欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

黑客攻击的7个阶段

来源:本站整理 作者:佚名 时间:2017-03-09 TAG: 我要投稿

在本文中,我将用一系列的例子来说明双方力量通常使用的工具和技术!为了举例说明这个问题,我将按照不同的攻击阶段,并使用入侵杀伤链作为叙述方法论。这种方法论包含了7个阶段,分别是侦察、武器、传送、利用、安装、C2和目标上的活动。
侦察
该阶段的任务是寻找目标信息,目标通常是一个人。攻击高端个体可能比较困难,因为这些个体通常有一个个性化的安全小组在保护着他们。然而,使用不同的情报搜集技术,如在各种公共信息资源中搜索可用信息,你可以瞄准其他人员。由于人类的本性,人们会屈服于社会工程学技术、及多次给他们提供的必要信息。收获的相关组织和人员的元数据就是我们工作的一个起点。通常,元数据就是一大堆信息,如用户名、软件版本、打印机、邮件地址和其它可以使用一个工具(如FOCA元数据分析工具)检索的信息。你可以看一下Chema Alonse和Jose Palazon给出的演示。最后,攻击者将想尽一切办法去收集尽可能多的信息、员工姓名、层次结构、朋友和亲戚、爱好等。
武器和传送
在收集了尽可能多的信息和执行了足够的侦察后,攻击者在现有资源的帮助下,将选择最佳方案去执行攻击行动。目前,包含附件文档的鱼叉式钓鱼攻击方法是最有优势的,这可能是一个好的攻击方法。文档的武器化程度和传送成熟度可能与攻击者可用的资源量有关。在下面的例子中,我将展示如何利用Metasploit来轻松的创建一个带有恶意宏的Word文档,当该文档执行后,它会连接到攻击者的系统,并建立命令的控制隧道。载荷使用了HTTPS作为通信隧道,但是它使用了自签名的证书,并指向了一个IP地址,并不是一个域名。在不同大小的组织中,很多时候web过滤控制是很严格的,并且使用不同的阻拦技术来检测和停止这种类型的连接。然而,攻击者可以注册一个新域名或提前购买一个过期域名,创建一个简单、真实的WEB网页,并将域名划分到类似于金融或卫生保健的类别中,WEB过滤产品通常会允许这类域名,因此我们的SSL连接可能(载荷添加了自定义证书)就不会被终止或检查。另外,攻击者可以购买一个便宜的SSL证书,会使这种场景看起来更加真实。除此之外,Metasploit引用了一个升级的流量混杂技术,安全产品探测到它会更困难。
下图展示了如何用Metasploit去创建一个武器化的Word文档,另一个方法是使用PowerShell Empire。可以看一下Matt Nelson写的一篇文章。

于是,为目标订制好了Word文档。综上所述,可以是一个武器化的文档,也可以是一个恶意链接,攻击者精心发送了一个钓鱼邮件。这需要运用到不同的社会工程学技术,去迎合人性的诉求,并利用人类的弱点,使攻击成功的可能性尽可能的最大化。当然,还有其它的可能会影响攻击成功的因素,比如恶意邮件/链接规避大量豪华过滤器的能力,具备这种能力才能使邮件/链接穿过多层网络边界,并到达终端用户。如果邮件最终到达终端用户,并且有一个员工犯了一个错误,如果这些条件都满足了,那么攻击者将能在企业内部网络中建立一个立足点。
下图展示了一个具体过程,攻击者启动Metasploit,并添加了一个载荷,当恶意文档成功返回信标后,利用自动脚本实现了进程自动迁移:

利用
凭借在目标环境中的立足点和一个已经建立的通信隧道,攻击者将迅速行动,会偷取信息、尝试寻找途径去渗透其它系统、获得高权限。在Ruben Boonen维护的网站fuzzysecurity.com中,有一篇非常全面的文章,他描述了在Windows系统中用于提升权限的多个不同的方法。另一个很好的资源是Kostas Lintovois写的“Windows Services – All roads lead to SYSTEM”,他描述了多个利用配置错误来提升权限的方法。这些技术对攻击者是很有用的,因为在很多组织中,正常用户是没有管理员权限的。管理员权限是所有攻击者在一个企业环境中的目标,因为它会有利于攻击工作。
很多由Ruben和其它人写的这种技术,已经被集成在后渗透框架中,如PowerSploit里的PowerUp.ps1模块,它最早是由Will Schroeder开发的,Will Schroeder是一个才华横溢的安全专家,近年来他发布了一些强大的工具,PowerSploit包含了很多好用的模块和脚本,可以在攻击生命周期的所有阶段提供帮助。PowerUp模块能帮助攻击者发现系统中可能存在的能成功提权的条件,这个条件可以允许攻击者使用一种技术,从而使他们得到一个高权限账户。所有这些都使用了PowerShell,并且在PowerShell扩展的帮助下,在Meterpreter中也能执行PowerShell脚本,目前该扩展已经集成到了Metasploit(1,2)中,这意味着,攻击者可以在Metasploit下执行PowerShell。你可以在Will Schroeder的博客中读一下更多关于PowerUp的信息,并且你可以从这里得到PowerUp的速查表。
下面的图片展示了这种攻击方法,当攻击者在目标环境中得到一个立足点后--通过钓鱼邮件--确定他所在的操作账户没有足够的权限,不能运行一些额外的模块,如Mimikatz。Mimikatz是一个用C写的后渗透工具,关于它的用法 ,你可以读一下“Mimikatz非官方指导和命令参考”和这篇文章。然而,Meterpreter包含了一个PowerShell模块,该模允许攻击者执行PowerShell命令。在这种情况下,攻击者可以加载PowerShell模块,并执行必要的命令从Gitbug上下载PowerUp模块,然后执行Invoke-AllChecks命令。在写这篇文章的时候,PowerUp模块包含14个检查项目:

在本案例中,如上图所示,PowerUp模块的运行结果显示,可以通过DLL劫持来提升权限。实际上,该系统包含了一个任意用户可写的目录,且这个目录在“%PATH%”环境变量中,攻击者可以利用DLL的搜索顺序,通过DLL劫持去获得系统权限。在本安例中,PowerUp模块建议使用“wlbsctrl.dll”。为了使这个DLL能工作,“IKE and AuthIP IPsec Keying Modules”服务必须是运行的,但是在企业环境中,在工作站中安装了VPN客户端是很常见的。这个漏洞是2012年“High-Tech Bridge Security Research Lab”发现的,该漏洞利用了Windows服务“IKE and AuthIP IPsec Keying Modules”,它在启动时会尝试加载“wlbsctrl.dll”动态链接库,而这个动态链接库在默认安装的Windows中是不存在的。这个提权技术是如何实现的?为什么会存在这种漏洞呢?Parvez Anwar给出了很好的解释。

[1] [2] [3]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载