申明:文章仅供技术交流,请自觉遵守网络安全相关法律法规,切勿利用文章内的相关技术从事非法活动,如因此产生的一切不良后果与文章作者无关。
本系列由和师傅发表在火线安全社区,文章地址:
上:https://zone.huoxian.cn/d/2964
中:https://zone.huoxian.cn/d/2965
下:https://zone.huoxian.cn/d/2967
上篇
前言
红队越来越难打了,起码对我来说今年的几场红队中社工钓鱼成为了必定要考虑的姿势,现在的目标也不是完全能拿有效RCE的day拿下的,当然比有巨多0day的大佬来说还真比不上。大厂的安全研究部门以及厂商的公益src从day的产出上来说,拎出来太能打了。并且这两年也没有非常核弹级的nday,已经不上前些年拿着shiro一键利用工具梭哈就能解决靶标的年代了。所以起码在目前阶段而言甚至明年或者后年的红队同学们来讲,钓鱼的姿势可能在一定程度上能决定在一场比赛中能拿到什么样的名次。
钓鱼
选择社工钓鱼的方式基本上考虑几点
-
钓鱼的优势
钓鱼的成果最大化的好处是能实现突破边界以及快速的获取办公网、业务网的大致情况以及部分业务系统的web权限,毕竟目前人的习惯上来讲浏览器记住密码这个习惯不可能改掉,毕竟太好使了。
-
为什么选择钓鱼
口令复用的问题,举个简单的例子,对于大多数人来讲,不管工商银行还是说中国银行等等,取款密码大部分人的习惯是一致的,QQ密码还是微信密码对于同一个人来说服用的概率也很高。
-
钓鱼方式方法
邮件钓鱼:攻击者发送伪装成信任来源(如银行、社交网站、电子商务网站等)的电子邮件给受害者,欺骗受害者点击链接或下载附件,并在其中输入个人敏感信息。
目前常用的方式有
社交媒体钓鱼:攻击者在社交媒体平台上伪装成真实账户或虚假人物,与受害者进行互动并引导受害者访问恶意站点或提供个人信息。
手机钓鱼:攻击者通过短信或电话,欺骗受害者前往恶意站点或者提供个人信息。
近源
badUSB投放:攻击者通过近源利用U盘等可移动设备,将病毒或木马程序隐藏在其中,并将其留在可能被特定目标(如公司)发现的地方,以便感染目标计算机系统。
WIFI破解:攻击者利用近源方式目标单位的无线网络进行探测以及尝试破解,当WIFI未和业务网进行隔离时,可直接突破边界进行横向。
启动盘近源终端:攻击者通过近源的方法接近目标单位的终端,通过启动盘增加管理员用户,实现突破边界,进行横向攻击。同时可以通过抓取管理员用户的密码横向进行密码喷洒。
实例
只讲方式方法,不谈免杀,除去近源的方式外,基本上所有的钓鱼和社工方式均需要免杀的参与。暂且不提横向工具的免杀,上线应用的免杀是进行钓鱼前首要需要解决的问题。
实战钓鱼一:邮箱钓鱼
场景:靶标学校
对于学校的钓鱼比较简单,最先考虑的问题应该是学号等。学校的业务系统涉及第二学科、教务等系统。但需考虑的首要问题是,账号怎么获得。方式有两种
1.通过邮箱钓鱼,以QQ邮箱为例,需要注意以下几个方面
-
注册qq邮箱后需要将被绑定的手机号删除掉。
-
开启英文邮箱
-
修改邮箱发送为英文邮箱,最好使用信息搜集的靶标的相关用户的姓名全拼等
-
增加qq邮箱的资料卡或者设置签名
这里修改资料卡会更快,同样也可以尝试添加个性签名
发送邮件的时候需要附加签名
但是需要注意的是,qq账号的头像需要更换你想要表达的头像,比如说目标单位的logo等,文案的话可以选择自己考虑,但是这里开始钓鱼的话分为两类,第一类恶意应用钓鱼,第二类账号密码钓鱼
账号密码钓鱼
这里导航的钓鱼超链要到位,这种钓鱼考虑到方便目标点击跳转,也方便无复制点击调转实现钓鱼,钓鱼网站的制作的话需要发件人自己测试好,当首次提交后自动跳转正确的网址。
整个钓鱼效果如下
这里做好数据接收机制,可以考虑使用钉钉的机器人接口,但是需要注意,钉钉机器人的接口一分钟调用次数为20次,存在丢包的情况。
需要注意的是现在腾讯的机制是同一个账号给陌生人发邮件,当发送条数一次大于30条左右就会邮件自动进入黑名单,在22年之前,一次能100封左右,这是这两年在实际利用QQ邮箱发送钓鱼邮件的时候发现的。
下面是我在近年实战钓鱼的实例
这个案例是钓鱼利用通用密码登录员工企业邮箱进行钓鱼邮件批量下发。
批量下发文件后上线效果,总共是上线终端98台。
但是客户端上线手速一定要快,做好权限维持才是可持续输出的先决条件。
实战钓鱼二:系统任务下发
获取web应用系统权限,通过系统的文件管理下发邮件
下发的图片找不到了,系统文件管理下发的功能基本上综合系统或者sso都有。
上线效果也是很能打。
Tips:注意政务的话就不要考虑一级单位了,毕竟现在国产化比例太高了,性价比来说太不划算了。
实战钓鱼三:利用系统短信接口
这是某个行动中的某个靶标单位,系统内的短信接口很好用,这里的短信接口不单单可以发送给本单位人员,包括到访单位的数十万人员均可发送,因为是YL行业,所以就影响来说不亚于前端时间某JYT发送非法链接。
在活动中我们选择目标群体有两类。
-
该单位所有人员 -
社区YY人员(社区为重点)一张网且防护弱 -
发送内容需要考量
效果如下
这个截图为自己手机号添加进去测试接受消息的效果,最终也是获取了几十台的机器,官方发的消息可信度能不高吗?
传统社工
传统社工其实更简单,但是成功率比较低。下面的两个案例是根据获取到的信息被VX钓鱼的。
突破的专有云。
案例二为上次项目中利用微信钓鱼,短平快,上马没用,最后上的向日葵
效果属于说是最好的,但是要根据行业而定,比如说这个案例中的为YL行业,大多数的网络状况就是双网卡机器少。
小结
找过去的报告比较难找图片,有机会下一篇分享不行同业、不同场景的钓鱼姿势,年底咯,没想到HVV项目竟然不同于往年竟然又多起来了。
中篇
前言
这篇主要接上篇,当然配合红队实战中的案例来说明,接上篇的钓鱼。主这篇文章主要以JY和ZW行业来选择钓鱼姿势。
JY行业
JY行业有JY专线,所以选择JYJ或者JYT为靶标的时候可以尝试从EDU入手,为什么不考虑小中高的原因是因为第一资产少,大部分学校在公网上的业务主要都是一堆静态的HTML还是前后台分离的,并且大部分业务都在公有云上,运气好的话可以突破边界进入某个学校的内网却根本摸不到厅,纯纯浪费精力,性价比太低。所以在选择靶标尽可能选择EDU,并且在稍微级别高一点儿的红队活动中,有JYT就一定EDU,所以在选择通过EDU突破JY专网到厅里还是可以选择迂回的,就算EDU靶标不是自己的靶标,没出局的靶标后期一般会放开,成果不一致后期基本上也可以提交,性价比挺高的。
选择EDU钓鱼的话可以优先选择有VPN的。
比如
一般大学都会有vpn,可以从VPN类型看出一个学校VPN面向的对象。
-
有专有VPN客户端或者商用VPN产品的一般对象基本会面向全校师生。这个时候选择钓鱼的对象会比较大且成功率高。 -
如果是SSLVPN的基本上限制会比较大,比如说入网用户一般都伴随申请等,这个时候面向的对象会使小部分群体,就vpn来讲钓鱼的成功率很低。(图片资产测绘检索的)
不过费劲巴拉的一波钓鱼,会出现两种情况
-
VPN登录进入了,但是没有资源分配,事实上大部分高校的资源(我遇见的)基本上给的资源都只有图书馆+教务系统
-
运气比较好,运维安全意识比较低的资源会给ALL
JY行业的网络状况
我目前遇见的JY的高校重要核心业务的网络情况基本上都是可以出网的,没有碰见不出网的情况,所以基本上不用考虑机器拿下了死活不出网,如果存在这种现象,基本上不需要怀疑其他的,只需要怀疑是不是自己的服务器被打标签之类的,因为目前一些设备的阻断是基于情报,各大厂商的服务器都是有一次更换公网地址的机会的,不过现在的状况是就算换了ip也可能依旧被打标签。
信息搜集关键点
-
信息搜集从QQ群来、二手闲置交易群来效率最高。尤其在用学号等,不过建议搭配社工Ku使用,手机号等结合使用效果会更好。
这里可利用群进行精准钓鱼,最好的选择是新生群,避免学生离校实习等情况,容易打偏。
-
一般高校的VPN绑定都是学号,配合用户的口令复用即可突破边界 -
高校小小程序和定制化开发的app,这里需要注意的是部分高校的app绑定的是手机号而不是学号,使用web端的口令和密码是无法进行登录的。这里的信息搜集仅针对部分高校的部分应用有效 -
不要忽略高校表白墙+新生群,这里是可以确定所谓的校园宽带是不是真正的”校园网“,因为确实发现部分学校的校园网比较假,是运营商的网络,跟学校内网业务是真正意义上的两张网
事实上你可以永远相信一个高校的万能墙和表白墙。
权限维持
对于钓鱼高校用户成功率可以说是最高的,但是尤其需要注意的有两点
-
手速要快,权限维持要尽快做好,包括定时任务。因为高校用户的终端太容易关机了。在没有获取稳定的隧道的条件下,手速一定要快,这样才能实现可持续。
-
确定好内网业务段,所以密码抓取的速度要快,浏览器的历史记录以及存储的账号密码是实现进一步攻击的有效保障。
横向
针对于高校来讲,用户的体量比较大,之前跟多个高校的网络中心其实是有过交流的,对于高校来说,探针以及联动策略不可能做的很精细化,容易影响业务,另外针对用户的ip地址是不会IP和MAC绑定的,校园网顶多可以精确到学号手机号,阻断封禁时间也是比较短的,所以钓鱼获取到机器后直接一把梭就ok,不用担心溯源的问题,毕竟溯源的难度大周期性长。当然获取内网服务器后横向还是要注意规避流量探针的。
内网获取业务系统的权限可以注意配合使用水坑攻击
这是在一次行动中获取的答题系统,通过某个漏洞获取了系统的权限,通过CS上线后进行水坑攻击,修改服务器中的附件,进行钓鱼。这种利用水坑横向钓鱼更加精准,并且降低了上钩即被发现的风险。
邮箱钓鱼选择
我目前钓鱼的话基本上是会选择两种邮箱,注意配合使用上一篇提到的签名
-
网易邮箱
QQ和网易邮箱,群收件人能看到其它收件人
-
QQ邮箱
(2024年底测试)QQ邮箱进行批量发送,邮件在60封左右的时候,邮件已进垃圾邮件,但是网易进行发送的时候,批量发送,一次发送80封的时候邮件还没有进入垃圾邮件。所以在发送钓鱼的时候注意,单次单发,且不同的用户尽可能发送不一致的内容以及不同哈希的附件,这样成功率稍高一点儿。
ZW行业
其实ZW基本上没啥说的,钓鱼成功的概率太低,主要原因有两点
-
ZW不出网 -
国产化现在太高了,基本上大一点儿的单位国产化概率有百分之八九十
突破口
所以现在基本上针对ZW的钓鱼基本上Tricks有一个个
-
目标转向二三级单位,进内网容易且钓鱼成功率高
风险
不是说二三级单位出网,而是二三级单位的网络规划以及管理相对来说比较薄弱,且二三级单位的国产化没那么高,有的甚至没有,从这一点儿迂回横向很好使,但是风险是容易找不到从二三级到一级单位的链路。
下篇
序
因为系列已发,所以就画个句号吧,最后一篇文了,src见过定级扯皮的,没想到投稿评审也得扯皮【笑哭】,所有示意图均为自画,禁止盗图呦,ahhh
前言
前面提到了JY和ZW,那么这里主要聊聊YL行业,YL单独拿出来说,主要是因为YL行业的可玩性最高,并且YL的网络环境目前基本上大体上各个医院基本类似,安全意识高一点儿和预算稍微充足一点儿的医院从网络架构上来说基本上都已经都做到了一致,在省级市级的行动中医院的参与度是比较高的,更高级别的行动种针对的就是整个卫生行业了。
YL行业目前的基本情况
这里拿我接触到的看到的来简单聊聊,只谈我接触到的,基本上各家医各地卫生行业基本类似,目前国内的大多数的二级医院分布在县级单位,网络安全投资一般不会很大,从网络安全设备上来讲基本上大多数有防火墙、IPS、IDS,IPS和IDS有的甚至是新一代防火墙的模块,WAF部分可能存在,流量探针和态势感知平台大部分是没有的且核心业务网和互联网区是没有做物理隔离的。
二级无网闸
安全运维预算稍微足一点儿的,基本上会增加堡垒机和漏扫设备,并且划分的有单独的安全运维区
但是针对YL行业,针对上部最大的问题就是互联网和核心业务内网没有物理隔离,互联网区很业务内网没有实质上的网络隔离,那么两个区域之间的划分没有任何意义。针对这两种的网络架构,实际上的钓鱼就非常简单了。
-
钓鱼目标选择任意内网区域内的终端准可实现从终端到业务内网和医保网的网络通信。这种情况一般网关是做在了核心交换机上。 -
也可以近缘采用WiFi破解实现突破边界隔离。
二级网闸架构
利用网闸实现隔离,互联网区仅做访问外网,业务内网服务器均不可出网,仅做核心业务应用访问,例如HIS、LIS等的终端基本全部在业务内网区域。
这种情况下并非所有的业务网终端都是不能出网的,类似于三级业务系统,是存在部分运维终端以及主任终端是可以出网的,包括财务以及前置机服务器等都是会出网的。
-
供应链钓鱼运维机,这种情况下可以不针对医院内职工进行重点信息搜集 -
钓鱼双网卡机,基本上各个部门主任的机器都是双网卡机,二级三级医院同样适用。
三级网闸
安全运维做的比较优秀的单位会增加更多的安全设备,比如增加EDR对终端安全进行监测管控,上网行为管理设备部分单位会有,主要一般是考虑舆情方面的问题,另一个是全流量分析平台监测以及态势感知。最重要的一点儿是准入设备的接入让近源攻击的难度也大大增加。
二三级级的YL网络还是可以利用近源接入,或者近源攻击突破边界,目前实战种我通常从两个层面出发,第一个是利用无线网,对于YL系统来说也是存在无线内网的,无线内网登录会自动获取内网IP地址,部分业务是可以访问的。第二个还是需要利用内网业务终端进行跳板,但是不出网的情况不是没有办法解决,是完全可以有办法解决的。不过目前分为两种情况
-
无DeviceLock软件
没有USB禁用等工具软件,可以配合无线网卡进行使用。在近源终端上增加无线网卡做默认路由,指向自己的C2服务器,这种情况下,业务网终端担任的角色就是双网卡。利用出网网卡进行跳板,内网网卡进行业务链接
默认路由命令
route add XX.XX.XX.XX mask 255.255.255.255192.168.0.1 metric 1
这种情况下,稳定的隧道是没有问题的,也不会影响业务,除非业务网段和无线网卡的网段一致,至于规避流量监测那是另一个技术层面的问题了。
-
存在DeviceLock
部分三级单位是存在usb禁用工具的,也卸不掉同样无法退出,这种情况下上面的方式近源也是解决不了问题的,第一渗透工具无法上传,第二也无法出网没有稳定的隧道。这种情况下就比较原始了。
利用网线直连实现工具FTP传输
这种情况是可以上传成功工具进行操作的。但是最大的问题是没有隧道,无法远程操作。这种情况下可以提供一点儿思路。如果A和内网终端直连,A出网即可实现隧道传输。那么问题就解决了,不通过直连FTP,需要接入一个出网的机器。示意图如下所示
小结
这两年这集中攻击方案在行动中屡试不爽,目前也没碰见比三级网闸更复杂的情况,在规则允许的情况下,事实上YL行业我倒觉得是众多行业内还算比较容易出成果的,钓鱼其实还好,社工以及近源最大的问题就是“偷感”太重,欢迎交流,有碰撞才有新思路。
如果喜欢小编分享的文章,记得转发+点赞+关注支持一下哦~
现在只对常读和星标的公众号才展示大图推送
建议大家把公众号“设为星标”,否则可能错过一些好文哦
原文始发于微信公众号(沃克学安全):谈一谈红队中的社工钓鱼姿势
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论