小满 | 宜清扫隐秘角落,忌资产杂乱不清


小满,二十四节气中的第八个节气,夏季的第二个节气。小满后,天气渐渐由暖变热,并且降水也会逐渐增多,民谚有“小满大满江河满”的说法。小满,标志着炎夏登场。



文:擎羊&土星

我们今天聊的话题是:利用泛空间测绘突破严密边界防守


前言



本文基于2021某次大型攻防演练攻击方视角,讲诉在日益重视的网络安全攻防演练态势之下,在防守方严密封堵外网入口的情况下,利用泛空间测绘突破严密边界防守的思路。与此同时,此思路也可以转攻为守,帮助企业更好地排查企业风险。


“严密”的防守



经历多年大大小小的攻防演练,防守方早已练就一手缩小被攻击面的绝活。我们可以通过网络测绘的历史记录观察到,明明在演练前仍有许多资产在线,可到了演练时间都非常巧合地进入了各种“维护”状态,甚至是直接下线消失了。除此之外,配备各种安全设备防护,黑白名单限制访问,7*24小时人员监控看守,巡检,各种安全情报分钟级响应等等这些措施,让防守看起来牢不可破。

攻击方在这种情况之下,想要直捣黄龙,正面突围是非常困难的。但防守方的防守真的足够全面,严密,完全牢不可破吗?


百密可能不止一疏



在防守方的层层布防之下,如何才能让他们花重金打造的防线沦为马其诺防线呢?比较有效的进攻方式是利用泛空间测绘获取目标子公司入口从而进攻目标的迂回作战。接下来将使用真实案例攻击路径图谱来展示利用泛空间测绘突破严密边界防守的思路。

 

真实案例攻击路径图谱



三条攻击路径的详细情况如下:




路径一




利用泛空间测绘(对目标单位的组织架构分析,找到该单位的下属公司,结合传统空间测绘、域名爆破、DNS记录等信息综合分析。下文有详细讲解。)定位到该单位下属某公司的OA系统,利用提前准备好的0day漏洞,获取OA系统的服务器权限。登录OA系统后,可以查看到该公司的文档中心,通过翻看,找到员工花名册、公司VPN、总部公司的部分系统操作手册,在对服务器抓取密码时,发现该机器的历史登录用户中存在域管账号,使用此凭证成功登录域管服务器后,导出全部用户hash,然后横向扩展拿下3台邮件服务器。这时,作为渗透测试过程中的一个小阶段结束,我们对获得的战果进行整理,结合花名册、域成员hash以及邮件应用登录日志可以将员工的姓名、邮箱、账号以及密码关联起来,经过分析,我们制定了通过定位关键人员机器作为下一阶段的重点。通过前面的数据整合,定位了运维人员、财务人员的PC以及公司领导的邮箱,在财务人员和运维人员的机器上成功获得了通往集团总部的VPN通道。




路径二




在泛空间测绘信息中显示,从子公司通往集团总部的攻击路径上,有一位财务人员十分关键,他是为数不多的具有通往集团总部权限的人员之一。我们针对该财务人员,结合花名册等信息获取领导的邮箱地址并通过泛空间测绘得到领导邮箱密码。此后,制定精准钓鱼计划,利用领导邮箱给财务发送相关业务需要紧急处理的邮件,引导该财务人员运行免杀木马,最终获取到该财务人员的终端机器,在终端上获取到通往集团总部的VPN通道。



路径三




与路径一相似,定位到目标单位的下属其他公司,找到了一处名为APP后台管理系统的资产,在对该资产进行了一番测试后,并没有发现可直接突破的漏洞,于是转战前台,在用户登录处发现sql注入,然而在查询到用户并登录后,也未找到有效漏洞,这时我们发现数据库中存在登录日志的表,dump表后将内网IP去除,保留外网IP,此时猜测外网IP大概率存在该公司相关出口IP。查找所获IP相关C段web资产,查看到title为致远OA的资产,但是该系统已下线,对该IP进行端口扫描,发现8000端口开放web服务,但是为403,扫描目录发现存在fckeditor编辑器,最终利用上传绕过,拿下该服务器,后续横向扩展后发现直通集团总部内网。

 

泛空间测绘



传统网络空间测绘是对全球互联网空间上的节点分布情况和网络关系进行探测,构建全球互联网图谱的一种方法。泛空间测绘,它是指除了对互联网空间上的节点进行测绘外,还进一步对其他互联网上的信息空间进行发掘,并和网络空间相碰撞、结合,从而更精细化的空间测绘方法。

泛空间测绘有以下数据源(包括但不仅限于):

1.公司组织架构:子公司,组织信息,地理位置,备案信息,部门划分、相关人员信息等。

 

2.域名信息:备案信息,解析ip,归属信息。

 

3.数据泄漏:代码泄露(GitHub,码云等),暗网数据交易,各类文库中重要文档泄露。

 

4.威胁信息:弱口令,高危资产(1day情报),应用漏洞,主机漏洞。

 

5.资产信息:app(app名称,应用市场,第三方组件,版本信息,开发商,证书,url),小程序(名称,开发商,类型,菜单,URL),微信公众号(名称,注册人,类型,菜单,URL),IP(DNS,地理位置,运营商,IP归属,端口,操作系统,主机名称,存活,风险,等等),网站(DNS,备案,目录,API,title,body,框架,指纹,风险,端口等等)

 

6.敏感信息:邮箱信息,历史漏洞信息,采购信息(时间信息,供应商信息,相关合同,系统,软件,代码,服务,人员等),历史口令信息,等等。

 

获得这些海量的资产数据之后,我们需要对数据进行清洗和利用。

在数据清洗阶段,我们一般会通过三层清洗方式对数据进行层层的筛选。三层清洗方式它指的是黑数据清洗,白数据识别和灰数据权重匹配。

首先是黑数据清洗,针对目标但业务特征,剔除掉明显与其业务不相关的资产,例如博彩相关网站,但这些网站其实本身是相对比较容易清洗的,我们可以通过博彩站点的特征,进一步识别这部分资产,从而将这部分资产从测绘结果中分离。那么这些黑数据主要包括黄赌毒、钓鱼网站,SU优化搜索等内容,再将黑数据剔除后,我们可以进一步的去提取测绘结果中的白数据,这部分数据是基本能够确认为真实资产的数据,比如通过域名解析匹配到的网站资产等。那么白数据的匹配方式包含域名匹配,呼应匹配和行业特征匹配等内容。到了最后,也是最困难的部分,就是灰资产匹配。这部分资产它没有明确的黑产特征,也无法和用户资产直接产生关联。

目前我们运用的是权重计算方式来计算是否为真实资产。权重的维度主要包含icon匹配、标题匹配、证书匹配、版权所属,以及APP图标,和APP开发者证书等。即,如果我们发现一个网站从标题到证书到版权声明,以及页面的icon都能够和企业相匹配,那么这个网站是真实资产的概率将会大幅度提高。

通过以上三层智能清洗,我们就能够较为准确的发现用户的真实资产。那么目前,这个准确率能够达到86%左右。同时,我们也将进一步的进行特征挖掘和机械学习,来提高整体判断的准确度,挖掘和识别在整个资产清洗的过程中也是最重要的内容。

关于泛空间测绘相关信息,详情可见链接:去伪存真——从泛空间测绘到落地实践(ISC网络空间测绘论坛演讲内容整理)


总结




相对于传统网络空间测绘,从泛空间测绘我们能看更加广阔的攻击面,它能有效提升攻击的效率及成功率。千里之堤,毁于蚁穴。同样的,防守方也能借助泛空间测绘揪出一个个蚁穴,加强防御工事。

 




2021年8月5日 12:11
首页    小满 | 宜清扫隐秘角落,忌资产杂乱不清