球队如何上场参战
完成战争游戏练习第一部分并第二部分数列中)安全咨询处团队判定需要模拟攻击场景
计划化
- 广目标钓鱼练习
- 恶意依存运动
- 手机钓鱼运动
- 数据排出
- 内部假想(外部行为方/恶意内幕者有限存取网络)
- 社会工程评估
执行phishing元素演练团队开展了三次特定运动:
- 运动1:电子邮件攻击,假称客户雇员引导用户访问新闻网站讨论最近客户公告
- 运动2:电子邮件攻击,装作客户员工并包含Word文档
- 运动3:手机攻击,假称客户员工想获取信息
执行
运动1
团队从虚设内部地址发邮件约500名员工,
令运动趣味的是团队没有积极加入相关网站链接团队包括两位虚构雇员Graham和Catherine之间的交换(比Jane和John Doe更有说服力),讨论网站问题,邮件题目中包括URL为Fwd网站不要求认证,而是模拟水洞风格攻击,它本可用于托管开发软件和恶意软件,然后客户员工访问时启动
说明:运动用意模仿先前成功攻击上次演练中团队使用过滤代理配置弱点有效辞去客户内部CA自签名证书证明不再可行(尽管客户人工过滤),取而代之的是获取真通配符证书客户点发现此运动,因为先前SSL中间盒配置错误已经固定,然而客户点同意白列表新网站以收集有代表性用户样本
结果,团队记录约半数目标与网站连接,并收到75封电子邮件回复
运动2
第二次电子邮件运动以相似方式发送到另外500个用户组基本假设视邮箱附微软Word文档,内含恶意宏(死点名)。宏调回团队变装盒表示文件运行过,但没有损及系统额外功能无关紧要添加
第一,创建概念证明完全有效植入发送到预协议雇员中,用户被分配到测试内部阶段内幕执行有效载荷授权宏首试失败代理认证问题第二有效载荷成功认证代理执行三举二举团队无法从交互外壳返回C&C服务器失败原因是一个谜题,但客户端应调查 看看哪些控件防止攻击
二级发送良Word文档并附宏以收集用户开机操作宏统计
总约20%运行宏即攻击者接收网络部署数量相对相当多的植入物严重故障并可能导致内部网络完全折中
都用电子邮件发送攻击, 我们包括假指令控制组件, 原则上,如果访问, 可能已被调用远程访问用户系统调查队无论如何都没有跟踪这一最终行动,但很明显,在两次运动中,都有可能这样做。
运动3
此外,小组还开展了短手机运动。客户端提供500名雇员及其相应扩展名表,并由团队拆分以计算每种假想它们是:
- 直接请求证书 假扮内部团队 工作新集成项目
- 直接请求证书与上表相同,但装作信息有误,而不只是请求
- 网站方向,假称人力资源团队成员想通过贝塔系统收集数据网站请求证书
数据库显示如下:
- 手机号调用:20
- 手机响应率:5%
- 直接密码请求:用户身份证1%
- 链接跟踪:2.5%细节输入:1%
从外部观点看,这是引起大起大波的钓鱼约一小时后,人们打电话似乎知道事情正在发生更担心团队发现客户内联网代码可用于认证同事团队发现它存在后 立即开始请求它 看是否有人交出
似乎有两种用户, 那些不知道团队所讲的(所以不放弃) 和那些知道它是什么和不放弃的人, 因为他们知道自己不应该放弃运动期间,多位用户被团队诱入电子邮件交换机,从中他们跟踪链接
还有一些用户表示立即报到团队试图转过身来表示这是钓鱼运动的一部分, 表示他们做对事,无人跌入扩展项(干得好! )
排泄法
为了确定在限制客户网络数据反射方面是否设置了适当的安全控制,团队确定并评价数类数据反射效果
前一次评估发现DNS地下通道是隐蔽清除的有效方法,但已采取一些步骤降低这一通道的可行性。外部DNS系统无法直接存取,而是客户网络外围DNS服务器查询通过多次查询攻击者控制域独有子域DNS项,有些数据仍然可以通过DNS服务器排入外部名服务器,尽管这种办法效率不高或不可靠。
身为恶意内幕者,本有必要下载、安装和运行攻击客户笔记本电脑/台式计算机上各种工具,并开发专用工具,这些工具需要大量技术知识
团队决定通过HTTP或HTTPS传输数据比较简单并更有可能发生前一次评估显示,动态dNS提供商可以通过客户代理访问攻击者控制系统,但自那以来发现常用例子(DynDns,no-IP)阻塞然而,其他动态dNS提供商(特别是付费提供商)被发现不阻塞,在一两天使用后不被动阻塞。可再次用这些提取数据
团队非但没有建立自己的服务器作为清除目标,反而专注于公共文件分享网站多网站被发现不阻塞,可用以提取数据监察组生成了大量假记录测试数据,其中似乎含有信用卡号(并带有效Luhn检验数字)、日期、名称、排序码和银行账户号之后这些记录被排泄出 一系列活动 升级厚颜无耻大记录文件在测试最后一天以纯文本上传到文件共享网站和粘贴网站(例如Pestebin网站),没有显示检测结果评估过程中唯一检测到的实例是团队试图通过封存的电子邮件排出纯文本CSV
为了确定外围代理是否可以绕过,团队通过网络发送数包并标有外部服务器IP地址目的是识别允许在网络周界外旅行的异常交通类型IPv4协议包(例如0至255),IPC类型和代码包(每个0至255),所有UDP端口和TCPSYN包遍历网络没有任何迹象表明这些包到达外部服务器,这可能意味着网络不允许流量“泄漏”互联网,而不先穿过外围代理和/或防火墙
多路排空并显示其中一些路径不需要多少技术技巧和特殊工具,因此恶意工作人员使用标准客户笔记本电脑(按向团队提供)不难收集、合并(例如ZIP)并短时间排出大量敏感数据而不检测威胁模型可扩展至非认证恶意内幕者(例如有人侵入大楼),phishing首先获取用户主动目录证书供代理使用
团队采取行动模拟威胁行为主体活动,例如使用非客户笔记本电脑访问网络服务(例如扫描脆弱服务或试图访问NAS上显示的股份)。
显示蓝队快速检测到此类活动(唯一点数时间)低噪声攻击基本未被发现
团队表现恶意内幕大有成功简单任务提升权限到本地管理员,以便使用它为支点(例如模拟完全失密远程存取系统)。完全武器化系统活动需要数日才能发现,到时团队有可能在客户网络内关键服务器上远程代码执行
此外,对关键系统组成服务器样本进行了常见漏洞检验,几乎在所有情况下都发现补丁缺失,可能导致拒绝服务系统或全系统折中此外,还发现软件安装不安全,这也可能导致关键系统折中
社会工程学
为了对客户操作的两个网站作有效评估,作为战争游戏演练的一部分,小组试图回答下列问题:
- 团队能否擅自访问两个网站
- 团队从一个站点对另一个站点发动攻击
测试后,评估小组确认所有网站都可未经认证访问,网站间互信水平实际帮助攻击者访问
深入检测后两天内发生的攻击二分版
- 团队清晨9点抵达A站点并接近接收人员请求新启动表接收工作人员不提供问题或验证团队离开大楼填表并前往大楼后方
- 后院装货口常量使用,开机比闭机多视察队进入装货口并进楼第一次接触时,小组请求指示身份证制作办公室,安全人员向正确房间展示,并通知很快会有人到场。团队独处卡片制作室约5分钟,完全可访问卡片院安全人员出现团队制作新开机表并提供ID,安全工作人员担心表格仅一周使用,因为这低于最小阈值团队随后说服安全人员,他们实际需要通行证延长6个月。安全人员随后主动表示徽章有效期为6个月,并包括访问B站点无需验证,团队离开时带有效照片身份证,该证件遍历网站A和网站B万一小组提出要求,任何网站的出入证都会验证
- 团队随后访问A站点除数据中心楼层以外的所有区这可能是可能的尾巴技术,如果评估时有更多瀑布流量可用
- 与上述情况一样,团队得以自由游动大楼,并曾参加大型IT安全会议,没有挑战。除此以外,小组还获悉第四层受限访问,但简单尾带技术允许小组访问该层执行区
- 视察队到工地外围入口并使用buder/Intercom联系安全未交换词验证小组成员或访问理由安全人员远程打开门并允许小组进入网站团队随后使用网站徽章A折中 打开前端接收入口安全输入时不请求身份证或访问书签名
- 视察队告诉安全卫士,他们正在见人,但没有提供细节说明是谁。视察队随后获准坐在底层食堂区。
- 在此期间,小组得以进入底层两个单独的房间一号似乎是装计算机系统和基础设施设备泛构室,二号似乎是安全卫士室。屋子门开着建房门有存取控制,但网站A获取徽章对门工作
- 尽管安全可疑,但他们没有请求身份证或试图向外部工作人员验证访问原因过段时间后,单安全工作人员走出楼外,小组留守楼内。团队随后使用网站A传通数据楼层门内部发现数个入口个人使用徽章/代码插件入口,看似安全可靠,而一扇门仅受被动RFID锁保护(尽管以前在客户网站别处没有看到型号)。但这些安装不正确,很容易绕过,如果授权团队这样做(并允许团队上数据层)。摄制组随后上楼大都空着并关灯过段时间后,小组找到了小数据架,内装存取开关团队本可以在目前点插入网络失密装置
- 团队没有授权绕过数据楼口被动锁(并想避免引人注意),决定网站内无法采取进一步行动证明进一步的折中并自投安全安全人员自首安全后,再次未能验证授权信所列工作人员或使用内部电话系统联系他们,代之以提供手机数(这些数可能是假数,并可能是一个复杂攻击组的一部分)。
结论
团队认为,恶意内幕或通过外部角色成功交付攻击的可能性很高,因为这些假设中发现系统故障应当指出,攻击者必须使用极隐蔽技术以避免客户团队检测,并需要相当广泛的客户系统知识与软件部署知识
类似地,团队认为,通过利用两个网站之间的多重故障,可以不受限制和授权访问客户网站的任何区域。如果这是更强攻,毫无疑问访问B站点内数据机架和计算机系统会完全失密
本系列最后部分处理战后游戏冲淡并触及团队向客户提出的一些建议,既面向终端用户,或许更重要的是面向试图阻截我们的蓝队。
连接CISCO