导语:红队执行进攻性安全评估是与道德黑客及其活动有关的大多数文献的主题。关于如何使用某个工具入侵某个系统在许多出版物中有无数的演练和示例。然而,本书中关于执行的重点是讨论利用这些活动的专业方法,而不是活动本身。
前言
阅读这本独特的书籍,能够让你在进行进攻性安全交战时利用多种高阶技术。你将了解实际的谍报技术、操作指南和进攻性安全最佳实践,来开展专业的网络安全交战,而不仅仅是漏洞利用、执行脚本或使用工具。
本书将向你介绍基本的进攻性安全概念。重点说明了评估和道德黑客的重要性,并讨论了自动化评估技术。现代进攻性安全的现状以及面临的挑战。
系列文章目录:
开展专业的红蓝演练 Part.7:进攻性安全面临的挑战(上)
开展专业的红蓝演练 Part.8:进攻性安全面临的挑战(下)
红队执行进攻性安全评估是与道德黑客及其活动有关的大多数文献的主题。关于如何使用某个工具入侵某个系统在许多出版物中有无数的演练和示例。然而,本书中关于执行的重点是讨论利用这些活动的专业方法,而不是活动本身。如果不专业地使用最巧妙的漏洞利用和最酷的工具或脚本来危害组织中的主机,那么这一切都是徒劳的。执行是评估的一个阶段,在范围达成一致并签署 ROE 后进行。只有这样,评估员才能开始他们的实际测试。在一个非常高的层次上,这是一个在评估窗口期间不断枚举和执行漏洞利用的循环过程。成功执行漏洞利用后,评估人员应利用系统中包含的任何信息来改进组织内部横向和深层系统的漏洞利用。本章提供了在执行红队攻击时作为专业网络攻击者应具备的良好情报技术和最佳实践。
人员安排
范围确定完成后,评估方必须确保有合适的人员来执行评估。在提供专业红队的服务中,有一部分是能够通过最熟练的人员进行适当的评估活动来解决目标系统。如果ROE概述了对物理评估活动的需求,并且没有被安排参与评估的评估人员具有任何相关经验,则应在评估开始前解决此问题。当典型的红队成员可能没有机会攻击此类目标时,这对于物理和无线评估等活动尤其重要。在为评估工作配备人员时,还必须确定将要枚举和执行漏洞利用的系统类型的专业技能。如果团队正在使用医疗监控设备对医院进行测试,或者测试具有许多监控和数据采集(SCADA)系统的装配厂,那么团队应包括熟悉对此类设备执行扫描和漏洞利用方面能够做出知情风险决策的员工。在评估方无法提供此类人员的情况下,应利用客户组织确保在评估活动期间掌握此类专业知识,以避免潜在事故。
专业黑客
作为一个通过非法入侵他人系统获得报酬的网络窃贼是一件非常有趣的事。然而,在评估的所有阶段,包括执行阶段的技术和情报技术方面,始终要考虑道德和情感因素,这对于专业流程来说是很重要的。在评估过程中,我们很难抑制想要获得太多乐趣的冲动,但当评估人员偏离了道德或情感的适当性时,他们可能会通过负面影响团队的职业形象而损害评估可能提供的任何和所有好处。客户组织很难信任那些只想暴露自己缺点的人,也很难与他们互动。当评估员做一些不成熟的事情时,例如将日志文件重命名为 cantcatchme.txt 文件或者把管理员的背景壁纸改成巨魔脸图片,他们的行为破坏了团队所做的一切。尤其是在敌对的客户和供应商关系中,让安全人员难堪是很有诱惑力的,但专业精神必须是至高无上的。除了要考虑到他们行为的道德或情感影响外,专业的红队成员必须遵循最佳实践,使用良好的情报技术,并保持详细的操作记录。
最佳实践
评估员应该执行一些内务管理和常规活动,作为他们的评估方案的一部分。最佳实践是为了保护评估人员免受误解,并让客户得到充分的信息。
检查 ROE
当安全评估的时间窗口开始时,评估人员应该做的第一件事就是仔细检查评估期间批准的活动类型的 ROE,并仔细检查所涉及的目标集合的范围。评估人员需要确保即将进行的道德黑客行为是合法的,并且在此时是最后一次机会。这也是一种安全检查,以确保评估员自己保存了一份ROE。在检查 ROE 时有两点需要确认。
1)确认活动
当红队开始当天的工作并开始与目标系统交互时,团队成员应通知客户以及他们自己在评估团队中的运营主管,红队活动已经开始了。类似地,在每天结束时,当红队停止与目标组织中的系统交互时,成员应该将这一事实告知客户及其主管。在评估的每一天里都这样做是有益的,原因有几个。但也许最重要的是,当组织内标识的指标与红队(或实际恶意)活动相关时,此信息允许客户组织快速消除冲突。
将日常工作持续时间通知客户,也可以与客户就红队是否在作战网络中活跃进行良好沟通。通常,进攻性安全是一种远程实践的职业,保持工作努力的感觉可以防止客户和供应商公司的运营主管怀疑评估人员是否在做他们应做的工作。当客户不能亲自走进一个房间,查看团队成员是否坐在办公桌旁对他们的系统执行枚举和漏洞利用时,做到这一点就很重要。 此外,红队应在每天结束时通知客户,在正常工作时间后,是否有任何红队相关活动可能影响组织。这通常特定于团队遗留在某些系统上的远程访问工具的信标活动。但是,在某些情况下,利用漏洞时可能需要留下一个脚本,红队可能希望系统上的某些计划任务或随机活动能够执行攻击脚本并安装红队的一些工具。在这种情况下,最好通知组织管理层此类活动也可能在下班后进行。
2)作战情报
情报技术是红队评估的真正艺术。它允许进攻性安全专业人员利用技术专长和经验开发的技能,向客户提供可能的最佳威胁模拟。我个人对网络红队情报技术的定义是了解并在过于谨慎和鲁莽之间游走,同时还能完成手头的任务。专业的红队成员应该足够鲁莽并富有创造力,以便在适当的时间窗内安全地完成评估,并且足够谨慎并有条理,以免被发现。例如,如果没有其他可能进行测试的途径,并且漏洞利用已经与客户(如果需要的话)消除冲突,那么像 MS17-010 这样的漏洞利用就有重启系统的风险,这是很好的情报技术。为了权宜而利用内核漏洞来提升特权,而不首先确定是否有其他方法可用,比如由 root 用户执行的可写脚本,使用这种方法对目标造成的风险要小得多,这是很糟糕的情报技巧。在整个评估过程中,大多数红队成员通常会因为太过鲁莽而突破底线。另一方面,过于谨慎或过于有条理,即使是非常优秀的道德黑客也很难做到。根据我的经验,优秀的评估人员有两种方式会因太慢而无法有效地完成任务;有些评估人员会受到兔子洞的诱惑耗费时间在某件事情上,还有一些人则会因为被发现而感到羞愧。
道德黑客通常是非常好奇的一类人,他们被驱使去迎接评估带来的挑战。这通常有利于评估,但在许多方面也可能阻碍评估的成功执行。“兔子洞”是一种时间消耗,可以吸引评估人员远离对大局的关注,而大局是通过专业的红队评估来改善组织的安全态势。追踪“兔子洞”需要付出巨大的努力才能完全探索,可能对影响整体评估没有帮助。 例如,假设扫描显示十台主机易受远程代码执行漏洞攻击,随后评估人员利用该漏洞登陆具有非特权上下文的远程系统。现在,在这些系统中,有一半存在相对简单的权限提升漏洞,可用于仔细查看整个系统;另一半则没有现成的漏洞。无法提升这些系统中的一个或多个系统的权限,这一挑战可能会吸引评估人员试图战胜这一挑战,而不是转向更易于访问且可能包含相同或更重要信息的机器。在面对每个系统所遇到的许多技术挑战时,将更大的总体评估需求牢记于心可能是极其困难的。将攻击组织本身优先于攻击每一个具体挑战的能力,在实践良好的间谍技术和完成手头的任务中是非常重要的。
说到这些,让我想起我曾经参与过的一次评估,在评估过程中,最初的评估人员远程访问了一个 web 服务器,但无法使用当时在系统上找到的任何信息进一步渗透网络。在对系统进行初步调查期间,第一位评估人员发现了一个包含许多应用程序编程接口(API)密钥的文件,并花了数周时间试图在网络中的其他系统上对这些API进行交互和漏洞利用,结果发现所有这些系统对远程系统的访问非常有限(如果有的话)。在第一个评估人员转到另一个项目之后进行后续工作时,下一个评估人员在几分钟内发现,有几个用户的 .ssh 文件夹中包含 ssh 密钥,这些密钥允许他们转到组织中的许多其他系统上,并继续执行攻击。在看到滥用API 密钥的有趣挑战时,第一个评估人员显然掉进了兔子洞的陷阱,并且浪费了数周时间,因为对机器的进一步调查将导致识别易于使用的 secureshell(SSH)密钥,以便将其转到其他主机。只有有了丰富的经验,你才能知道该在什么时候从挑战中走出来。 作为一个有道德的黑客,也应该有一种精英主义,红队成员可能比其他任何东西都更鄙视在组织活动中被抓到。我们都想成为鬼鬼祟祟的网络忍者,而不是让组织的安全人员在我们面前说,我们犯了错误,在他们的系统中被识别到了。尤其是经验丰富的进攻性安全从业人员往往会努力保持不被发现,以避免被抓住的耻辱。当然,红队需要有适当的谨慎程度,包括留在噪音的网络中。这意味着,当远程攻击(如MS17-010)可用,但同一系统还具有用于移动文件的未经验证的共享时,攻击者首先尝试与典型活动混合,以使用同一共享获取访问权限。评估人员通过映射共享,在系统上放置远程访问工具,并像普通用户一样通过本地和本地系统命令来执行,从而保持在网络的噪声中。而不是抛出漏洞,因为这将产生异常流量。
置身于噪音之中还意味着尽可能利用组织的网络管理员的通信和管理流程。这涉及到利用 SSH、远程桌面等协议和获得的凭据来执行跳转攻击。此类操作允许攻击者看起来像组织中的任何其他用户一样,并且不会阻止恶意活动。类似于非恶意用户的行为也意味着通过向特定用户添加第二个 SSH 密钥来保持对系统的访问,而不是安装远程访问工具,从而保持最小的占用空间。所有这些在噪音中保持谨慎的例子都是很好的技巧。当评估人员非常担心被抓到时,糟糕的间谍技术就会发挥作用,甚至在其他途径已经用尽的情况下,他们也不敢利用噪音较大的漏洞,因为他们宁愿报告的结果更少,也不愿被客户组织的安全团队抓到。这是一种糟糕且不专业的红队执行方式,因为红队的目标是尽可能多的改善组织的安全态势,而不是成为最隐秘的黑客。如果客户组织的安全人员能够解决和缓解更多的威胁,但是当着你的面炫耀时,你应该记住,你是一个有工作要做的专业人员;他们是客户。
参考及来源:https://www.springer.com/us/book/9781484243084
本文由作者“丝绸之路”整理发布,如若转载,请注明原文地址:
如有侵权请联系:admin#unsafe.sh