内网横向拓展-百越白狼社区-弘客联盟新手区-弘客联盟

内网横向拓展

简介:

  • 横向拓展,通常是指攻击者攻破某台内网终端或主机设备后,以此为基础,对相同网络环境中的其他设备发起的攻击活动;但也常常被用来泛指攻击者进入内网后的各种攻击活动。不同于外网纵向突破阶段由外到内的渗透过程,蓝队的内网横向拓展主要是指在突破进入目标网络内网后,在内网主机、系统应用、服务器和网络设备等网络资产之间的跳转、控制、渗透过程

主要工作:

  • 蓝队在内网横向拓展阶段的主要工作就是围绕靶标等内网核心目标,在内网快速横向渗透扩展,实现控制权限最大化,最终达到攻击目标。进入目标内网后,蓝队才真正有机会接触到目标网络核心的东西。实现在内网快速拓展、定位控制内网重要目标是一项细致、烦琐的工作,主要工作包含以下几方面:
  • 内网信息收集 :

 

  1. 蓝队在内网横向拓展的效率取决于其对目标内部网络的熟悉程度,面对目标内部网络整体架构、VLAN划分、部门间网络隔离、关键网络节点部署和重要部门或人员网络内精确定位等信息的掌握则是内网快速横向拓展的关键。因此,蓝队在内网横向拓展阶段需要尽可能多的搜集有关内网网络部署、关键网络节点、核心业务目标的信息,实现对内网信息最大限度的了解,为内网进一步拓展提供情报支持。内网信息搜集的重点主要有以下几方面:
  2. 内网存活的IP以及存活IP开放的端口和服务;
  3. 主机和服务器性质,判断设备所在区域是DMZ区、办公区还是服务器区,作用是文件服务器、WEB服务器、代理服务器、DNS服务器、邮件服务器、病毒服务器、日志服务器、数据库服务器等之中的哪一个;
  4. 内网的网络拓朴、VLAN划分、各网络节点和网段间的连通性;
  5. 内网通用的杀毒软件、防火墙、终端操作系统、OA办公软件、即时通信软件或其他应用系统

 —  目标网络搜集中有关目标组织架构、网络建设、设备部署以及网络管理部门与关键管理人员的信息都会在内网拓展中起到相应的作用

 

 重要目标定位 :

蓝队在内网横向拓展过程中对重要目标进行快速定位有两个好处:一个是这些内网重要目标大多有网络部署、安全认证、核心业务等的重要信息,获取这些重要信息将对内网横向拓展具有极大帮助;其次是这些重要目标多具有非常好的内网联通性,借助其内网通联优势,可快速在目标内网实现横向拓展。这些内网重要目标包含内网关键服务器和内网重要主机。

  • 内网关键服务器 :内网UTM、云管平台、文件服务器、邮件服务器、病毒服务器、堡垒机、域控服务器、综管平台或核心网关
  • 内网重要主机 :核心业务部门主机、网络管理员主机、部门领导主机

内网渗透拓展 :

不同于外网纵向突破侧重于薄弱点的寻找和利用,蓝队内网渗透拓展的重点是安全认证信息和控制权限的获取。在内网渗透拓展过程中,蓝队会利用各种渗透手段,对内网邮件服务器、OA系统、堡垒机、域控服务器、综管平台、统一认证系统、核心网关路由和重要主机等各类重要目标进行渗透控制,尝试突破核心系统权限、控制核心业务、获取核心数据,最终实现对攻防演练靶标的控制。因为目标网络内外网安全防护的不同,攻击过程的实现手段各有侧重。内网渗透拓展的主要实现手段有内网漏洞利用、口令复用或弱口令、仿冒认证登录、内网水坑钓鱼等

内网控制维持:

蓝队在攻击的过程中经常会面临目标网络安全防护、内外网隔离以及目标人员工作开机时间等各种条件的限制,为保证攻击的顺利进行,蓝队需要根据这些条件限制从内网控制维持方面采取措施进行应对,主要工作包括渗透工具存活、隐蔽通信、隧道技术出网和控制驻留四方面

  • 针对内网杀毒软件可能导致的渗透工具被查杀的情况,对渗透工具针对性的进行免杀修改或利用白名单机制进行规避
  • 针对目标网络安全防护对异常流量、危险动作的监控可能导致蓝队攻击被拦截的情况,采用通信数据加密、合法进程注入等隐蔽通信进行隐藏
  • 针对内外网隔离,内网不能直接出网的情况,采用端口映射或隧道技术进行网络代理穿透
  • 针对目标主机或设备工作时间开机限制导致无法持续的情况,采用对蓝队远控工具进行控制驻留维持的措施,主要通过注册表、服务、系统计划任务、常用软件捆绑替代实现自启动驻留

内网提权 :

蓝队在攻击过程中,通过渗透拓展获取的应用系统、服务器、个人终端主机等目标的控制权限不一定是最大的,可能只是普通应用或用户权限,后续的一些攻击动作常常会因为权限不足而受到限制或无法开展,这就需要通过提权操作来讲初步获取的普通权限提升到较高权限,以方便进行下一步的操作。用到的提权操作主要有以下四类:

  1. 系统账户提权 :主要是将操作系统普通账户权限提升为管理员权限,主要通过一些系统提权漏洞实现
  2. 数据库提权 :主要是通过获取的数据库管理权限,进一步操作本地配置文件写入或执行命令来获取本地服务器权限
  3. Web Server 应用提权 :主要是通过获取的WEB应用管理权限,利用WEB应用可能存在的缺陷来执行一些系统命令,达到获取本地服务器系统控制权限的目的
  4. 虚拟机逃逸 :虚拟机逃逸是指通过虚拟应用权限获取宿主物理机控制权限,主要通过虚拟机软件或者虚拟机中运行的软件的漏洞利用,达到攻击或控制虚拟机宿主操作系统的目的。随着虚拟化应用越来越普遍,通过虚拟机逃逸来实现提权的情况会越来越多

 

 

途径 :

  • 大多数内网存在VLAN跨网段隔离不严、共享服务器管理或访问权限分配混乱、内部数据或应用系统开放服务或端口较多、内网防火墙或网关设备固件版本陈旧。终端设备系统补丁更新不及时等问题,导致内部网络防守比较薄弱,所以蓝队在内网横向拓展中采取的手段会更加丰富多样。同时,因为内网具有通联性优势,所有内网横向拓展工作主要围绕通联安全认证的获取与运用开展:

 

  1. 内网漏洞利用 :内网漏洞利用是内网横向拓展最主要的途径。进入目标内网后,蓝队能接触到目标网络内部更多的应用和设备,这些内网目标存在比外网多得多的漏洞,漏洞类型也是各式各样。

内网漏洞有三大特点 :

  • 内网漏洞以历史漏洞为主,因为内网多受到业务安全限制,无法直接访问互联网,各类应用和设备漏洞补丁很难及时更新;
  • 漏洞利用容易,内网联通性好,端口服务开放较多,安全策略限制也很少,这些都是为内网漏洞利用提供了极大的便利;
  • 内网漏洞多具有通用性,因为目标网络多有行业特色,内网部署的业务应用、系统平台多基于同一平台或基础架构实现,容易导致同一漏洞通杀各部门或分节点的情况;

     2. 口令复用或弱口令 :口令复用或弱口令是内网横向拓展中仅次于内网漏洞利用的有效途径。受“处于内网中被保护”的心理影响,一般目标内网中口令复用和弱口令情况普遍存在。口令复用的原因主要有两个 :一个是内网多由少数几个固定的人维护,运维人员处于省事的目的,喜欢一个口令通用到底;二是内网经常需要部署大量同样类型的服务器或应用,多直接通过克隆实现,但在克隆部署完毕后也不对初始密码等关键信息进行修改。弱口令则是内网安全防护意识不足导致的,使用者以为在内网一切都可以安枕无忧,没有认识到内网安全和外网安全具有同样的重要性

    3.安全认证信息利用 :内网安全认证信息包括搜集服务器自身安全配置。远程终端配置、口令字典文件、个人主机认证缓存或系统口令Hash等。这些安全认证信息的利用是蓝队攻击过程中实现内网横向拓展的重要途径,因为蓝队在内网横向拓展的最终目的就是获取内网控制权限,而内网控制权限的大小与获取内网安全认证信息多少密切相关。有效的内网安全认证信息可以使蓝队快速定位关键目标并实现接入拓展,可以说,一切内网横向拓展的工作都需要围绕安全认证信息的获取来进行 :

  • 重要口令字典文档或配置文件,包括网络拓扑文件、口令文件、各类基础服务安全配置文件;
  • Windows 凭据管理器或注册表中保存的各类连接账号密码、系统组策略目录中XML里保存的密码Hash;
  • 邮件客户端工具中保存的各类邮箱账号密码,包括Foxmail、Thunderbird、Outlook等;
  • 远控客户端保存的安全认证信息,比如VNC、SSH、VPN、SVN、FTP等客户端;
  • Hash 获取的口令信息,比如域网络用户Hash、个人主机用户Hash、网络用户token等;
  • 各类数据库账号密码,包括数据库连接文件或数据库客户端工具中保存的各种数据库连接账号密码;
  • 浏览器中保存的各种WEB登录密码和cookie信息

     4. 内网钓鱼 :不同于外网钓鱼存在条件限制,内网钓鱼具有天然的信任优势可以利用,所以内网钓鱼的成功率要搞得多。蓝队在内网钓鱼中追求的是一击必中,对目标的选择具有很强的针对性,主要针对网络安全运维人员、核心业务人员这些重要目标,因为攻下了这些目标,就意味着可以获取更大的网络控制权限和接触核心业务系统的机会。内网钓鱼的途径比较多,可以借助内网邮件、OA与内网移动办公系统等。

主要有两种情况:

  • 一种是在控制内网邮件、OA、移动办公系统服务器的情况下,利用这些系统管理权限统一下发通知方式定向钓鱼;
  • 一种是在获取内网有限目标的情况下,利用在控目标通过内网邮件、OA、移动办公系统的通联关系,冒充信任关系钓鱼;

    5. 内网水坑攻击 :水坑攻击,是在受害者必经之路设置一个“水坑”(陷阱)。常见的做法是黑客在突破和控制被攻击目标经常访问的网站后,在此网站植入恶意攻击代码,被攻击目标一旦访问该网站就会“中招”。蓝队在实战攻防演练中用到的水坑攻击途径更加丰富,除了内部网站恶意代码植入,内网文件服务器文件共享、软件服务器软件版本更新、杀软服务器病毒库升级和内部业务OA自动化部署等,都可以作为内网水坑攻击的利用方式。和内网钓鱼一样,因为有内网信任关系,蓝队在实战攻防演练中用到的水坑攻击效率也比较高。

请登录后发表评论

    没有回复内容

随便看看