Goby社区第 20 篇技术分享文章
全文共:3212 字 预计阅读时间:9 分钟
本文章共奖励@Z0RR0 12000 社区积分
前言:在上篇文章中讲述了使用 Goby IP 库的“黄金右键技能”快速收集互联网暴露资产信息,攻击者完成信息搜集工作后,便可开始寻找可击穿的“攻击点”,进而实现内网横向漫游。
而防守方队员要有攻击者的视角,预测他们的攻击路径,并提前设防,才能化被动为主动!
01 预测攻击路线并沿线设防
预测攻击路线是指基于现实的资产信息及安全状态来评估攻击者可能利用的攻击点以及受影响的资产范围及先后顺序。
从攻击者视角出发,他们在收集完资产信息之后,下一步操作就是寻找入口点(攻击点),那么理想的入口点是什么样的呢?首选是利用简单,危害大的漏洞,其次才是利用复杂(需具备一些前置条件),危害大的漏洞。针对于这些漏洞特点,防守方可以先自查,先一步封堵漏洞。
防守方首先要自查的是外围资产(暴露在互联网上可公开访问的)的安全状态,查找入口点。在这里推荐 Goby 红队版,因为红队版的 PoC 数量比社区版要多几倍,并且对于新爆发的高危漏洞 PoC 更新的比较及时,准确率也比较高。
1)严重、高危漏洞
在上篇中,我们利用 Goby 的 IP 库进行资产信息收集之后,IP 库还提供了一个很方便的功能,可以实现一键导入目标资产,进行扫描,如下图所示:
图1 一键导入资产目标到扫描器
当漏洞扫描结束后,我们可以在扫描界面中看到本次扫描的资产信息以及安全状态的概览,在图 2 中右下角红框里,我们可以看到检测出来的存在高危漏洞的漏洞名称及漏洞数量,点击漏洞名称后,会自动跳转到漏洞详情页面,该页面会告诉你这个漏洞是怎么形成的,具有什么危害,它的解决方案是什么,以及都有哪些资产存在该漏洞,如图 3 所示。
图2 漏洞信息概览
图3 漏洞详情界面
2)登录界面及服务弱口令、默认口令自查
在 Goby 扫描结束后,在资产信息这个界面里,可以看到对应的资产信息及界面截图。可以通过截图情况快速筛查出具有登录界面的资产。
图4 Goby 资产界面截图
筛选出来的登录界面的资产,可以用 Hydra 或者 Burpsuit 来批量验证一下公司的员工是否还有使用弱口令或者初始密码的。
图5 漏洞单扫功能
在前期的资产扫描完成后,我们可以在右侧点击“PoC 管理”这个按钮,进入到漏洞管理页面,选择暴力破解之后,便可以看到存在暴力破解风险的服务都有哪些,如图 5 所示,一共有 3 个服务存在暴力破解的风险,分别是 MySQL 、SSH 、Tomcat。
然后利用 Goby 的漏洞单扫描功能验证,点击服务后面的加号图标,结合企业里的实际业务系统情况,将用户名(员工工号或者姓名拼音)和初始密码、常用弱口令字典导入保存,然后再点击旁边的小雷达图标,就能快速对这些服务进行弱口令验证了。
3)结合 Nday 自查
持续关注 CNVD、Exploit DB 等平台,对于防守方公司信息资产相关的最新漏洞,及时跟进,并利用公布的 PoC 对受影响的资产进行自查和提前封堵,修复。
当红队突破入口点,拿下权限之后,下一步它将会以此为据点,想办法扩大战果,进行内网横向操作。主要焦点集中于两大类,一是集权类设备,如堡垒机、域控服务器等;二是存在漏洞的业务服务器和主机;
可以使用 Goby 红队版或企业版先对内网各网段资产扫描一遍,Goby 集成了一些安全设备,VPN,堡垒机等高危漏洞测试 PoC,可方便自查,尽早发现可能存在的安全隐患。
图6 Goby 相关 PoC 的截图
由点及面,预判攻击路线。基于资产信息及安全状态进行预判。结合前面使用 Goby 扫描出来的结果,可以预测攻击队会从哪些点突破进来,以及进来之后的内部影响范围。
图7 攻击路线预判
攻击者会首先在互联网暴露资产上搜寻含有弱口令、默认口令以及含高危漏洞(RCE)的攻击点,以此撕开口子,结合多个漏洞组合拳拿下服务器的权限,建立跳板,然后进行内网的横向攻击,扩大攻击成果。通过之前的操作步骤,我们可以把使用 Goby 等安全工具发现的漏洞资产,以点连线,便可直观预测攻击者可能攻击的路径,以及受影响的资产面。
基于预测出来的攻击路径,我们可以先设置一些防护措施:一是提前修复发现的严重/高危漏洞,让用户修改弱口令/默认口令;二是互联网业务应用系统全量统一纳入云 WAF 的防护;三是在内网部署全流量设备,并在不同的安全域部署流量探针,对内网进行全网监控,让内网攻击无所遁形;四是在终端设备上部署 EDR 产品。
02 扭转攻击者认知,预埋“雷区”
在以往的认知中,我们总是觉得攻击方占据的优势比较明显,比如:攻击技术总是领先于防御技术,攻击者只要找到一个突破点就能成功攻击,而防守方要把整个防守面全面防住,难度较大。往往忽略了防守方其实也是占据了有利的“地形优势”的!
攻击方对于攻击目标所能获取信息的渠道较为有限,无非也就是从互联网搜索引擎、目标公司官网、刊物、各种社交软件及媒体的公开信息,而这些信息源也不一定全都准确,某些信息源存在着可被防守方任意更改的问题!
防守方可以利用这一点,故意在一些信息源上散播虚假信息和诱饵,诱骗攻击者到指定的区域,进行打击反制。
在互联网资产暴露面上,我们还可以专门设置一个“雷区”,这个“雷区”主要作用是吸引攻击者的攻击力量,消耗攻击者的进攻力量,以及阻滞攻击者的前进步伐。
“雷区”里主要是部署一些蜜罐系统,这个区域采用低交互蜜罐与高仿真蜜罐结合的方式进行部署,然后在其中的一个高仿真蜜罐里埋上我们的“地雷”。
我们可以将一些诱饵文件,比如虚假的公司网络拓扑图,系统登录密码表或者业务系统交易数据表之类的敏感文件,给它捆绑上一个后门木马作为我们的“地雷”,当攻击者将这些文件传回自己的主机上时,我们的“地雷”也跟着悄无声息的埋在攻击者的主机上,等待着他打开文件查看内容的时候,自动激活我们的后门木马,然后我们的木马弟弟就会通过互联网寻找我们的 C2 服务器,等待我们给它下达指令。
03 反守为攻,主动出击!
现在很多蜜罐产品都能利用浏览器中的漏洞来捕获踩进蜜罐攻击者的社交账号和 ID,可以结合相关社交 APP 上的公开信息,和数据关联分析进行信息溯源,进一步获取攻击者的手机号,姓名,工作单位等信息。
对于自我保护意识较强的攻击者,无法溯源信息,只捕获到攻击主机 IP 的时候,可以尝试使用工具对攻击主机发起攻击,尝试寻找它的漏洞点。使用 Goby 结合插件VULMAP,XRAY,反查攻击主机的漏洞,对它进行反击。
如果攻击者踩到了我们部署的“地雷”,那我们可以远程唤醒该“地雷”,并实现对攻击主机的反制与反监控。
04 小结
攻防对抗是一个长期持续的,动态的过程,双方博弈的过程中,都要不断研究新技术新方法,以此来获得攻防战斗的优势和主动权,我们作为其中的一员,也要不断保持学习的热情和创新的精神,才能在关键时刻,体现出自己的价值!
• Z0RR0 | 基于攻击基于攻击视角(GOBY)的暴露面梳理及防护技术(上)
更多 >> 打野手册
Goby 欢迎表哥/表姐们加入我们的社区大家庭,一起交流技术、生活趣事、奇闻八卦,结交无数白帽好友。
也欢迎投稿到 Goby(Goby 介绍/扫描/口令爆破/漏洞利用/插件开发/ PoC 编写/ IP 库使用场景/ webshell 等文章均可),审核通过后可加 5000-10000 社区积分哦,我们在积分商城准备了好礼,快来加入微信群体验吧~~~
微信群:公众号发暗号“加群”,参与积分商城、抽奖等众多有趣的活动