2021年4月22日结束了历时15天的攻防演练,演练过程中,红蓝双方可谓是斗志斗勇。红队开始各种秀肌肉,对外披露掌握各种0day。尤其是最后几天,爆出来的谷歌浏览器的新CVE漏洞,依然是记忆犹新的。
整个攻防演练过程中充分说明了红队除了会收集各种靶标系统的信息,以及散播一些虚假情报迷惑对手外,更重要的是在各大平台收集最新的漏洞信息,制造出武器,发起攻击。
这就对我们蓝队来说面临了很大的挑战,如何防御未知威胁,甄别情报的真假,把有限的资源发挥出更多的价值尤为重要。
1.1情况简介:
在攻防演练进入倒计时的几天里攻击异常激烈,安全运营中心不断的发出告警特别是工单平台被webshell上传攻击,远程命令注入攻击,以及反序列化攻击等各种攻击行为缠绕,看样子是红队对工单平台吹响了号角,同时也引起了我的格外重视。
1.2发现痕迹:
04-21 16:57:35发现内部IP在对集团内部系统进行扫描,并对内部系统发起了weblogic任意文件上传攻击,利用的漏洞为CVE-2019-2618。在这里不得不说,在演练前已经对内网资产和互联网资产进行了整体的梳理并且做了安全基线检查和渗透测试,所以想靠历史漏洞发起攻击,只能说成功的概率会让对手失望的。既然发现了异动IP所以立刻封锁并定位到了责任人。攻击特征还是很明显的
1.3事件分析:
通过对事件整体的复盘发现是红队在进行钓鱼攻击,15:28攻击者通过IT服务平台,直接与IT服务人员建立会话,并发送一个工具“SRM系统安装控件.exe”冒充乙方供应商的身份企图让IT服务人员执行后门,奈何客服人员并不熟悉计算机的各种运行环境,所以经历了一段很漫长的时间,攻击者一直在指导客服人员如何克服安装困难。
时间很紧迫,毕竟距离护网结束只有一天了,所以一直催促客服人员快快点击。
奈何并不是客服人员没点击,只是控件被终端的杀软进行了阻断,客服也在懵圈之中,所以攻击队又在指导客服人员如何绕过杀软,不得不说,下次最好生成一个绕过杀软的后门,特征那么明显,怎么能不被杀软识别呢?总不能做个机器小子吧,攻击还是要有一定的隐蔽性。
作为红队,如果想做钓鱼也要花点心思了解一下终端安全,企业级的杀软并不是每个员工随便就能退出的,并且直接用工具生成的后门,如果直接使用的话肯定会被各种检测软件阻断的,得需要花一番心思的。
虽然经历了艰难险阻,还是在16:19的时候红队指导IT客服人员完成了后门的安装。红队对这来之不易的后门也是格外的重视,开始利用这个肉鸡为跳板对内部系统进行疯狂的端口扫描和漏洞扫描,不得不说还是太操之过急了,这么大量的数据流怎么不会被监控系统发现,所以如前文所述对攻击行为进行了制止。
写到这里好像是一直在对红队提出很多的改进建议,其实红队和防御本身是相辅相成的,只有不断的理解攻击才能持续化的做好防御。
1.4恶意样本分析:
言归正传,虽然对攻击行为进行了阻断,但是样本还是要分析的,在容器里跑了一下,发现SRM系统安装控件.exe释放后会向IP为45.158.34.142的8000端口发起两个GET请求,下载xiao.ps1和**xiao1.ps1**脚本,并在终端执行。接着对xiao.ps1脚本进行分析,发现是cobal strike生成的后门文件。图中左边是攻击者的文件,右边是我用cobal strike的生成的源文件,发现攻击者未对后门做修改
1.5应急处置:
结束木马进程并删除恶意文件。
对内网服务器进行深度巡检,查找是否存在其他恶意后门。
对内网反向连接进行审查,检查是否存在反弹shell。
受陷终端检查,分析攻击者遗留文件。
1.6 总结:
不难看出在HW期间业务系统经历了15天的奋战,并没有让红队找到攻击的入口,面对webshell上传、弱口令爆破、反序列化攻击、远程命令执行等攻击行为并没有陷落,而是被做了一次钓鱼攻击使终端造成了陷落,但是攻击者并没有发掘出有价值的内容。
这里不得不说在HW前期做的大量渗透测试还是起到了很大的作用。同时应该反思,企业的信息安全究竟应该如何建设,从以前的边界防护和纵深防御的理念,到现在的零信任架构思想,究竟如何做抉择才能做好企业的信息安全。
我认为两者要进行融合互为补充,通过对资产暴露的面收缩,以及将资产进行隐藏,尽量提高攻击者的门槛。攻击者一旦攻击成功后会考虑横向移动,所以基础架构安全尤为重要,企业要建立自己的一套安全架构,同时研发符合自身的安全运营中心,对业务系统进行监控,对攻击行为进行阻断。
除了技术层面的深入布局,还要在企业内部安全意识的传递以及安全流程的规划也是非常重要的,所以安全管理与安全技术要并驾齐驱,缺一不可。
作者:机器小子闯天下,转载于freebuf。
推荐阅读
点击关注乌雲安全
本文始发于微信公众号(乌雲安全):红队冒充乙方供应商让IT客服安装后门,蓝队反思了这些
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论