分類:*本文作者:ChuanFile,本文屬FreeBuf原創文章獎勵計劃,未經許可禁止轉載
名詞解釋
內網: 僅包括內部員工使用的pc終端和僅提供內部服務的服務器系統
後滲透: 在拿下內網某終端的基礎上對內網的進一步滲透攻擊
概述
衆所周知網絡隔離策略、殺軟、入侵檢測阻止系統等都是防止終端設備感染惡意程序的重要措施,但沒有任何人、任何組織可以說自己的防禦是100%的(最近的各種熱門入侵事件證明了這點),所以如果黑客控制的惡意程序已經突破了這些防禦措施進入了內網終端,他接下來會做什麼就成了我們必須思考的問題。
很自然我們就會想到:內網web這個重大突破點。
一臺pc終端的信息是很有限的,黑客很難通過一臺pc獲取被入侵公司的核心數據,繼續擴散終端這條路是有很大難度(權限驗證、網絡策略、漏洞修復等等都很難突破),那麼滲透內網web這條路就成了下一個目標。內部服務的web站點(如流程管理、人事管理等),尤其是各種hr系統,這可是個人信息(包括名字、密碼、住址、聯繫方式等)的寶庫,拿到此數據是黑客認爲最有“錢途”的任務。此外各種管理外部業務的內部站點(如對外業務的配置更新等)都會有大量的有價值信息,如支付憑據(信用卡、社保信息等)、遊戲數據(賬號、密碼、級別、資產等)、虛擬資產數據(充值卡號、充值卡密碼等)等數據都可以直接獲利。
面對此威脅,我們必須制定有效的措施進行防禦檢測,那黑客到底要怎麼做呢?
黑客需要的答案
1、內網有哪些web系統?這是入侵的第一步,如果有哪些系統都不知道,那還個入侵個P
2、每個web系統都是幹什麼的?篩選重要系統,找尋有用信息,如一個內部食堂菜單展示系統,肯定是沒啥直接有用的信息的(當然可以截圖炫耀,說我xx了某個公司。。。)
3、我的權限可以登錄哪些重要系統?
雖然知道了內網有哪些重要系統,也知道都是幹什麼的了,那有沒有權限登陸就是擺在面前的問題了,如工資管理系統你作爲一個小弟肯定是登陸不了的。我們能登陸哪些就是我能獲取的信息!黑客並不能獲取全部的探測數據(說明內網權限控制的重要性)
4、 哪些web系統的漏洞可以利用獲取服務器權限?
如果我沒有權限去獲取數據,但是還覺得這個系統很重要,那麼各種漏洞的利用就要發揮作用,如弱密碼、驗證繞過、sql注入等,當然可能存在非web的其他漏洞,我們本次僅聚焦web類,所以這裏不做探討了。
獲取答案相關手法分析
1、觀看屏幕並記錄
a) 此操作需要一定連貫性,如每1秒1張截屏,否則無法獲取有用信息;
b) 需要較多耐心,監控時間較長纔可以獲取足夠數據;
c) 外傳數據量較大;
d) 可回答黑客疑問1,2,3
結論:單次操作爲用戶正常操作,防禦難度大,但批量操作存在規律,可檢測
2、鍵盤記錄分析
a) 此操作持續時間較長,需要較多耐心,監控時間較長纔可以獲取足夠數據(包括網址、密碼等);
b) 外傳數據量較小,只傳輸鍵盤記錄數據;
c) 可回答黑客疑問1,3;
結論:很多正常軟件存在此操作,防禦難度大,檢測難度大
3、瀏覽記錄分析
a) 此方案可獲取明文的瀏覽器的歷史記錄,部分加密的瀏覽器歷史記錄無法獲取;
b) 進一步獲取信息需重放瀏覽歷史記錄,通過獲取回包獲取有用信息;
c) 需要竊取cooke、token等,否則無法對認證狀態的系統進行重放;
d) 可回答黑客疑問1,2,3;
結論:重放操作模擬用戶主動行爲,難於防護,且無規律,難於檢測,但觸碰聊天記錄文件行爲可監控
4、 掃描分析
a) 有點常識的黑客就知道oa.com是內網域名的二級域名,繼續域名爆破就可以輕鬆獲取內網域名;
b) 進一步獲取信息需重放掃描結果,通過獲取回包獲取有用信息;
c) 需要竊取cooke、token等,否則無法對認證狀態的系統進行重放;
d) 如需獲取首頁以外的內容,需爬蟲(頁面序號規律、超鏈接探測等);
e) 可回答黑客疑問1,2,3;
結論:獲取內網域名行爲存在規律,如域名清單,不存在域名會返回失敗等,易於檢測;爬蟲較容易檢測。
5、漏洞探測
a) 弱密碼、管理後臺、sql注入等是拿下web系統最簡便的方式,csrf、xss等對於從內網終端對內網web系統進行滲透可行性不高
b) 本方案不討論非web方式的探測
c) 可回答黑客疑問4
結論:規律特徵業內通用,易於防禦,易於檢測
綜上,我們已經基本瞭解黑客探測入侵內網web系統行爲的細節了,我們再結合黑客心理,逐步深入分析。首先,如果是新手黑客,他進入內網是非常激動的,根本不考慮什麼方式和隱藏,甚至會直接遠程桌面把登陸用戶擠下去,然後瀏覽器直接翻查(利用瀏覽歷史),如果用shell他的操作也就是掃描,快速暴力獲取信息;其次如果是個有經驗的黑客,有一定的反偵察能力,爲了防止被發現,他是不會做遠程桌面和掃描這種大動作了,他會盡量模擬用戶的正常行爲,如正常的網站瀏覽行爲等;
最後,如果是apt的黑客,他們的目的是最大程度的隱藏,存活越久纔可以發現更多,他們多采取屏幕觀看、鍵盤記錄等方式,不多主動行爲(即使模擬用戶行爲也不做),當然外傳數據採用閒時傳送、壓縮、加密等手段是必不可少的。不過新手、經驗黑客、apt黑客的角色也不是絕對的,當達到最終收割階段的時候,各種方式都會被採取,最大化竊取數據纔是最終目的。
那我們怎麼防禦和檢測他們呢?
這是個複雜的問題,我拆分成對於
階段1:內網有哪些web系統;
階段2:每個web系統都是幹什麼的;
階段3:我的權限可以登錄哪些重要系統;
階段4:哪些web系統的漏洞可以利用獲取服務器權限,等四部分討論
今天我們只討論階段1:內網有哪些web系統。
從我們分析黑客行爲的結果看,要實現階段1:內網有哪些web系統,我們可以做的操作有域名爆破(遍歷、名單等)、瀏覽記錄獲取、屏幕截圖查看、鍵盤記錄等四種方式,總結如下
域名爆破(遍歷、名單等)
防禦:掃描行爲可模擬useragent等數據,很難判定是否用戶主動行爲,根據頻率做攔截會影響用戶體驗,建議不採取防禦措施;
檢測:黑客僅可憑猜測獲取二級域名oa.com或根據外網獲取外部域名如baidu.com,則根據掃描特徵和黑客思路,建議規則爲:
單終端+單位時間+觸碰名單或數量達到閾值,如notebook001在5分鐘內訪問*.oa.baidu.com 100次,或notebook001在5分鐘內訪問敏感域名清單(*.oa.baidu.com)50% ;
瀏覽記錄獲取:
防禦:建議自行開發模塊,僅允許瀏覽器讀取瀏覽記錄文件
檢測:通過監控非瀏覽器讀取瀏覽記錄文件行爲發現惡意行爲
屏幕截圖查看
防禦:截圖屬於正常用戶行爲,建議不採取防禦措施;
檢測:截圖查看是有時間間隔規律的行爲,通過監控規律性截圖行爲,如每5秒截圖一次,可發現此惡意行爲
鍵盤記錄
防禦:鍵盤記錄需要做hook,這個太多程序使用hook技術了,不建議做防禦操作
檢測:檢查hook操作,排除正常即可
實驗:域名爆破(遍歷、名單等)
1、使用工具做爆破行爲
2、抓包分析:
結論:頻率規則可覆蓋(注意:不是web訪問,而是dns請求),判定oa.baidu.com的次數
實驗:瀏覽記錄獲取
1、使用monitor模擬監控行爲,如下
chrome瀏覽器瀏覽歷史記錄文件觸碰行爲,定位存放歷史記錄的個人目錄
定位歷史記錄文件
監控歷史記錄文件觸碰行爲
360瀏覽器瀏覽器歷史記錄文件觸碰行爲
定位歷史記錄文件位置
監控歷史記錄文件觸碰行爲
QQ瀏覽器瀏覽器歷史記錄文件觸碰行爲
定位歷史記錄文件位置
監控歷史記錄文件觸碰行爲
結論:通過監控可判定哪些非瀏覽器程序觸碰了瀏覽器歷史記錄文件,當然除了以上演示的方法,判定哪些非瀏覽器程序打開了瀏覽器歷史記錄文件對應的文件handle也是個不錯的方案。
實驗:屏幕截圖查看
1、 使用api monitor模擬監控截圖行爲,如下
配置截圖相關api,如GetDc,GetDcEx,GetDeviceCaps等,並使用RemoteThread(Standard)方式方式啓動firefox
使用firefox截圖
記錄到相關的api調用
結論:可通過api監控獲取截圖行爲,當然實際應用需要開發自己的api監控模塊,也會存在誤報,這需要逐步的運營調整優化。
實驗:鍵盤記錄
1、使用工具監控鍵盤hook操作,演示如下
結論:可通過監控鍵盤記錄各種實現方式判定是否存在鍵盤記錄行爲。
綜上,我們已經能夠對抗黑客後滲透中內網web滲透的第一步:內網有哪些web系統,後續我們再繼續探討其他階段。