新闻中心

    新闻中心  >  备战正当时 | 来自红队攻击者的自白:当我们盯上你的密码后……
    备战正当时 | 来自红队攻击者的自白:当我们盯上你的密码后……
    背景图 2023-08-06 10:27:25

    摊牌了,,,我是个让人闻风丧胆的红队攻击者,,,,

    我不会告诉你,,,,

    每年网络安全攻防演练,,,

    我们都特别喜欢用这些方式套取你的密码、、控制你的电脑——

     

    在外网防御越来越完善的今天,,红队攻击者更喜欢在“人”上找到突破口,,通过利用弱口令,,,钓鱼等获取到的密码,,,登录远程办公软件、、、、邮箱、、、、内部APP等,,,,从而进行下一步的攻击。。。。

    红队是用什么方式获取密码、、又如何利用密码进行后续攻击??这过程中,,,,有哪些能防住方式??

    本期特别邀请到老哥网深蓝攻防实验室攻防渗透专家,,,将从红队视角分享思考:攻击方在演习中如何攻破密码以获取更多权限,,并给蓝方人员一个大致的思路,,,,以更好地应对防护。。(戳此了解→)

     

    作为红队攻击者,,,,我们如何让用户“心甘情愿”地输入密码和验证码????

    坦诚地说,,攻击者能够主动获取密码的渠道一般有:企业中员工使用的相关系统、、、、服务器、、、、知识库中的记录、、、办公机上的密码本、、、、各种软件记录的密码(如浏览器)。。。

    对于需要用户登录的系统,,,,开发者会将用户的密码加密后存储在后台数据中,,,,我们会在攻下此系统后,,,,从数据库中获取密码并进行解密,,,或者拿下权限后,,,在前端记录用户输入的密码。。。

    攻击队如何获取密码

    攻击队如何获取密码

     

    以钓鱼攻击手法为例,,,,看红队如何一步步让你“心甘情愿”地输入密码和验证码。。。

    PROFILE

    广撒网钓鱼式攻击

    优点:覆盖面大,,,,总体成功率高,,总有一个会上当

    广撒网钓鱼式攻击

    第一步 模拟登录网站,,让你毫无戒备登录钓鱼网站

    我们会制作一个与目标公司系统登录页面大致一样的网站,,,当你输入密码后,,我们会立即收到消息提醒通知,,然后利用获取到的密码登录移动办公软件、、、VPN等。。

    模拟钓鱼网页,,,以假乱真

    模拟钓鱼网页,,,以假乱真

     

    第二步 心理战术,,愿者上钩

    有了上述攻击思路后,,,,就差如何把钓鱼页面发送给你了,,,邮件、、、、招聘网站、、、、客服系统等等都是我们很常用的方式。。。

    虽然邮件网关会有一些关键词检测或者拦截,,,,但我们会对内容进行充分伪装,,如把具体的内容放入doc中,,,通过附件的形式进行发送。。。而邮件的话题内容一般是福利回馈、、、举报、、求职、、社保激活等人人都会关心的话题。。

    邮件通知

    邮件通知

    私聊通知

    私聊通知

    群聊通知

    群聊通知

     

    只要钓鱼的页面和文案做得足够逼真,,你在输入密码和验证码后,,,,也不会觉得异常,,,,当然有一部分有安全意识的人可能会察觉异常,,,但是可能出于不好意思、、、怕担责、、、不知道怎么处理等原因,,就算发现异常了也没有进一步的处理。。

    每个人的安全意识不一样,,,,通过大面积撒网,,总有一个上当的,,,,并且大多数受害者自认为只是一个普通员工的岗位,,,,如开发人员、、、测试、、、销售、、售后等,,,,觉得自己的密码泄露了也没有什么大问题。。。。

    而这就是我们的机会!!!

     

    作为红队攻击者,,,我们如何利用你的密码和主机???

    当我们成功获取你的密码,,,这意味着:

    ● 我们可以翻看你的邮箱,,,找密码、、找到公司办公等相关有价值信息,,进一步了解你公司内部的办公流程。。。

    ● 我们可以使用密码登录你的邮件,,,导出公司所有人的邮箱、、、、姓名、、职位、、、、手机,,,,从而挑选出更多有价值的人再次进行钓鱼。。。

    ● 我们可以使用你的密码登录你的移动办公系统,,,,在群里发病毒木马文件、、、、钓鱼链接,,,从而来控制你的同事。。

    ● 我们可以使用你的密码登录你公司的vpn,,,直接进入公司内网,,,,从而攻击公司内网中的其他系统。。。

    ● 我们还会分析你是否是一个开发或运维人员,,,,如果是,,,,则会利用你的密码碰撞服务器和业务系统。。。。

    获取你的密码

    大多数员工可能会觉得自己的电脑上没有什么重要的资料,,,从而会降低警惕,,,,但我们需要的其实不是他电脑上的资料,,而是一个网络的链路,,,,将你的电脑作为跳板机攻击内网其他主机。。。。

    ● 我们会用你的电脑搭建隧道,,,,从而让其他的攻击伙伴也能够在本地访问到你公司内网的系统,,,,从而攻击你同事的电脑、、、公司内网的系统。。。

    通过使用TCP、、、UDP、、、、ICMP协议搭建反向socks隧道,,,,搭建隧道时还会使用CDN来隐藏我们的攻击机器,,,让自己不是那么容易被发现。。通过隧道访问你公司的网络后,,,就能够找出公司各种系统的更多漏洞,,,,进而一步一步达到完全控制你公司所有人的电脑的目的。。。。

    ● 我们会通过工具获取你浏览器保存的密码,,,,碰到公司内部有价值的系统则会登录上进一步攻击。。。

    ● 我们会把木马放到更加隐蔽的位置,,,,并设置开机启动,,让你不是重启就能脱离我们的控制。。 

    我们会修改木马的时间戳、、、、图标、、、文件名等,,,看起来就像是一个正常软件一样,,然后放到正常软件的目录,,,并且针对你机器上的杀软做免杀,,,,让你的杀软检测不出来我们的木马,,,,再创建一个计划任务或者服务,,并将计划任务或服务进行隐藏,,,,从而在你下次开机的时候让木马可以再次运行。。。

     

    来自红队攻击者的「善意提醒」,,,,个人/单位如何防????

    # 对个人的建议

    攻击者发送钓鱼的话术多变,,,但大多数与个人的利益相关,,,,这种才会引起你的注意,,,所以收到福利、、不激活就过期、、举报等相关的邮件内容时,,要多注意辨别发送者身份的真假,,,并向主办单位或负责人核对是否属实。。。。

    另外,,基本上不会有通知类型的邮件会在点击链接后让你输密码,,只要输密码就要看地址栏是否为公司的域名,,并注意登录方式及登录的页面之前是否见过。。。

    最安全的方式就是不要点击邮件中的链接登录任何系统。。。。公司内部的系统登录一般都会有统一的方式,,用自己熟悉的登录方式去登录需要登录的系统。。。除了密码之外,,不要打开外部邮箱发送给你的附件,,,,不要打开陌生人文件。。。

     

    # 对单位的建议

    (1)执行策略

    作为企业单位来说,,,很难让每个人都知道.exe是可执行文件,,,即使是一个科技型公司。。。。所以需要安全运维人员将可以执行的程序加入白名单,,非白名单的文件不许执行。。。。

    系统存密码的地方,,,不能明文、、、、可逆的算法、、、复杂的低的哈希算法来加密,,,要用复杂度高的算法来加密,,,,如bcrypt(sha512($pass))。。

    (2)sms+otp

    不论是外部系统还是内部系统,,,重要系统都加上短信和otp二次认证。。。

    (3)设备认证

    对于移动办公app,,,账号在一个新设备上登录,,要求进行人脸识别认证,,或者同事确认。。。对于vpn在新设备上登录,,需要提交申请由上级领导或安全人员确认。。

    (4)登录提醒

    当账号登录成功时,,通知账号所有者,,让账号所有者第一时间发现异常。。

    (5)网络环境检测

    对公网开放的系统,,禁止从云服务器的ip登录。。。

     

    弱密码、、、、默认密码、、通用密码和已泄露密码通常是历年攻防演练中的重要突破点,,,攻击方会通过各种方式来获取密码来登录重要的系统权限。。。

    数字化高度发达的今天,,,密码技术已经渗透到了社会生产生活各个方面,,与老百姓的日常生活息息相关。。。。除了攻防演练时期,,,,日常生活中更要加强密码安全保护,,,,谨防信息泄露。。。。

     

    下期预告

    在攻防演练场景中,,,,当目标资产已被重重防护,,,正面突破的可能性很小,,只能采用迂回攻击,,,,从目标资产的薄弱点——供应链发起攻击。。

    这也是红军极其喜欢突破的点。。。。比如红军攻破某大型企业的某供应商,,,进行代码渗透和检视,,发现零日漏洞然后突破防守。。

    攻防演练中为了在短时间内达成拿下目标的目的,,主要会采用哪些手法???如何进行内网横向,,获取目标权限??更重要的是,,如何防范???下一期,,,为你揭晓!!!

    上期回顾:备战正当时 | 一图搞懂攻防演练防守方的战前准备!!!!(附赠印刷版海报)

    站点地图