周峻佑摄
企业试图找出整体资讯系统弱点的方法里,红队演练(Red Team)可说是打破渗透测试只锁定单一系统等范围限制,然而,在红队演练的过程里,负责找出系统弱点的红队队员,很可能因为判断的思维上,过于依赖自身经验或是熟悉的工具,而可能错过找到弱点的情况。戴夫寇尔资安研究员丁谕祺(Ding)针对这样的现象,于今年的DEVCORE Conference上,指出演练时需要留意的5项技巧,希望执行人员能够在专案有限的时间里,透过骇客的思维找出系统漏洞。
基本上,执行红队演练的从业人员,不只需要拥有专精的技术,还必须在指定的时间和范围内,进行通盘的检查,因此,迫于这些限制,虽然他们已经精通有关技术,还是很可能因为自身的经验,而影响找寻系统弱点的方向。
盲点源自于范围的局限
究竟那些事情会影响红队队员的调查方向呢?丁谕祺说,以企业委由资安公司执行红队演练的专案文件内容为例,通常会载明双方的联络窗口资讯、执行红队演练的时间、目标范围,有些公司还会提供测试账号等等。然而,光是文件写明的演练范围来说,就可能出现文件写明是单一网站,企业却觉得范围应该是整个网域,而这种认知上的差异,也同样会出现在红队的队员之间。
例如,演练网域和IP地址对应上,并非一对一的情况,红队队员甚至可能要探究内容传递网络(CDN)背后的真实IP地址,或是开发者与主机资讯等,导致从不同管道进行调查,结果可能会大不相同。再者,若是遇到有些公司主动提供测试账号,红队队员也可能因为有现在账号可用,而遗漏检查系统的账号申请流程。
针对这些可能会左右调查方向的细节,丁谕祺总共归纳出5大类型的迷思,包含过于信任情资而产生的误判、自我局限调查的范围,或是太过依赖熟悉的工具与方法,而导致找出漏洞的过程里,全程几乎只使用一种招式。
再者,资安人员也可能在已经进行侦察过后,忽略时空变化所产生的环境差异,认为调查范围没有会被攻击之处。有时候因为企业部署了各式的资安防护措施,资安人员可能过于着重在寻找绕过的方法,使得思考方向大幅受到限制。
在这些类型的盲点中,总体来说,其实几乎都围绕着一件事,那就是资安人员可能会过度相信自己能够掌握的资讯,模糊焦点而影响判断。以局限演练范围来说,我们可能过于相信专案上所描述的内容,再加上自己理解的情搜范围,而导致可能错失有用的侦察之处;时空差异则是另一种演练范围的限制,使得红队队员检查过后,忽略企业系统运作中,存在负载平衡与高可用性的机制,使得他们难以找到仅发生在部分环境的弱点。
至于过于在意系统的防御机制,也是源自于红队队员调查的情报,因为过于想要以技术来突破防御措施,并未思考其他可能有机会拿来利用的管道。
而对于红队人员只使用一招打天下的惯性,也会错失攻击的可能性。由于资安研究员专精特定领域,对于其他不甚了解的部分,可能选择使用熟悉的单一方法调查系统漏洞,导致必须经过长途跋涉,耗费大量的时间和资源才能达到目的。
红队队员在发现漏洞后,马上使用自己专精的方法着手,虽然能够达到目的,但需要耗费大量的时间和资源(紫色箭头程序),因此丁谕祺认为,要先全盘调查并记录,找到最佳路径,才能事半功倍(绿色箭头程序)。(摄影/周峻佑)
症结点在于过度相信已掌握资讯
一般而言,在红队演练的过程里,红队队员寻找系统漏洞时,相当倚赖情资所提供的讯息。然而,红队队员很可能掌握到过时情资,或是依据自己的经验,再加上过度联想,认为不会有漏洞而略过调查。因此他认为,红队队员对于手上握有的情资,必须随时保持怀疑的态度,非但不能一味相信,甚至还要想办法亲自验证才行。
丁谕祺说,即使是测试工具,也可能会出现执行结果不正确的情形。像是资安人员经常会将恶意软件的特征加入字典档里,却可能因为工具的臭虫,而导致没有发挥作用,侦测不到前述已纳入的恶意软件。
实务上可能会遇到的情形会是如何?像是红队队员得知受测单位里,握有资讯系统管理权限的工程师,打算针对他进行网络钓鱼或是撞库攻击,但实际上,这名工程师却已经在2个多月前离职。这样的情资,便可能影响该名队员执行演练工作的进度,还有可能绕了一大圈之后,才知道取得的情资有误。
而针对漏洞的部分,也不能把某些事情视为理所当然。丁谕祺指出,红队队员很可能因为某个程式库已有很多研究员做过分析,执行红队演练的单位也通过多次渗透测试,就认为应该不会有漏洞。
对此,丁谕祺举出两个戴夫寇尔团队执行演练时,亲身经历的案例,在第一个案例里,他们已经透过GitLab服务器,取得攻击目标服务器的源代码,并且找到许多漏洞,但在此同时,却不能找到实际能够用来攻击服务器的弱点,而无法取得服务器的Shell。
后来发现能存取的关键在于,他们在Git的忽略档案清单(.gitignore)的规则里,找到一个名为phpinfo的档案,疑似是开发过程的测试档案,已经被开发者找到会泄漏资讯的情形,并写到报告的草稿之中。解析其中的内容后,他们发现含有危险函式EVAL,因此便能搭配前述的漏洞,发动攻击。
第二个案例,则是针对采用TCPDF函式库的网站,戴夫寇尔资安团队锁定这个函式库已知的CVE漏洞,进行检测后发现没有问题,他们便觉得,上述可将订单汇出为PDF档案的函式库,广受许多电子商城采用,应该不会存在重大问题。
没有CVE漏洞就真的毫无弱点吗?针对案例中所提到的TCPDF函式库,丁谕祺说,在资安人员常用的CVE Detals网站上,只找得到一个在2017年发现的列管漏洞。红队队员很可能测试过这个CVE后,就误以为系统的这个函式库没有问题。(摄影/周峻佑)
然而在进一步检测之后,他们却发现,使用者能在订单里输入恶意程式码,并且在汇出订单的PDF文件时,借由输出副档名为.PHP的档案,执行任意指令,进而取得服务器的Shell。
从这两个案例中,丁谕祺指出了几个执行过程的盲点,首先,他们以为,从GitLab取得的源代码,就是服务器上所有的档案,而忽略部分测试档案并不会上传到程式码代管平台。其次,他们则是认为,开发者已经编写了分析报告,就代表漏洞已经修补完成。
而在TCPDF函式库的部分,则是偏重已经通报CVE的漏洞,而没有留意可能在坊间流传漏洞,丁谕祺说,尤其是需要结合多个环节才能滥用的攻击手法,红队演练的队员更容易轻忽。
攻防不光是针对系统,也考验人性
比较特别的部分是,红队队员也可以反过来运用系统里的防御机制,进一步得到所需的资讯,而成功在专案结束前达成目标。其中的一个例子,便是他们发现网站服务器的任意读档漏洞,但取得所需的绝对路径,竟然是透过防毒软件的事件记录资料──他们刻意上传了恶意软件,触发服务器里的防毒软件警示通知,然后透过事件记录内容,得到存放网站档案的Web资料夹本机路径。
红队队员想要突围找出系统漏洞,就只能“绕过”或“打穿”防毒软件吗?丁谕祺举出一个案例,就是利用网站服务器里安装的防毒软件,尽忠职守将恶意软件拦截,他们得到服务器本机里,存放所有网站档案的Web资料夹完整路径。(摄影/周峻佑)
除了前述提到能变相利用防毒软件之余,丁谕祺也指出其他相关的情资收集应用,像是能从防毒软件的组态设定档案中,得知企业环境中的代理服务器参数,或是得到反安装密码,进而停用防毒软件等。值得注意的是,虽然这里的案例中,企业部署的是趋势科技OfficeScan,但丁谕祺表示,由于各厂牌的企业版防毒软件都会留下执行记录,因此这里提到的手法,可以运用到不同厂牌的防毒软件上。(摄影/周峻佑)
另一个例子,则是在他们攻下企业的重要服务主机后,却无法取得AD网域管理员的权限,这时他们利用触发防毒软件警示的方法,使得AD网域管理员登入系统察看,再从中侧录到他的账号和密码,进而得到客户的机密资料,丁谕祺说,整个过程仅花费不到20分钟,在专案结束的最后一刻达标,宛如科幻电影里演的情节,因此他认为,由于防御机制是人想出来的,红队演练不完全只有针对系统本身,也有存在人性探察的成分。
触发防毒软件还能钓出AD网域管理员的账号密码!丁谕祺举出他们在距离演练的时限20分钟之内,利用这种方式,让管理者上线而达成目标。(摄影/周峻佑)
相关文章
- YouTube更新违反规定政策,提升惩处透明度和一致性
2023-12-31 14:00:52
- 传苹果将把中国iCloud正式交给本地化经营 苹果手机icloud换区存储操作
2023-12-27 18:34:43
- 刘德华代言什么手机?刘德华成华为Mate 60 RS非凡大师华为5G新手机代言人
2023-09-26 21:55:08
- WebOS新系统:Palm Pre手机最新款高价登港
2023-06-23 15:39:14
- 帮助企业组织对抗勒索软件,资安通报机构设立防护专区,可协助事前、事中与事后因应
2023-06-22 09:36:10
- 蔚来全系产品降价3万 取消免费换电 换一次电池180元
2023-06-12 17:27:49
- 电商平台三巨头开打最大规模折扣 价格战再次打响
2023-03-05 18:58:40
- 爱立信节省成本裁员四千人 爱立信全球员工总数五分之一
2023-02-24 22:27:29
- 蜜芽关停近况,八位数重金买三字顶级新域名mia.com也关闭
2023-02-23 16:18:14
- 联想CEO杨元庆:联想集团需要裁员32%削减部分业务支出
2023-02-18 12:45:25
- 蓝色光标2022营收亏损18亿 客户预算减少明显
2023-02-18 12:40:08
- 三星工厂或将80%生产转至越南 因本地劳动力成本上升
2023-02-17 23:09:16
- 香港八达通卡如何激活?没用失效过期余额怎么办
2023-02-17 18:34:51
- 中兴通讯被曝将裁员20% 称只裁国外的
2023-02-17 18:33:26
- 苹果新iPhone15Pro手机终于改用USB-C(火牛)数据线??Lightning充电接口退出
2023-02-17 16:57:22
- 突发!蓝色光标曾为中国民企500强龙头 如今业绩亏损断崖下跌
2023-02-16 14:31:19
- 三星发布自家carplay车载中控系统 Car Mode for Galaxy 可以连接carplay吗?
2023-02-14 00:53:17
- Opera浏览器宣布集成ChatGPT 一键生成网页内容摘要
2023-02-14 00:32:08
- 谷歌google计划重返进入中国市场?但结果可能令你失望
2023-02-13 16:57:15
- Zoom紧急裁员1300人 佔员工总数15%
2023-02-08 14:59:11
最新资讯
- YouTube更新违反规定政策,提升惩处透明度和一致性2023-12-31 14:00:52
- 美国法院裁定阿里须为Squishmallows玩具侵权案答辩2023-12-28 19:59:34
- 小米汽车传员工3700人 雷军称小米汽车不可能卖9万92023-12-28 19:41:57
- 吉利飙逾6% 电动车品牌极氪新车款极氪007昨上市 预售价格22.99万元2023-12-28 19:30:28
- 日本丰田汽车厂11月全球产量创新高2023-12-28 19:26:02
手机
- 中国11月手机出货量增34% 5G手机出货量2709.2万部2023-12-28 19:27:57
- 荣耀发布新一代旗舰荣耀Magic5系列,新款上市价格分期0首付3999元起2023-03-06 16:12:32
- 美国商务部指违禁,长江存储被美国拜登制裁名单面临停工裁员2023-02-17 18:41:53
- 苹果Apple iOS车载系统CarPlay支持哪些更多汽车品牌2023-02-02 17:33:27
- 香港去哪买三星手机回来吗? 买香港便宜售价手机市场地点和网站2023-02-02 11:03:11
数码
- 华为5G芯片正式亮相:预示华为将发首款5G手机2023-08-31 13:22:33
- 腾讯传计划放弃虚拟现实VR硬件计划2023-02-17 23:32:30
- 三星手机份额大跌!三星手机中国市场份额变化国内仅剩3%2023-02-01 17:06:15
- 三星手机份额大跌在中国没市场了!国内市场占有率仅剩1%国外比苹果销量高2023-02-01 16:59:53
- vivo发布2022 vivoNEX手机极简易浏览器下载:简洁流畅无广告!2022-12-02 17:29:30
科技
- 中兴受美国制裁事件 被罚了20亿美元过程事件始末 中兴被制裁后公司现状2023-11-02 22:12:46
- B站怎么炸崩了哔哩哔哩服务器今日怎么又炸挂了?技术团队公开早先原因2023-03-06 19:05:55
- 苹果iPhoneXS/XR手机电池容量续航最强?答案揭晓2023-02-19 15:09:54
- 华为荣耀两款机型起内讧:荣耀Play官方价格同价同配该如何选?2023-02-17 23:21:27
- google谷歌原生系统Pixel3 XL/4/5/6 pro手机价格:刘海屏设计顶配版曾卖6900元2023-02-17 18:58:09