新闻中心

    新闻中心  >  备战正当时 | 来自红队攻击者的自白:当我们盯上你的密码后……
    备战正当时 | 来自红队攻击者的自白:当我们盯上你的密码后……
    背景图 2023-08-06 10:27:25

    摊牌了,,,我是个让人闻风丧胆的红队攻击者,,,

    我不会告诉你,,

    每年网络安全攻防演练,,

    我们都特别喜欢用这些方式套取你的密码、、控制你的电脑——

     

    在外网防御越来越完善的今天,,红队攻击者更喜欢在“人”上找到突破口,,,,通过利用弱口令,,,钓鱼等获取到的密码,,,,登录远程办公软件、、、邮箱、、内部APP等,,,,从而进行下一步的攻击。。。

    红队是用什么方式获取密码、、、、又如何利用密码进行后续攻击????这过程中,,有哪些能防住方式??

    本期特别邀请到拓客猫软件深蓝攻防实验室攻防渗透专家,,,将从红队视角分享思考:攻击方在演习中如何攻破密码以获取更多权限,,并给蓝方人员一个大致的思路,,,以更好地应对防护。。(戳此了解→)

     

    作为红队攻击者,,,我们如何让用户“心甘情愿”地输入密码和验证码???

    坦诚地说,,攻击者能够主动获取密码的渠道一般有:企业中员工使用的相关系统、、、服务器、、、知识库中的记录、、、办公机上的密码本、、各种软件记录的密码(如浏览器)。。

    对于需要用户登录的系统,,开发者会将用户的密码加密后存储在后台数据中,,我们会在攻下此系统后,,,从数据库中获取密码并进行解密,,,或者拿下权限后,,在前端记录用户输入的密码。。。。

    攻击队如何获取密码

    攻击队如何获取密码

     

    以钓鱼攻击手法为例,,,,看红队如何一步步让你“心甘情愿”地输入密码和验证码。。。

    PROFILE

    广撒网钓鱼式攻击

    优点:覆盖面大,,,,总体成功率高,,,总有一个会上当

    广撒网钓鱼式攻击

    第一步 模拟登录网站,,,让你毫无戒备登录钓鱼网站

    我们会制作一个与目标公司系统登录页面大致一样的网站,,当你输入密码后,,,我们会立即收到消息提醒通知,,然后利用获取到的密码登录移动办公软件、、、VPN等。。。

    模拟钓鱼网页,,,,以假乱真

    模拟钓鱼网页,,,,以假乱真

     

    第二步 心理战术,,,愿者上钩

    有了上述攻击思路后,,,就差如何把钓鱼页面发送给你了,,,,邮件、、招聘网站、、、客服系统等等都是我们很常用的方式。。

    虽然邮件网关会有一些关键词检测或者拦截,,,,但我们会对内容进行充分伪装,,,,如把具体的内容放入doc中,,,,通过附件的形式进行发送。。而邮件的话题内容一般是福利回馈、、、举报、、、、求职、、、社保激活等人人都会关心的话题。。。。

    邮件通知

    邮件通知

    私聊通知

    私聊通知

    群聊通知

    群聊通知

     

    只要钓鱼的页面和文案做得足够逼真,,,,你在输入密码和验证码后,,也不会觉得异常,,当然有一部分有安全意识的人可能会察觉异常,,但是可能出于不好意思、、怕担责、、不知道怎么处理等原因,,,就算发现异常了也没有进一步的处理。。。。

    每个人的安全意识不一样,,,通过大面积撒网,,总有一个上当的,,并且大多数受害者自认为只是一个普通员工的岗位,,如开发人员、、测试、、、销售、、、、售后等,,觉得自己的密码泄露了也没有什么大问题。。

    而这就是我们的机会!!

     

    作为红队攻击者,,,我们如何利用你的密码和主机??

    当我们成功获取你的密码,,,这意味着:

    ● 我们可以翻看你的邮箱,,找密码、、、找到公司办公等相关有价值信息,,进一步了解你公司内部的办公流程。。

    ● 我们可以使用密码登录你的邮件,,导出公司所有人的邮箱、、、姓名、、、职位、、手机,,,,从而挑选出更多有价值的人再次进行钓鱼。。

    ● 我们可以使用你的密码登录你的移动办公系统,,在群里发病毒木马文件、、、、钓鱼链接,,,从而来控制你的同事。。

    ● 我们可以使用你的密码登录你公司的vpn,,,,直接进入公司内网,,,从而攻击公司内网中的其他系统。。。。

    ● 我们还会分析你是否是一个开发或运维人员,,,,如果是,,则会利用你的密码碰撞服务器和业务系统。。。。

    获取你的密码

    大多数员工可能会觉得自己的电脑上没有什么重要的资料,,,,从而会降低警惕,,,但我们需要的其实不是他电脑上的资料,,而是一个网络的链路,,,将你的电脑作为跳板机攻击内网其他主机。。

    ● 我们会用你的电脑搭建隧道,,从而让其他的攻击伙伴也能够在本地访问到你公司内网的系统,,,从而攻击你同事的电脑、、、公司内网的系统。。。。

    通过使用TCP、、、UDP、、ICMP协议搭建反向socks隧道,,搭建隧道时还会使用CDN来隐藏我们的攻击机器,,,,让自己不是那么容易被发现。。通过隧道访问你公司的网络后,,就能够找出公司各种系统的更多漏洞,,进而一步一步达到完全控制你公司所有人的电脑的目的。。。。

    ● 我们会通过工具获取你浏览器保存的密码,,,碰到公司内部有价值的系统则会登录上进一步攻击。。

    ● 我们会把木马放到更加隐蔽的位置,,,并设置开机启动,,,,让你不是重启就能脱离我们的控制。。。 

    我们会修改木马的时间戳、、、图标、、文件名等,,,,看起来就像是一个正常软件一样,,,然后放到正常软件的目录,,,,并且针对你机器上的杀软做免杀,,,让你的杀软检测不出来我们的木马,,再创建一个计划任务或者服务,,并将计划任务或服务进行隐藏,,,从而在你下次开机的时候让木马可以再次运行。。

     

    来自红队攻击者的「善意提醒」,,,个人/单位如何防????

    # 对个人的建议

    攻击者发送钓鱼的话术多变,,,但大多数与个人的利益相关,,,,这种才会引起你的注意,,,,所以收到福利、、不激活就过期、、、举报等相关的邮件内容时,,,要多注意辨别发送者身份的真假,,,并向主办单位或负责人核对是否属实。。。

    另外,,,,基本上不会有通知类型的邮件会在点击链接后让你输密码,,,只要输密码就要看地址栏是否为公司的域名,,,并注意登录方式及登录的页面之前是否见过。。。。

    最安全的方式就是不要点击邮件中的链接登录任何系统。。。。公司内部的系统登录一般都会有统一的方式,,用自己熟悉的登录方式去登录需要登录的系统。。。除了密码之外,,不要打开外部邮箱发送给你的附件,,,,不要打开陌生人文件。。

     

    # 对单位的建议

    (1)执行策略

    作为企业单位来说,,,很难让每个人都知道.exe是可执行文件,,,即使是一个科技型公司。。所以需要安全运维人员将可以执行的程序加入白名单,,非白名单的文件不许执行。。。。

    系统存密码的地方,,不能明文、、、、可逆的算法、、复杂的低的哈希算法来加密,,,要用复杂度高的算法来加密,,,如bcrypt(sha512($pass))。。

    (2)sms+otp

    不论是外部系统还是内部系统,,重要系统都加上短信和otp二次认证。。

    (3)设备认证

    对于移动办公app,,,,账号在一个新设备上登录,,,,要求进行人脸识别认证,,,,或者同事确认。。。。对于vpn在新设备上登录,,需要提交申请由上级领导或安全人员确认。。。

    (4)登录提醒

    当账号登录成功时,,,通知账号所有者,,,,让账号所有者第一时间发现异常。。

    (5)网络环境检测

    对公网开放的系统,,,,禁止从云服务器的ip登录。。

     

    弱密码、、默认密码、、、通用密码和已泄露密码通常是历年攻防演练中的重要突破点,,,攻击方会通过各种方式来获取密码来登录重要的系统权限。。。

    数字化高度发达的今天,,,,密码技术已经渗透到了社会生产生活各个方面,,,与老百姓的日常生活息息相关。。。除了攻防演练时期,,日常生活中更要加强密码安全保护,,,,谨防信息泄露。。。。

     

    下期预告

    在攻防演练场景中,,,当目标资产已被重重防护,,,,正面突破的可能性很小,,只能采用迂回攻击,,从目标资产的薄弱点——供应链发起攻击。。。。

    这也是红军极其喜欢突破的点。。。比如红军攻破某大型企业的某供应商,,,进行代码渗透和检视,,发现零日漏洞然后突破防守。。。

    攻防演练中为了在短时间内达成拿下目标的目的,,,主要会采用哪些手法????如何进行内网横向,,,获取目标权限???更重要的是,,,如何防范????下一期,,为你揭晓!!

    上期回顾:备战正当时 | 一图搞懂攻防演练防守方的战前准备!!!(附赠印刷版海报)

    站点地图