此次模拟APT攻击,前前后后大约持续3个月左右,信息搜集,踩点大致在2个月左右。正式开始于3月中旬敲定计划开始实施。
通过此次的模拟,更清晰的对目前企业网络安全现状的规划与建设更具有行业针对性。更清晰清楚,针对不同行业的网络建设是不具备统一规划与建设方案的。
注:模拟APT计划:模拟一次虚拟任务,来真实攻击目标(非破坏,非窃取等)。
一
序言
目前市场上的企业网络安全规划与建设大部分存在统一实施方案,或者是模板方案。而非针对特定行业,特定客户群体来制定针对方案。而不同行业,不同背景的企业安全规划方案也一定是不相同的。
- 传统行业(医药,食品,汽车)对待企业安全的建设是起跑阶段。
- 金融行业(证券,银行,保险)对待企业安全的建设是规划与实施阶段。
- 互联网行业(某度,某巴,某鹅)对待企业安全建设是自研或商业化阶段。
为了更好的了解,所以制定了一次模拟计划,在计划中,更能清楚的看到,未来企业网络安全对待企业发展的重要性,以及特定行业特定规划方案,特定行业特定防御对象。
由于此次计划时间过长,导致部分无截图。或者后补截图(可能是本地模拟的截图)。
二
故事①
故事就这样开始了,针对传统行业,药企。起初定的计划是以配方为任务结点,也就是看到或者可以确定到具体存放位置就点到为止,但是随时目标的深入(为了避嫌),临时更改了计划,任务背景临时更改成,定向打击该企业的某人,那么整体APT攻击流程如下:
(由于第一阶段时间跨度较长,大部分截图丢失)
点1——->面2——->点3——->面4——->点5——->总结
点1:某个点漏洞
面2:由点漏洞开始渗透面,该企业(传统行业医药,企业安全建设起跑阶段)
点3:由面,该企业中的某人,定向打击
面4:针对目标人物的行踪,定向打击某航空公司(重视企业安全建设,实施阶段)
点5:最终了解了该人的全部资料与行程计划。
针对该国的药企排名信息搜集,定该国的top1为目标开始定向搜集,分为被动信息搜集与主动信息搜集。其中主动信息搜集又分为,外部主动搜集与后期的内部主动信息搜集。
并且把先期所有外围主动与被动信息搜集入库。与后期的内部信息搜集入库。形成完整的攻击方向链。
根据攻击方向链,制定攻击方向计划
并且根据目前入库数据分析,很快得到了某台DMZ区域的windows主机权限。
上文已分析得出,该药企目标为传统行业,一般传统行业的安全网络设备较差,部分涉及到核心的数据库会有网闸,恰恰该目标某些设备具备网闸。
任何的本地访问都会到内网中的254。
技术细节略过,在过网闸后,定向查找跨B段域控,在得到域控后,继续搜集信息入库分析并且完善攻击方向链,也就是需要分析出攻击方向,如财务,研发。避免IT等内部安全部门。
得到域控后,临时更改了以配方为主的计划方案。因为:
并且在net group /domain得到返回信息如下:
如果目前终止计划,那么此次仅仅是一次即时渗透,非APT定向攻击。临时更改计划,该企业中的某人X,在OA得知,X人,某天乘坐飞机到某地,具体业务并没有更为详细的说明。那么计划临时更改为,需要了解该人去某地的具体意图。
三
阶段性①总结
目前大部分网络攻击主要分为:黑产黑客攻击,政治黑客攻击,商业黑客攻击,其他攻击。而针对传统企业(如医药,食品,汽车,传统国有企业,军工企业等)面临的攻击大部分来自商业黑客与政治黑客攻击。这2种类型的攻击,特点是时间换空间攻击,以最小化发现为主拉长时间抽的APT方式攻击。针对这种类型的企业,除了有效的安全产品外,而更多的是针对员工的安全意识培训。尤其是车企,并且部分车企的图纸,或者参与军工研发,甚至次年的发展规划,报表,都是黑客的主要攻击对象。由于部分车企采取多地甚至跨国联合办公,移动办公,移动用户,包括许多方面的合作伙伴。(如下图)导致了攻击点不仅仅在是针对企业面的攻击,更多的是以员工点方式的攻击。从而快速有效并且跳过部分防火墙,直接搜集敏感数据。
四
故事②
在故事1中得结尾得知X人要乘坐某航空到某地。具体做什么,从OA中无法得知。为了定向打击X人,开始针对对某航空公司的外围,主动/被动信息搜集,以及内部信息刺探。
在航空行业中重视企业安全建设,实施阶段。其实并没有把这条规则入库到攻击链中,导致在入侵中发生了许多不必要的问题,如外网信息刺探的某web服务,部分有sql注入,但是一直把时间浪费在与waf的对抗中,而在这类行业中,都会部署着规则强大并且性能较好的waf。大部分对外的网站中,没有明显漏洞。后期,把行业性质入库到攻击方向。重新定制计划,继续搜集信息,定向打击该航空员工。从而绕过安全设备。
那么整体攻击流程如下:
点1——->点2——->面3——->点4
点1:搜集外围信息,主动/被动
点2:针对爬虫信息入库,分析公司员工,职务人员。
面3:根据该点员工,攻击该航空公司。
点4:在航空数据中,查找药企X人的下一步的去向。
在外围信息搜集中得到某json接口返回,得到该公司全部员工代号,又在某接口返回得到无代号返回的全部员工邮箱账号。二者入库匹配,来获取username,mail,职务。
(以下图片已经处理,无敏感,由于目标敏感,域内信息,以及数据库信息无图)
重新入库分析攻击链方向整理后,得到全部员工信息后开始匹配,打开某员工邮箱,并且在附件中得到vpn.apk,逆向得到相关api,导致可爆破。后在某处得到新版本VPN.apk
新版本的vpn有双因子劫持跳过。遂连,触发远程加载。得到内网,拓展域权限。
(以下图经过处理,无敏感,可能打乱顺序)
在结尾处,发现X人是去度假去了。(捂脸,后飞至某国)
五
阶段性②总结
目前的航空行业,金融行业都是黑产黑客的高发地,以窃取数据为核心攻击。而此类行业中,所有数据库又具备数据的完整性。如身份证,姓名,电话,照片等。数据较为敏感。此类行业每年都会有信息安全建设的大量预算,这种类型的目标,往往打点极其困难,大部分的waf或监控流设备就拦截了非法信息,并且有专门的信息安全部门对内部进行安全测试与部分整改意见。而针对大型该行业企业,由于员工众多,导致部分信息不能及时共享与整改。甚至会出现本公司的网络资产表覆盖不全面。以点溃面。
六
总结
由于信息化,自动化的办公,企业成本的考虑,传统的“以点打面”的点会越来越分散与难以集中管理,如跨国办公,移动办公等。那么可预知的攻击方式将会以人为突破口的事越来越多。安全的本质又不能仅仅靠预算与设备的投入而杜绝,尤其是在未来的大型甲方公司,都会有着自己的安全团队,那么如何把网络安全发展成未来甲方公司的企业文化,将会是一个漫长的过程。而近些年无论是国内还是国外的官方部门开始重视网络安全,但是效果不明显,同样这里借用某大佬的总结,同样部分也适用于企业:
- 领导不重视
- 岗位无编制
- 专业能力弱
- 攻防更新快
- 人才留不住
可见,不同的行业,企业安全规划建设是不同的并且不具备模板化建设,不具备安全设备堆建建设,如果在行中在按照地域划分也有着部分的不同特征,比如一些地方以国企(大量工控),重工业为支撑,一些沿海地区有着发达的金融业的企业安全建设。针对的主要攻击对象不同,针对的防护内容不同。来制定适合本企业的安全建设规划方案。但是有一点一定是相同的,把企业的网络安全发展成企业文化。