红队经典攻击手法一

一、 正面突破——跨网段控制工控设备

某企业为国内某大型制造业企业，内部生产网大量使用双网卡技术实现网络隔离。在本次实战攻防演习活动中，攻击队的目标是：获取该企业工控设备控制权限。

经过前期的情报收集与分析，攻击队制定了首先突破办公网，再通过办公网渗透进入工控网的战略部署。

1） 突破办公网

攻击队首先选择该企业的门户网站作为突破口，并利用一个0Day漏洞获取了该门户网站应用与操作系统的管理员权限，从而获取到该企业办公内网的接入权限。

在横向移动过程中，攻击队又探测到该企业内网中的多个服务系统和多台服务器。使用已经获得门户网站管理员账号和密码进行撞库攻击，成功登录并控制了该企业内网中的绝大多数服务器。这表明，该企业内网中的大量系统服务器都使用了相同的管理账号和密码。

至此，攻击队突破办公网的第一阶段目标顺利完成，并取得了巨大的战果。接下来的目标就是找到工控网络的突破口。

2） 定位运维人员

对已经被攻破的服务器系统进行全面排查，攻击队发现，有多台服务器中存储了用Excel明文记录的密码本，密码本中包含所有系统用户的账户和密码。同时，服务器上还明文存储了大量机构内部敏感文件，包括企业IT部门的组织架构等信息。结合组织架构及密码本信息，攻击队成功定位到了一位工控系统的运维人员，并对其联网行为开展了长时间的监控。

3） 突破工控网

经过一段时间的监控，攻击队发现该运维人员自己的办公终端上有嵌套使用远程桌面的情况，即：首先通过远程桌面登录一台主机A；继而，操作人又用主机A继续通过远程桌面，登录另一网段的主机B。通过于密码本进行对比时，发现主机A和B都是该企业工控系统中的主机设备，但各自处于网络拓扑结构中不同的层次。其中，B主机之下连有关键的工控设备。

进一步分析发现，主机A使用了双网卡，两个网卡分别对应不同网段，但是两个网卡之间没有采取任何隔离措施。同时，主机B也是一台双网卡主机，其上部署了隔离卡软件进行双网卡切换。

最终，攻击队发现了B主机上隔离卡软件的一个重大设计缺陷，并利用该缺陷成功绕过双网卡的隔离机制，成功拿到了工控设备的操作权限，可以随意停止、启动、复位相应的工控设备，某些操作可对设备的生产过程造成直接严重的伤害。

同时，攻击队的另一组人马继续摸排受控主机的用途和存储文件。功夫不负有心人，攻击队最终又发现一台“生产住操作室”的主机设备，其上存储有生产专用的文件，内容包括一些涉密文件，一旦被窃取，后果难以想象。

二、 百折不饶——社工钓鱼突破边界

某企业为某大型特种设备制造商，同时具有比较成熟的互联网服务经验。在本次实战攻防演习活动中，攻击队的目标是：获取该企业一个核心业务管控平台的控制权限。

攻击队在前期的情报收集工作中发现，该企业内部的网络防御体系比较健全，正面突破比较困难。经过头脑风暴，大家达成共识——要通过社工方法进行迂回入侵。

1） 寻找社工突破口

攻击队首先想到的社工方法也是最常见的邮件钓鱼。但考虑到该企业相对完善的网络防御体系，猜测其内网中很可能已经部署了邮件检测类的防御手段，简单的使用邮件钓鱼，很可能会被发现。

进一步的情报搜集发现：该企业使用了微信客服平台，而且微信客服平台可以进行实时聊天并发送文件。考虑到客服人员一般没有很强的技术功底，安全意识往往相对薄弱，攻击队最终商定：将社工对象确定为微信客服人员，并以投诉为话题尝试对客服进行钓鱼。

2） 冒充客服反馈问题

于是，一名攻击队队员开始冒充客户，在该企业的微信客服平台上进行留言投诉，并要求客服人员接收名为“证据视频录像”的压缩文件包。该压缩包实际上是攻击队精心伪装的，带有木马程序的文件包。让攻击队意想不到的是，该客户人员以安全为由，果断地拒绝接收不明来源的文件。显然，攻击队可能低估了该企业客服人员的安全意识素养。

3） 社工升级攻破心理防线

不过，攻击队并没有放弃，而是进一步采用多人协作的方式，对当班客服人员进行了轮番轰炸，要求客服人员报上工号，并威胁将要对其客服质量进行投诉。经过1个小时的拉锯战，客服人员的心理防线最终被攻破，最终接受了带毒压缩包，并打开了木马文件。该客服人员的终端设备最终被控制。

以受控终端为据点，攻击队成功打入该企业的内网，后又利用一个未能及时修复的系统漏洞获取到关键设备控制权限，再结合内网的信息收集，最终成功获取到管控平台的权限。

三、 迂回曲折——供应链定点攻击

某超大型企业为一个国家级关键信息基础设施运营管理方，一旦发生安全事故，将直接危害国家安全及人民生命财产安全。在本次实战攻防演习活动中，攻击队的目标是：获取该企业内部系统的安全管控权限。

根据攻击队前期的情报收集摸排，该企业的办公网络及核心工业控制系统得到了非常严密的安全防护，对互联网暴露的业务系统较少，而且业务系统做了安全加固及多层防护，同时也拥有较强的日常网络安全运维保障能力。想要正面突破，非常困难。

前期情报分析还显示，该企业虽然规模大、人员多，但并不具备独立的IT系统研发和运维能力，其核心IT系统的建设和运维，实际上大多来自外部采购或外包服务。于是，攻击队根据这一特点，制定了从供应链入手的整体攻击策略。

1） 寻找目标供应商

攻击队首先通过检索“喜报”、“中标”、“签约”、“合作”、“验收”等关键字，在全网范围内，对该企业的供应商及商业合作伙伴进行地毯式摸排，最终选定将该企业的专用即时通信软件系统开发商A公司作为主要的攻击目标。

情报显示，A公司为该企业开发的专用即时通信系统刚刚完成开发，推测该项目目前尚处于测试阶段，A公司应该有交付和运维人员长期驻场为该企业提供运维全服务。如果能拿下驻场人员的终端设备，则可以成功进入该公司内网系统。

2） 盗取管理员账号

分析发现，A公司开发的即时通信软件也在其公司内部进行使用。而该软件的网络服务管理后台，存在一个已知的系统安全漏洞。攻击队利用该漏洞获取了服务器的控制权，并通过访问服务器的数据库系统，获取了后台管理员的账号和密码。

3） 定位驻场人员

攻击队使用管理员的账号和密码登录服务器后，发现该系统的聊天记录在服务器上是准明文（低强度加密或转换）存储的，而且管理员可以不受限制的翻阅其公司内部的历史聊天记录。

攻击队对聊天记录进行关键字检索后发现：A公司有三名员工的聊天记录中，多次出现目标企业名、OA、运维等字眼；并且这三名员工的登录IP经常落在目标企业的专属网段上。因此，攻击队判断，这三名员工就是A公司在目标企业的驻场人员。

4） 定向恶意升级包

攻击队最初的设想是，通过被控的即时通信软件服务器，向三名驻场人员定向发送恶意升级包。但这种攻击方法需要修改服务器系统配置，稍有不慎，就可能扩大攻击面，给演习工作造成不必要的损失，同时也有可能暴露自身攻击活动。

为实现对三名驻场人员更加隐蔽的定向攻击，攻击队对A公司的即使通信软件进行了更加深入的安全分析，发现其客户端软件对服务器的身份安全验证、对升级包的合法性校验机制都存在设计缺陷。

于是，攻击队利用上述缺陷，通过中间人攻击，对服务器推送给三名驻场人员的客户端软件升级包进行了劫持和篡改。最终三名驻场人员都在完全没有任何感知情况下，在各自的PC机上安装了攻击队伪装设计的恶意升级包。

5） 横向移动

攻击队以驻场人员的运维机作为跳板机进入内网后，开始进行横向移动。

攻击队首先找到了该企业的一台域控服务器，并利用一个近期最新爆出的域控系统安全漏洞，获取了该主域的域账号密码哈希信息。但防守对很快地发现了此次攻击，并将该域控服务器进行了隔离。

不过，攻击队并没有放弃，又在内网中找到了一套终端安全管理系统。攻击队经过现场挖掘，找到了该系统的一个新的0Day漏洞，并利用该漏洞成功地获取了管理员权限。在成功登录系统后台后，攻击方可实现任意命令的下发和执行，能够控制该安全管理系统所辖范围内的所有终端设备。

四、 浑水摸鱼——社工钓鱼突破系统

社会工程学（简称社工）在红队工作中占据着半壁江山，而钓鱼攻击则是社工中的最常使用的套路。钓鱼攻击通常具备一定的隐蔽性和欺骗性，不具备网络技术能力的人通常无法分辨内容的真伪；而针对特定目标及群体精心构造的鱼叉钓鱼攻击则可令具备一定网络技术能力的人防不胜防，可谓之渗透利器。

小D团队便接到这样一个工作目标：某企业的财务系统。通过前期踩点和信息收集发现，目标企业外网开放系统非常少，也没啥可利用的漏洞，很难通过打点的方式进入到内网。

不过还是让他们通过网上搜索以及一些开源社工库中收集到一批目标企业的工作人员邮箱列表。掌握这批邮箱列表后，小D便根据已泄露的密码规则、123456、888888等常见弱口令、用户名密码相同，或用户名123这种弱口令等生成了一份弱口令字典。利用hydra等工具进行爆破，成功破解一名员工的邮箱密码。

小D对该名员工来往邮件分析发现，邮箱使用者为IT技术部员工。查看该邮箱发件箱，看到他历史发过的一封邮件如下：

标题：关于员工关掉445端口以及3389端口的操作过程

附件：操作流程.zip

小D决定浑水摸鱼，在此邮件的基础上进行改造伪装，构造钓鱼邮件如下。其中，zip文件为带有木马的压缩文件。

标题：关于员工关掉445端口以及3389端口的操作补充

附件：操作流程补充.zip

为提高攻击成功率，通过对目标企业员工的分析，小D决定对财务部门以及几个跟财务相关的部门进行邮件群发。

小D发送了一批邮件，有好几个企业员工都被骗上线，打开了附件。控制了更多的主机，继而便控制了更多的邮箱。在钓鱼邮件的制作过程中，小D灵活根据目标的角色和特点来构造。譬如在查看邮件过程中，发现如下邮件：

尊敬的各位领导和同事,发现钓鱼邮件事件,内部定义为19626事件,请大家注意邮件附件后缀后.exe、.bat等… …

小D同样采用浑水摸鱼的策略，利用以上邮件为母本，以假乱真构造以下邮件继续钓鱼：

尊敬的各位领导和同事,近期发现大量钓鱼邮件,以下为检测程序… …

附件：检测程序.zip

通过不断地获取更多的邮箱权限、系统权限，根据目标角色针对性设计钓鱼邮件，小D最终成功拿下目标！

本文始发于微信公众号（盾山实验室）：红队经典攻击手法一