2.4.2 内网横向拓展的主要工作
蓝队在内网横向拓展阶段的主要工作就是围绕靶标等内网核心目标,在内网快速横向渗透拓展,实现控制权限最大化,最终达到攻击目标。进入目标内网后,蓝队才真正有机会接触到目标网络核心的东西。实现在内网快速拓展、定位控制内网重要目标是一项细致、烦琐的工作,主要工作包含以下几方面。
1. 内网信息搜集
蓝队在内网横向拓展的效率取决于其对目标内部网络的熟悉程度,而对目标内部网络整体架构、VLAN划分、部门间网络隔离、关键网络节点部署和重要部门或人员网络内精确定位等信息的掌握则是内网快速横向拓展的关键。因此,蓝队在内网横向拓展阶段需要尽可能多地搜集有关内网网络部署、关键网络节点、核心业务目标的信息,实现对内网信息最大限度的了解,为内网进一步拓展提供情报支持。内网信息搜集的重点主要有以下几方面:
·内网存活的IP以及存活IP开放的端口和服务;
·主机和服务器性质,判断设备所在区域是DMZ区、办公区还是服务器区,作用是文件服务器、Web服务器、代理服务器、DNS服务器、邮件服务器、病毒服务器、日志服务器、数据库服务器等之中的哪一个;
·内网的网络拓扑、VLAN划分、各网络节点和网段间的连通性;
·内网通用的杀毒软件、防火墙、终端操作系统、OA办公软件、即时通信软件或其他应用系统。
目标网情搜集中有关目标组织架构、网络建设、设备部署以及网络管理部门与关键管理人员的信息都会在内网拓展中起到相应的作用。
2. 重要目标定位
蓝队在内网横向拓展过程中对重要目标进行快速定位有两个好处:一是这些内网重要目标大多有网络部署、安全认证、核心业务等的重要信息,获取这些重要信息将对内网横向拓展具有极大帮助;二是这些重要目标多具有非常好的内网通联性,借助其内网通联优势,可快速在目标内网实现横向拓展。这些内网重要目标包含内网关键服务器和内网重要主机。
·内网关键服务器:内网UTM、云管平台、文件服务器、邮件服务器、病毒服务器、堡垒机、域控服务器、综管平台或核心网关。
·内网重要主机:核心业务部门主机、网络管理员主机、部门领导主机。
3. 内网渗透拓展
不同于外网纵向突破侧重于薄弱点的寻找和利用,蓝队内网渗透拓展的重点是安全认证信息和控制权限的获取。在内网渗透拓展过程中,蓝队会利用各种渗透手段,对内网邮件服务器、OA系统、堡垒机、域控服务器、综管平台、统一认证系统、核心网关路由和重要主机等各类重要目标进行渗透控制,尝试突破核心系统权限、控制核心业务、获取核心数据,最终实现对攻防演练靶标的控制。因为目标网络内外网安全防护的不同,攻击过程的实现手段各有侧重。内网渗透拓展的主要实现手段有内网漏洞利用、口令复用或弱口令、仿冒认证登录、内网水坑钓鱼等。
4. 内网控制维持
蓝队在攻击的过程中经常会面临目标网络安全防护、内外网隔离以及目标人员工作开机时间等各种条件的限制,为保证攻击的顺利进行,蓝队需要根据这些条件限制从内网控制维持方面采取措施进行应对,主要工作包括渗透工具存活、隐蔽通信、隧道技术出网和控制驻留四方面。
·针对内网杀毒软件可能导致的渗透工具被查杀的情况,对渗透工具针对性地进行免杀修改或利用白名单机制进行规避。
·针对目标网络安全防护对异常流量、危险动作的监控可能导致蓝队攻击被拦截的情况,采用通信数据加密、合法进程注入等隐蔽通信进行隐藏。
·针对内外网隔离,内网不能直接出网的情况,采用端口映射或隧道技术进行网络代理穿透。
·针对目标主机或设备工作时间开机限制导致无法持续的情况,采用对蓝队远控工具进行控制驻留维持的措施,主要通过注册表、服务、系统计划任务、常用软件捆绑替代实现自启动驻留。
5. 内网提权
蓝队在攻击过程中,通过渗透拓展获取的应用系统、服务器、个人终端主机等目标的控制权限不一定是最大的,可能只是普通应用或用户权限,后续的一些攻击动作常常会因为权限不足而受到限制或无法开展,这就需要通过提权操作来将初步获取的普通权限提升到较高权限,以方便进行下一步的操作。用到的提权操作主要有以下四类。
1)系统账户提权。主要是将操作系统普通账户权限提升为管理员权限,主要通过一些系统提权漏洞实现,比如比较新的Windows系统的本地提权漏洞(CVE-2021-1732)和Linux系统的sudo提权漏洞(CVE-2021-3156)。
2)数据库提权。主要是通过获取的数据库管理权限,进一步操作本地配置文件写入或执行命令来获取本地服务器权限。
3)Web Server应用提权。主要是通过获取的Web应用管理权限,利用Web应用可能存在的缺陷来执行一些系统命令,达到获取本地服务器系统控制权限的目的。
4)虚拟机逃逸。虚拟机逃逸是指通过虚拟应用权限获取宿主物理机控制权限,主要通过虚拟机软件或者虚拟机中运行的软件的漏洞利用,达到攻击或控制虚拟机宿主操作系统的目的。随着虚拟化应用越来越普遍,通过虚拟机逃逸来实现提权的情况会越来越多。