由于防守方存在诸多偏离了安全基线的配置,并且在策略上忽略了针对网络流量和账户活动的深度检测,因此未能有效限制红队利用Web应用漏洞向内网渗透,最终导致域控以及多个敏感业务系统失陷,暴露出漏洞响应缺乏判断、网络边界缺乏管控、东西向流量缺乏检测等诸多不足。
在日常的安全运营过程中,许多企业也面临相同的窘境。结合此次CISA演练细节,小编将通过系列文章,逐一解读组织在安全建设方面常踩的雷区,供大家参考。
一个Nday漏洞成为突破口
演练伊始,在初始钓鱼攻击被防守组织终端EDR发现后,红队决定换个思路。
于是,红队抓住这个漏洞,以及此前防守方“骚操作”遗留的一个Webshell,得以在服务器上以某用户身份执行任意命令,上线了一个Sliver远控工具。
这里,防守组织犯了一个非常常见但也很致命的错误:
事前就已经知道这个洞的存在,但由于错误预估了该漏洞的危害,并没有及时修复。但事实上,在所有的Nday漏洞中,那些具有公开PoC的漏洞,由于能够很快被大量攻击者成功复现并应用于现实网络攻击,尤其需要重视。
众所周知,Nday漏洞利用作为一种低成本的攻击方式,是红队边界打点的主力。2024年攻防演练期间,根据微步检出的漏洞分析来看,2022年及以前的Nday漏洞占比高达71%。
缺乏相应的技术手段以及专业的漏洞信息获取渠道,导致没有及时发现网络资产中存在相应漏洞。 安全意识、流程制度等方面存在明显不足,对已知漏洞“视而不见。 对漏洞触发条件、危害程度、影响范围、在野利用情况等缺乏专业判断,在面对海量漏洞时,难以确定处置优先级和最佳处置方案,将有限的资源投入到没有实际危害的漏洞上,而真正可被利用的漏洞没来得及处置。
对此,微步漏洞情报提供了第一手真实漏洞信息和专业排查处置方案,结合自研的漏洞VPT科学评级,除了对漏洞本身的风险进行评估,也提供漏洞利用条件、影响范围、是否存在在野利用等外部风险评估,具体可参考:《这漏洞我不修了,下班!》。
网络边界缺乏管控和检测能力
值得一提的是,防守方并非完全忽视了漏洞的存在。
在得知该漏洞后,安全团队实施了漏洞披露计划(VDP),复现了该漏洞触发后获得初始访问权限的过程,用以得到决策层的支持。在获得许可之后,安全团队通过部署WAF作为补偿控制手段。
但遗憾的是,安全团队只是将WAF配置为仅监控状态,也没有一个严格的流程去验证是否能有效阻断漏洞利用,因此未能在网络边界有效阻断入站攻击流量。
类似的做法非常常见,其风险在于放任原本应在边界被阻止的攻击流量进入内部网络,防守方不得不花费大量的时间去确认攻击的存在,导致响应时间节点的滞后。
事实也正是如此,防守方滞后的反应给了给红队接下来的行动预留了足够的时间。
由于用户的 NFS 开启了 no_root_squash 配置,红队得以在 NFS 共享上访问了该组织的数百个 Linux 用户的主目录,以此获得了61个SSH私钥和一个包含有效明文域凭据的文件。
值得一提的是,在 Linux 操作系统上,该配置默认处于禁用状态,但考虑到部分老旧系统和业务,防守方启用了。
紧接着,红队再次发现了防守方在另一个网络边界管控不足,DMZ区和内网域之间既没有配置ACL访问控制策略,也没有部署任何防御设备。这导致红队利用窃取到的SSH私钥和访问凭据,迅速横移到了域内多个 Linux 服务器。
尽管防守方在开始着手调查后,发现了红队在部分Linux主机上的一些渗透活动,包括部分后门程序和SSH私钥的异常使用,并且移除了红队在大部分主机上建立的访问权限,但红队仍然在四台机器上,实现了持久化利用。
至此,红队已经站稳了脚跟。如果是在一次真实的攻击里,防守方可能不得不以牺牲业务连续性为代价,关闭部分失陷主机。
仅满足基础合规需求,安全能力建设和持续运营不足,大量攻击无法检出;
自动化能力弱。由于误报普遍大量存在,对网关设备的自动拦截非常谨慎,仅配置少量的拦截规则或者同样配置为”仅监控不拦截”的状态;
边界防御设备无法满足实时、大量的并发拦截需求;
缺乏顶层设计,不同域之间没有网络隔离和防护机制。
下一篇小编将继续结合此次攻防演练案例,解读红队在后续内网渗透活动中,防守方应当注意的事项。
如有侵权请联系:admin#unsafe.sh