君呀 公众号文章中的技术只做研究之用,禁止用来从事非法用途,如有使用文章中的技术从事非法活动,一切后果由使用者自负,与本公众号无关。
文章声明:本篇文章内容部分选取网络,如有侵权,请告知删除。
1. 背景
随着金融行业数字化的不断深入,网络安全的威胁已经从简单的边界突破演变为更为复杂的社工和供应链攻击。本文将介绍一个合法授权的演练项目,该项目通过供应链和社工技术的结合,模拟了一次攻击,目的是绕过安全设备防护,深入目标网络。
2. 突破路径
- 伪造登录页钓鱼获取账号密码
通过模拟目标机构的在线学习平台,创建钓鱼页面,诱使员工泄露登录凭据。 - 登录系统后台文件上传getshell
利用云服务器的文件上传漏洞,获取初始访问权限。 - 登录页水坑攻击获取办公PC权限
通过在在线学习平台中嵌入恶意代码,当员工访问时,其办公PC被控制。 - 对抗绕过安全厂商AC设备防护
通过将恶意软件伪装成HTTP流量,绕过应用控制设备。 - 内网横向打下域控
在内网中横向移动,最终控制域控制器。
3. 突破详情
在对目标机构进行初步侦察后,发现其网络边界防护严密,自主研发的系统没有明显漏洞。但是,一个第三方电子学习平台引起了我们的注意。
针对收集到的web资产逐一分析,发现带有该单位logo的电子学习平台,但是资产在云上,不属于客户it资产。在没有找到其他登录口的情况下,只能以此为突破口进行尝试。
制作了钓鱼邮件,利用收集到的目标邮箱,发送了定制化的钓鱼链接,使用EmailAll收集目标邮箱。不久后,成功获取了一名员工的登录信息。
通过这个信息,我们登录了云服务器。
文件上传漏洞getshell,并通过cs上线。由于是一台云服务器,与实际内网不通,所以想着只能刷一些数据分。
在云服务器上,我们找到了包含超过两万名员工信息的数据库配置文件。这为我们提供了进一步攻击的基础。
我们接下来针对运维人员进行了水坑攻击,通过发送含有恶意flash的邮件,诱使他们点击并运行,从而控制了他们的办公PC。
将运维人员邮箱筛选出来进行鱼叉攻击,发送邮件告知其需要登录学习网站修改密码。如果点了“立即升级”并运行,电脑就立即上线。这里遇到一个问题,很多金融单位会限制办公电脑上网,但是一般只会限制http,而很容易把dns给忽略,所以走cs dns上线可以尽量多的上线目标。
很快,上线了一台pc,成功进入办公网。
试了下公司官网,http可以正常访问,所以cs listener中配置host为公司官网域名,成功http上线。
在进行渗透测试时,我们尝试通过DNS协议来执行Cobalt Strike(CS)操作,以期在内网中建立一个控制通道。然而,我们遇到了显著的延迟问题,这导致执行简单命令的响应时间可能长达一分钟。在这种高延迟的情况下,内网横向移动的效率极低,几乎无法有效进行。
面对这一挑战,我们转而尝试通过HTTP协议来建立监听器(listener),希望能够提高通信效率。遗憾的是,初次尝试并未成功。
在对网络环境进行了基础的信息收集之后,我们发现网络中部署了一款来自知名安全厂商的应用控制(AC)设备。这种设备通常用于管理终端用户对互联网的访问权限,用户在终端输入账号和密码后,通过AC设备的身份验证,方可访问互联网。同时,AC设备能够通过配置HTTP Host头的白名单来限制用户对特定网站的访问。
在确认了公司官网可以通过HTTP协议正常访问之后,我们调整了CS监听器的配置,将Host头设置为公司官网的域名。这一策略变更使得我们能够通过HTTP协议成功建立连接,从而提高了操作的效率。
在内网横向移动中,我们发现了域控制器,与裁判报备后,利用已知漏洞CVE-2020-1472获取了域控权限。
4. 总结
-
增强员工的安全意识培训:定期对员工进行网络安全意识教育和培训,确保他们了解潜在的网络威胁,如钓鱼攻击、恶意软件和社会工程学攻击,并知道如何识别和防范这些威胁。 -
对第三方供应商系统实施定期安全评估:与第三方供应商合作,确保他们提供的系统和服务定期经过安全测试和审计,以发现并修复可能的安全漏洞。 -
强化内部网络的防御措施:加强内部网络的防护措施,包括但不限于使用防火墙、入侵检测系统和防御系统,以及对关键资产的访问控制,确保内部网络的安全性。 -
保持安全设备和软件的更新:确保所有的安全设备和软件都更新到最新版本,以利用最新的安全补丁和功能,防止潜在的攻击者利用已知漏洞绕过安全措施。
原文始发于微信公众号(安全君呀):记一次红队渗透通关某金融单位
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论