淺析網(wǎng)絡(luò)攻擊中攻擊者思路

◆蒙忠爽

淺析網(wǎng)絡(luò)攻擊中攻擊者思路

◆蒙忠爽

（交通銀行股份有限公司 上海 200120）

伴隨著信息時(shí)代的發(fā)展以及計(jì)算機(jī)技術(shù)的不斷迭代更新，信息系統(tǒng)的安全在企業(yè)的中占據(jù)著愈來(lái)愈重要的權(quán)重，國(guó)家對(duì)信息安全也愈來(lái)愈重視。與此同時(shí)，針對(duì)相關(guān)大中型企業(yè)的網(wǎng)絡(luò)攻擊的數(shù)量也在不斷增加。本文結(jié)合具體的現(xiàn)實(shí)案例，主要分析了在網(wǎng)絡(luò)攻擊中，攻擊者完成攻擊行為的流程以及思路，并對(duì)相應(yīng)的攻擊方式提出防御措施，與大家一同探討。

網(wǎng)絡(luò)攻擊；企業(yè)防護(hù)；外網(wǎng)攻擊；橫向滲透

眾所周知，攻擊者在入侵相關(guān)的企業(yè)網(wǎng)站時(shí)，通常通過(guò)各種方式，無(wú)論是針對(duì)目標(biāo)系統(tǒng)、硬件、軟件還是企業(yè)人員，執(zhí)行多種角度的攻擊行為，最終取得目標(biāo)企業(yè)的重要服務(wù)器或者主機(jī)的控制權(quán)限，從而方便其搜集、傳輸、下載所需的企業(yè)的內(nèi)部信息和隱私數(shù)據(jù)。

1 信息收集

攻擊者第一步是對(duì)暴露在互聯(lián)網(wǎng)上的信息進(jìn)行大范圍的收集，既包括主域名，也包括其下屬的子域名。對(duì)于某些特定的C段地址，端口banner信息，也會(huì)成為攻擊者想要搜尋的目標(biāo)。

1.1 whois域名及Google hacker

針對(duì)whois信息可以從多個(gè)專門的網(wǎng)站如https://who.is/和http://whois.chinaz.com/等獲取到，可以找到網(wǎng)站注冊(cè)人、相關(guān)郵箱、以及DNS解析的服務(wù)器相關(guān)信息。而子域名是指在企業(yè)頂級(jí)域名下的域名，作為總集團(tuán)下，倘如作為其子公司或者關(guān)聯(lián)機(jī)構(gòu)，其站點(diǎn)皆屬于子域名。相比于母公司的站點(diǎn)，子公司防護(hù)措施較為薄弱，具有一定的脆弱性，重視程度也會(huì)較低。在信息搜集階段，收集的子域名越多，攻擊者能夠攻擊測(cè)試的目標(biāo)就越多，進(jìn)行下一步滲透工作的成功率也越大。往往在主站的界面上找不到突破口，攻擊者會(huì)從子域名入手，低維向高維度逐級(jí)滲透。

Google hacker是一種在因特網(wǎng)絡(luò)上使用谷歌搜索引擎以及相配套的其他的谷歌應(yīng)用，尋找上線布置的網(wǎng)站代碼中的相關(guān)配置漏洞和安全缺陷的方法。誠(chéng)然，Google hacker只是一種抽象化的描述，包括但不僅限于諸如Google、百度、搜狗、bing等搜索引擎。作為非常強(qiáng)大的搜索引擎，同時(shí)也是一個(gè)有用的黑客工具。攻擊者可以通過(guò)使用簡(jiǎn)單的google dorks破解一個(gè)網(wǎng)站，獲取到其WEB站點(diǎn)中存在的漏洞，進(jìn)而得到用戶個(gè)人數(shù)據(jù)資料。利用Google dorks，如圖一所示，攻擊者能夠獲得關(guān)于部分企業(yè)網(wǎng)站的數(shù)據(jù)庫(kù)配置的詳細(xì)信息，既包括用戶名、密碼，又包括主站目錄列表。

圖1 Google hacker實(shí)例

1.2 相近的C端

在攻擊者眼中的C端，并不表示網(wǎng)絡(luò)中的C段地址，而是和其所要攻擊的目標(biāo)服務(wù)器的IP地址處在同一個(gè)C段的其他的最多254個(gè)相似服務(wù)器，也就是子網(wǎng)掩碼為255.255.255.0/24中的IP地址段。因?yàn)榇蠖鄶?shù)的中型乃至于大型的企業(yè)，基本上使用的都是自建托管機(jī)房。為了更加方便運(yùn)維操作，公司之中的相關(guān)的業(yè)務(wù)數(shù)據(jù)和服務(wù)器通常都會(huì)部署在同一個(gè)C類的子網(wǎng)中，這也就為安全性埋下了一定的隱患，也增大了攻擊者可以利用的空間。

1.3 敏感banner信息

正常的情況下，服務(wù)器在收到請(qǐng)求的時(shí)候會(huì)返回banner。banner信息在界面中的作用是展示歡迎語(yǔ)。然而其中會(huì)包含一些諸如端口、軟件開(kāi)發(fā)商、軟件名稱、服務(wù)類型、版本號(hào)等敏感信息。在滲透測(cè)試中，典型的 4xx、5xx 信息泄露就屬于 banner 泄露的一種。版本號(hào)有時(shí)候就會(huì)存在公開(kāi)的 CVE 漏洞，可以直接進(jìn)行攻擊利用。攻擊者一般通過(guò)nmap、dmitry等掃描工具進(jìn)行端口banner的信息獲取。

2 打擊外網(wǎng)系統(tǒng)

在攻擊者搜集到足夠的信息之后，就能夠有針對(duì)性地對(duì)企業(yè)們公布在互聯(lián)網(wǎng)上的系統(tǒng)和網(wǎng)站進(jìn)行攻擊。企業(yè)開(kāi)放了大量因特網(wǎng)上的服務(wù)器，部分的服務(wù)器由于上架時(shí)間過(guò)久、運(yùn)維人員的管理疏忽等原因，存在很多可利用的漏洞未被及時(shí)修復(fù)，而這也為攻擊者的下一步攻擊提供了契機(jī)。

圖2 通過(guò)nmap探測(cè)banner信息

2.1 漏洞直接利用

攻擊者進(jìn)行漏洞攻擊的方式有很多種，從常見(jiàn)的XSS跨站腳本攻擊、SQL注入、非法文件上傳，到CSRF （跨站請(qǐng)求偽造Cross-site request forgery），cookie安全檢測(cè)，敏感信息泄露，通信數(shù)據(jù)傳輸，字典暴力破解，文件包含，重放攻擊，以及使用漏掃工具。

根據(jù)前一步驟所搜集到的信息，漏掃會(huì)掃描目標(biāo)企業(yè)在公網(wǎng)上存在的漏洞。常見(jiàn)的漏洞掃描技術(shù)分為CGI（Common Gateway Interface公用網(wǎng)關(guān)接口）掃描、弱口令掃描、操作系統(tǒng)的漏洞掃描和針對(duì)數(shù)據(jù)庫(kù)的漏洞掃描。

除此之外，有些攻擊者甚至可以對(duì)某些曝光的CVE漏洞開(kāi)發(fā)專門的掃描工具進(jìn)行使用，RPC（Remote Procedure Call）漏掃就是其中的一種類型。這種“遠(yuǎn)程過(guò)程調(diào)用”是利用了操作系統(tǒng)之間的消息傳遞功能的缺陷，是微軟公司在設(shè)計(jì)系統(tǒng)時(shí)遺留下的緩沖區(qū)溢出漏洞。RPC可以使遠(yuǎn)程攻擊者獲得SYSTEM權(quán)限，其實(shí)質(zhì)是攻擊者對(duì)DCOM分布式組件的對(duì)象模型接口進(jìn)行客戶端的遠(yuǎn)程請(qǐng)求，通過(guò)緩沖區(qū)溢出實(shí)現(xiàn)命令執(zhí)行。進(jìn)而獲得目標(biāo)主機(jī)的控制權(quán)。雖然Windows已經(jīng)專門這一漏洞（MS03-026）發(fā)布了相對(duì)應(yīng)的補(bǔ)丁，但也無(wú)法保證下發(fā)安裝到每一臺(tái)受影響的版本終端，這就給予了攻擊者可乘之機(jī)。ISS公司就曾經(jīng)根據(jù)這一漏洞的補(bǔ)丁開(kāi)發(fā)出掃描器scanms.exe，通過(guò)scanms.exe可以探測(cè)某網(wǎng)段下的RPC漏洞補(bǔ)丁安裝情況，如下所示：

C：>scanms.exe 192.168.0.1-192.168.0.254

192.168.0.2 [Windows XP] [ptch] [ptch] 5.6

192.168.0.5 [unknown010] [????] [VULN] 0.0

192.168.0.10 [Windows XP] [ptch] [ptch] 5.6

192.168.0.55 [Windows XP] [ptch] [ptch] 5.6

第二行的192.168.0.5此IP地址回顯[VULN]，即表示終端未安裝DCOM接口的補(bǔ)丁文件，攻擊者可以有目的性地采用cndcom.exe對(duì)192.168.0.5機(jī)器進(jìn)行RPC溢出攻擊，添加自己的用戶名和密碼作為管理員進(jìn)行命令執(zhí)行，獲得機(jī)器的控制權(quán)。

2.2 釣魚(yú)郵件攻擊

郵件作為企業(yè)外網(wǎng)系統(tǒng)中最重要的溝通工具，也最容易成為攻擊者的首選目標(biāo)。對(duì)于釣魚(yú)郵件的防護(hù)既要求企業(yè)的安全設(shè)備防護(hù)檢測(cè)能力，又要求員工的安全意識(shí)和應(yīng)急響應(yīng)能力。如若防護(hù)不善，釣魚(yú)郵件會(huì)成為突破防御的焦點(diǎn)。

SMTP郵件服務(wù)器往往在進(jìn)行郵件中轉(zhuǎn)的時(shí)候未進(jìn)行認(rèn)證操作，利用這一特性，攻擊者可以進(jìn)行郵件偽造攻擊。在手動(dòng)搭建的SMTP中繼服務(wù)器中，攻擊者利用telnet命令實(shí)現(xiàn)郵件的發(fā)送，并在“mail from實(shí)際發(fā)件人”處任意偽造郵箱發(fā)件人。接收方的郵件服務(wù)器若沒(méi)有對(duì)所接收郵件進(jìn)行身份校驗(yàn)，則極有可能直接顯示為偽造的發(fā)件人，降低收件人的警惕性。

對(duì)于郵件的內(nèi)容，攻擊者會(huì)構(gòu)造出具有一定迷惑性的附件和描述，諸如向內(nèi)部郵箱投遞主題為“五一放假通知”的釣魚(yú)郵件，包含五一假期員工福利發(fā)放詳情，并將附件偽裝成doc文檔的exe可執(zhí)行文件。員工用戶在無(wú)意點(diǎn)擊之后，終端則被種下了攻擊者惡意的木馬程序，能夠在開(kāi)機(jī)狀態(tài)進(jìn)行非法外聯(lián)的操作，被攻擊者利用為跳板機(jī)攻擊其他服務(wù)器。

3 滲透提權(quán)

在取得企業(yè)開(kāi)放在公網(wǎng)上的某一臺(tái)終端的控制權(quán)之后，往往無(wú)法獲得涉及企業(yè)核心關(guān)鍵的信息和數(shù)據(jù)。由于所獲得信息并非其所想，攻擊者會(huì)利用此機(jī)器作為跳板，進(jìn)行更大范圍的企業(yè)內(nèi)網(wǎng)信息收集和情報(bào)刺探工作，與此同時(shí)還會(huì)利用內(nèi)網(wǎng)的弱點(diǎn)進(jìn)行橫向滲透以擴(kuò)大戰(zhàn)果。一般稱此步驟為橫向滲透的提權(quán)過(guò)程。

攻擊者會(huì)根據(jù)版本信息利用新型的0day等方式，重點(diǎn)關(guān)注企業(yè)的郵件服務(wù)器權(quán)限，還包括企業(yè)辦公OA系統(tǒng)、集中運(yùn)維管理平臺(tái)權(quán)限，這些系統(tǒng)是內(nèi)網(wǎng)的重要組成部分，涉及核心的業(yè)務(wù)數(shù)據(jù)，可以賦予攻擊者集中管理操控大多數(shù)子終端的權(quán)力，以及統(tǒng)一認(rèn)證系統(tǒng)權(quán)限、域控權(quán)限等。如上幾種皆屬于核心的機(jī)密服務(wù)器，攻擊者順利取得權(quán)限，則代表著企業(yè)的核心業(yè)務(wù)已被控制，機(jī)密數(shù)據(jù)也已經(jīng)泄露。

圖3 攻擊者網(wǎng)絡(luò)攻擊的簡(jiǎn)要流程圖

4 現(xiàn)實(shí)案例復(fù)盤(pán)

本節(jié)來(lái)源于一次真實(shí)的網(wǎng)絡(luò)攻擊。根據(jù)前段時(shí)間曝光出來(lái)自某OA辦公軟件的office servlet的getshell 0day漏洞。根據(jù)POC知道，漏洞的觸發(fā)點(diǎn)為seeyon文件夾下的htmlofficeservlet。即com.seeyon.ctp.commom.office.Htmlofficeservlet.class代碼中的參數(shù)OPTION和FILENAME結(jié)合可以提高用戶的權(quán)限，直接在后臺(tái)進(jìn)行文件的任意上傳。

攻擊者首先在網(wǎng)絡(luò)上搜尋暴露在公網(wǎng)上的脆弱性系統(tǒng)信息，確認(rèn)相關(guān)的資產(chǎn)范圍。

圖4 利用FOFA網(wǎng)絡(luò)測(cè)繪進(jìn)行信息收集

在確認(rèn)了攻擊目標(biāo)之后，遠(yuǎn)程攻擊者在無(wú)需登錄的情況下，修改URL為“目標(biāo)URL/seeyon/htmlofficeservlet”，通過(guò)POST請(qǐng)求精心構(gòu)造的數(shù)據(jù)即可向目標(biāo)服務(wù)器寫(xiě)入任意文件。首次嘗試上傳了名稱為“test111111”文件，確認(rèn)上傳的文件可以被其服務(wù)器任意讀寫(xiě)。于是在第二次主動(dòng)上傳了名為“qwer960452.jsp”惡意遠(yuǎn)控文件，通過(guò)內(nèi)置的命令行取得本機(jī)權(quán)限。

再利用內(nèi)網(wǎng)掃描工具探測(cè)上一級(jí)的OA辦公系統(tǒng)，通過(guò)內(nèi)網(wǎng)橫向滲透上傳動(dòng)態(tài)二進(jìn)制加密網(wǎng)站冰蝎Web后門文件，取得OA辦公系統(tǒng)最終權(quán)限。

5 企業(yè)防御的對(duì)應(yīng)措施

常言道，兵來(lái)將擋水來(lái)土掩。攻擊者可以采取任何方式和手段進(jìn)攻和滲透企業(yè)的系統(tǒng)和網(wǎng)絡(luò)，這就需要防守者全方位考慮互聯(lián)網(wǎng)的出入口以及其他邊界網(wǎng)絡(luò)的監(jiān)控，從網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用和終端多個(gè)層面進(jìn)行安全的布防和監(jiān)控。若根據(jù)攻擊者的入侵思路做出對(duì)應(yīng)的防守準(zhǔn)備，可以起到事半功倍的效果。在信息收集階段，仔細(xì)對(duì)涉及互聯(lián)網(wǎng)訪問(wèn)的應(yīng)用系統(tǒng)和網(wǎng)絡(luò)訪問(wèn)控制策略，并及時(shí)回收無(wú)效的互聯(lián)網(wǎng)域名；在攻擊者打擊外網(wǎng)系統(tǒng)之前，提前完成全覆蓋的漏洞掃描工作，將涉及的版本暴露問(wèn)題及時(shí)整改和升級(jí)。與此同時(shí)進(jìn)行安全基線的掃描和整改加固，完成集權(quán)系統(tǒng)的加固和應(yīng)用賬號(hào)的綁定回收策略。若攻擊者進(jìn)入了內(nèi)網(wǎng)橫向滲透階段，則應(yīng)立即啟動(dòng)應(yīng)急響應(yīng)評(píng)估，進(jìn)行對(duì)應(yīng)分區(qū)的下線和斷網(wǎng)，在隔離的環(huán)境下扼殺有害病毒腳本。下面將從兩個(gè)角度詳細(xì)介紹企業(yè)防守的手段：

圖5 某OA系統(tǒng)的文件上傳漏洞

圖6 此次攻擊全部流程

5.1 流量回溯分析

網(wǎng)絡(luò)攻擊行為稍縱即逝，且無(wú)法預(yù)測(cè)其發(fā)生的時(shí)間和動(dòng)作。而企業(yè)的運(yùn)維人員針對(duì)歷史流量的回溯分析可以對(duì)攻擊者進(jìn)行數(shù)據(jù)溯源，通過(guò)全流量構(gòu)造出攻擊者的行為軌跡。流量的回溯以“安全事件產(chǎn)生——通訊會(huì)話回溯——流量數(shù)據(jù)包回溯”的鏈路執(zhí)行，在企業(yè)安全運(yùn)維的場(chǎng)景下，可以更好滿足精準(zhǔn)定位異常情況的需求。在流量回溯設(shè)備的部署方面，如今采用旁路鏡像流量的部署方式，不會(huì)改變網(wǎng)絡(luò)的配置和架構(gòu)。旁路復(fù)制完全相同的流量，對(duì)于正常的業(yè)務(wù)運(yùn)行不會(huì)產(chǎn)生任何影響。

圖7 流量回溯設(shè)施的架構(gòu)圖

除了正常的流量回溯之外，企業(yè)還可以通過(guò)其他防守方式如進(jìn)行相關(guān)特征網(wǎng)絡(luò)攻擊檢測(cè)，以及對(duì)惡意文件的攔截等操作，達(dá)到防御的目的。

5.2 蜜罐

上文的流量回溯在大部分情況下是在攻擊完成后進(jìn)行的一個(gè)應(yīng)急處置方法。本節(jié)提出的“蜜罐誘捕”利用欺騙偽裝的技術(shù)手段，從誘捕到發(fā)現(xiàn)再到處置，最后溯源攻擊源，逐步取得防守的主動(dòng)權(quán)，甚至可以實(shí)現(xiàn)反制的目的。

企業(yè)設(shè)置誘捕蜜罐是為了誘導(dǎo)攻擊者進(jìn)入一個(gè)較為真實(shí)的環(huán)境，攻擊者在此進(jìn)行的所有操作都會(huì)被記錄、跟蹤以及反饋，并且不影響系統(tǒng)的運(yùn)行。在PC終端部署的蜜罐中，可以根據(jù)攻擊者上傳的內(nèi)網(wǎng)掃描工具、漏洞復(fù)現(xiàn)工具刻畫(huà)出攻擊者的行為畫(huà)像。除此之外，通過(guò)蜜罐內(nèi)置的信息跟蹤裝置，可以有效獲取到攻擊者的基礎(chǔ)設(shè)備信息，例如常見(jiàn)的遠(yuǎn)程IP、主機(jī)名、連接方式等等。由于蜜罐本身具有足夠的安全性且與內(nèi)網(wǎng)重要設(shè)備相隔離，在誘導(dǎo)攻擊者進(jìn)行攻擊的過(guò)程中，不會(huì)成為攻擊的突破點(diǎn)。

誠(chéng)然，除了上文提及的流量回溯和蜜罐誘捕方式之外，企業(yè)在防御方面可以使用的工具和手段還有很多，包括但不局限于建立SOC安全運(yùn)營(yíng)中心、APT高級(jí)持續(xù)威脅情報(bào)、EDR主機(jī)監(jiān)控等等。除此之外，在平時(shí)工作中，仍然需要對(duì)集團(tuán)的互聯(lián)網(wǎng)資源進(jìn)行梳理、加固和優(yōu)化，細(xì)化安全工作。加強(qiáng)人員管理的安全意識(shí)。從多個(gè)維度入手做好安全的防護(hù)，提高抵御網(wǎng)絡(luò)攻擊的能力。

6 總結(jié)

總而言之，由于網(wǎng)絡(luò)環(huán)境的變幻莫測(cè)，攻擊者的攻擊手段層出不窮。但是對(duì)于攻擊者的思路而言，總是會(huì)需要經(jīng)過(guò)“前期信息收集——中期打擊外網(wǎng)——后期滲透提權(quán)”的步驟。本文簡(jiǎn)要分析了攻擊者在網(wǎng)絡(luò)攻擊中的思路，并輔以具體的案例信息，從多個(gè)角度闡述了企業(yè)防御網(wǎng)絡(luò)攻擊的重要性，并根據(jù)對(duì)應(yīng)的攻擊思路提出解決方案，提高系統(tǒng)的安全可靠性，強(qiáng)化了企業(yè)的網(wǎng)絡(luò)安全體系建設(shè)。

[1]冷濤.基于滲透測(cè)試?yán)碚摰男畔⑺鸭夹g(shù)[J].警察技術(shù)，2020（04）：49-52.

[2]黃波，孫羽壯.XSS跨站攻擊原理與調(diào)查方法研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2017（06）：50-52.

[3]王林平. 基于內(nèi)容的電子郵件過(guò)濾系統(tǒng)的研究[D].電子科技大學(xué)，2010.

[4]薄明霞，唐洪玉，張靜.云環(huán)境下威脅情報(bào)技術(shù)與應(yīng)用綜述[J].電信技術(shù)，2017（06）：46-48+52.

[5]楊紅飛.GSN：全面防范DDoS攻擊[J].中國(guó)教育網(wǎng)絡(luò)，2005（09）：60-61.

[6]黃玉文，劉春英，李肖堅(jiān).基于可執(zhí)行文件的緩沖區(qū)溢出檢測(cè)模型[J].計(jì)算機(jī)工程，2010，36（02）：130-131+134.

[7]李婷. 混合式緩沖區(qū)溢出漏洞檢測(cè)模型的研究[D].大連海事大學(xué)，2012.

[8]Sabetamal Hassan，Carter John P.，Zhang Xue，Sheng Daichao. Coupled analysis of full flow penetration problems in soft sensitive clays[J]. Computers and Geotechnics，2021，133.