紅藍(lán)對抗中的近源滲透

紅藍(lán)對抗中的近源滲透前言近源滲透是這兩年常被安全業(yè)內(nèi)人員談起的熱門話題。不同于其他虛無縹緲的安全概念，近源滲透涉及到的無線安全、物理安全、社會工程學(xué)都十分容易落地實(shí)踐，許多企業(yè)內(nèi)部的攻防對抗演練也都出現(xiàn)了看上去"很過分”的近源滲透攻擊手法，給防守方團(tuán)隊(duì)上了生動(dòng)的一課。19年的時(shí)候，筆者和朋友們就推出了漫畫《黑客特戰(zhàn)隊(duì)?近源滲透》和出版書《黑客大揭秘：近源滲透測試》。作為近源滲透概念的主力"炒作者"之一，這篇文章和大家聊聊我對近源滲透的理解。01什么是紅藍(lán)對抗紅藍(lán)對抗原本是一個(gè)軍事概念，指在部隊(duì)模擬對抗時(shí)，專門成立一個(gè)扮演假想敵的部隊(duì)（藍(lán)軍）與我方正面部隊(duì)（紅軍）進(jìn)行對抗性演練。在信息安全領(lǐng)域中的紅藍(lán)對抗也是類似的思路，一方扮演黑客，另一方扮演防守者進(jìn)行網(wǎng)絡(luò)安全攻防演練。在演練過程中，藍(lán)軍模擬真實(shí)的攻擊來評估企業(yè)現(xiàn)有防守體系的安全能力，紅軍對發(fā)現(xiàn)的問題做出相應(yīng)的優(yōu)化整改。通過周期性的紅藍(lán)對抗攻防演習(xí)，持續(xù)性地提高企業(yè)在攻擊防護(hù)、威脅檢測、應(yīng)急響應(yīng)方面的能力。需要注意，國外流行使用RedTeam（紅隊(duì)）代表攻擊方，BlueTeam（藍(lán)隊(duì)）代表防守方。02什么是近源滲透在《黑客大揭秘：近源滲透測試》書中，筆者將近源滲透定義為"指測試人員靠近或位于測試目標(biāo)建筑內(nèi)部，利用各類無線通信技術(shù)、物理接口和智能設(shè)備進(jìn)行滲透測試的方法總稱"。用通俗的話來講，就是通過喬裝、社工等方式實(shí)地物理侵入企業(yè)辦公區(qū)域，通過其內(nèi)部各種潛在攻擊面（如Wi-Fi網(wǎng)絡(luò)、RFID門禁、暴露的有線網(wǎng)口、USB接口等）獲得"戰(zhàn)果"，最后以隱秘的方式將評估結(jié)果帶出上報(bào)，由此證明企業(yè)安全防護(hù)存在漏洞?？梢灾庇^地感覺到，近源滲透與傳統(tǒng)滲透測試的主要區(qū)別體現(xiàn)在對"邊界”的理解上。在通過外網(wǎng)網(wǎng)絡(luò)入口入侵企業(yè)這條路上，將面對防火墻、入侵檢測等重重防御措施，攻擊門檻逐漸變高。而在近源滲透的場景中，由于測試人員位于目標(biāo)企業(yè)附近甚至建筑內(nèi)部，這些地方往往存在大量被企業(yè)忽視的安全盲點(diǎn)。我們可以根據(jù)目標(biāo)的網(wǎng)絡(luò)狀態(tài)、現(xiàn)場環(huán)境、物理位置等因素靈活地更換滲透測試方式，這也更接近滲透測試的本質(zhì)。03近源滲透的測試目標(biāo)如果做完整的攻擊面分析，近源滲透可以涉及到的測試對象會非常多，包括WiFi、藍(lán)牙、RFID、ZigBee、蜂窩、Ethernet等等各類物聯(lián)網(wǎng)通信技術(shù)甚至包括智能設(shè)備的嵌入式安全。在本文中，筆者將挑選其中較為通用且容易在紅藍(lán)對抗中實(shí)施的近源滲透技術(shù)進(jìn)行探討。3.1無線滲透在過去很長一段時(shí)間里，由于沒有明顯的競爭對手，人們普遍把無線安全用作Wi-Fi安全的同義詞，把無線網(wǎng)絡(luò)等同于Wi-Fi，下文中筆者將延續(xù)使用此習(xí)慣。2015年3月，由于某公司內(nèi)部存在開放的無線網(wǎng)絡(luò)，導(dǎo)致超級計(jì)算機(jī)“XX一號”的某節(jié)點(diǎn)被攻擊，大量敏感信息疑遭泄露。2015年5月，某航站樓Wi-Fi提供商的服務(wù)器安全設(shè)施不足和代碼漏洞，導(dǎo)致服務(wù)器中的用戶隱私數(shù)據(jù)被泄露。2016年，某手機(jī)售后中心因Wi-Fi安全缺陷導(dǎo)致內(nèi)網(wǎng)被攻擊者入侵。2016年4月，富士康前員工秘密橋接無線網(wǎng)絡(luò)侵入蘋果公司的網(wǎng)絡(luò)，為他人提供“改機(jī)、解鎖"服務(wù)。2018年，國內(nèi)某安全研究員在新加坡參加安全會議，在入住酒店期間通過酒店無線網(wǎng)絡(luò)入侵內(nèi)部系統(tǒng)，并發(fā)表博客介紹入侵過程。如今，無線網(wǎng)絡(luò)已經(jīng)事實(shí)上成為了企業(yè)移動(dòng)化辦公的重要基礎(chǔ)設(shè)施，但由于普遍缺乏有效的管理，部署與使用人員的安全意識和專業(yè)知識的不足，導(dǎo)致AP分布混亂，設(shè)備安全性脆弱，無線網(wǎng)絡(luò)也越來越多地成為黑客入侵企業(yè)內(nèi)網(wǎng)的突破口。正因?yàn)槿绱?，筆者在《近源滲透測試》一書中花了大量筆墨用于描述基于無線網(wǎng)絡(luò)的安全攻防，無線網(wǎng)絡(luò)是目前近源滲透中的主要測試手段。在筆者之前的工作中，曾對軍工、能源、金融、政企、電信等各種類型的行業(yè)客戶做過大量的無線滲透測試服務(wù)，發(fā)現(xiàn)各單位對無線安全的建設(shè)都處于相對模糊和薄弱的階段，主要反應(yīng)在三塊：不知道內(nèi)部有多少無線熱點(diǎn)企業(yè)內(nèi)部存在的熱點(diǎn)，從“是否由AP下發(fā)”和“使用目的"的角度，可分為以下幾類:?官方下發(fā)熱點(diǎn)?正式熱點(diǎn)：有規(guī)劃搭建的長期熱點(diǎn)?事件類熱點(diǎn)：支持業(yè)務(wù)項(xiàng)目的中短期熱點(diǎn)?歷史遺留熱點(diǎn)：不再使用卻未下線的熱點(diǎn)?非官方熱點(diǎn)?鄰居熱點(diǎn)：所有未接入到內(nèi)部網(wǎng)絡(luò)的熱點(diǎn)?業(yè)務(wù)熱點(diǎn)：業(yè)務(wù)部門報(bào)備審批后自行建立的熱點(diǎn)?員工私建熱點(diǎn)：在辦公機(jī)上通過無線網(wǎng)卡分享出的熱點(diǎn)。?惡意熱點(diǎn)：用于攻擊客戶端的釣魚熱點(diǎn)不知道黑客具體的攻擊手法從無線攻擊的目標(biāo)來看，可以分為三類：?繞過無線認(rèn)證，獲取無線網(wǎng)絡(luò)訪問權(quán)限?攻擊無線終端，竊取敏感信息?破壞無線基礎(chǔ)設(shè)施這些目標(biāo)可能會同時(shí)出現(xiàn)，比如先攻擊無線終端獲取憑據(jù)，再使用憑據(jù)連入網(wǎng)絡(luò)。針對相應(yīng)的目標(biāo)，黑客會采取對應(yīng)具體的攻擊手法。不知道如何做無線防護(hù)在不知道前兩點(diǎn)的前提下，就不可能做得好防護(hù)。了解內(nèi)部存在哪些無線熱點(diǎn)其實(shí)就是在梳理暴露的攻擊面，如果對此沒有清晰的認(rèn)識，在這種基礎(chǔ)上做的無線安全防護(hù)就如同"馬其諾防線"一樣，一打就穿。筆者曾受邀對一個(gè)大型金融企業(yè)做無線安全檢測，由于行業(yè)的敏感性同時(shí)他們高層領(lǐng)導(dǎo)對無線網(wǎng)絡(luò)不安全有清醒的認(rèn)識，于是采取了不部署任何無線網(wǎng)絡(luò)的策略。初看下，連無線網(wǎng)絡(luò)都沒部署，自然就不會面對無線威脅。而事實(shí)是，筆者在該企業(yè)移動(dòng)端開發(fā)團(tuán)隊(duì)所在區(qū)域，發(fā)現(xiàn)了一個(gè)由mac辦公機(jī)共享出來的私建熱點(diǎn)，破解密碼連上網(wǎng)絡(luò)后，就擁有了辦公機(jī)同樣的訪問權(quán)限，直通內(nèi)網(wǎng)。這樣一個(gè)簡單的私建熱點(diǎn)就把想象中"無懈可擊”的無線防護(hù)策略打破了。從無線攻擊的目標(biāo)來思考，會發(fā)現(xiàn)獲取無線網(wǎng)絡(luò)訪問權(quán)限僅是其目的之一。我知道現(xiàn)在的企業(yè)級AP基本都自帶了釣魚熱點(diǎn)防護(hù)功能，那員工到公共場所使用怎么防釣魚熱點(diǎn)呢。移動(dòng)化辦公是不可逆的浪潮，我們就得假設(shè)員工一定會在釣魚熱點(diǎn)環(huán)境下辦公，基于這樣的假設(shè)提出的防護(hù)策略才能扛得住真實(shí)攻擊。對于另外一個(gè)目的"破壞無線基礎(chǔ)設(shè)施”可以想象這樣一個(gè)場景：由于移動(dòng)化辦公的普及，大家都習(xí)慣使用筆記本設(shè)備來干活，假設(shè)在關(guān)鍵時(shí)期攻擊者在目標(biāo)團(tuán)隊(duì)工位偷偷放置一個(gè)無差別全阻斷的盒子進(jìn)行Wi-FiDeauth攻擊，讓受害者的運(yùn)營能力在短時(shí)間內(nèi)極具降低。那么是否能結(jié)合AP日志建立一套及時(shí)發(fā)現(xiàn)Wi-FiDeauth攻擊，物理定位，現(xiàn)場排查可疑人員/設(shè)備的機(jī)制？在極端情況下，這些筆記本是否可以快速通過網(wǎng)線接入網(wǎng)絡(luò)？企業(yè)無線安全體系建設(shè)是一個(gè)包含技術(shù)與管理的龐大話題，為了不過于偏離主題這里僅作舉例不再近一步展開。雖然這部分內(nèi)容是以防守方視角寫的，但了解到防守方的痛點(diǎn)與難點(diǎn)后，可以為攻擊測試方向指明道路。"道"清晰了，"器"和"術(shù)”的積累只是時(shí)間問題。3.2HID攻擊HID(humaninterfacedevice)指鍵盤、鼠標(biāo)與游戲標(biāo)桿等這類用于為計(jì)算機(jī)提供數(shù)據(jù)輸入的人機(jī)交互設(shè)備。攻擊者可以將特殊的USB設(shè)備模擬成為鍵盤，一旦連接上計(jì)算機(jī)就執(zhí)行預(yù)定的惡意操作，這便是HID攻擊。在過去十年間，出現(xiàn)了Teensy、USBRubberDucker、BadUSB、BashBunny、WHID等等不同形式、各具特色的HID攻擊設(shè)備，它們通過DEFCON、BlackHat等安全會議和新聞媒體向夕卜宣傳，無論是業(yè)內(nèi)、業(yè)外都對這種攻擊手法具有一定了解和防范意識。筆者將介紹兩種較為有隱蔽性的HID攻擊手段，以貼近在真實(shí)環(huán)境下的攻擊場景。利用Android設(shè)備執(zhí)彳亍HID攻擊這種方式的優(yōu)勢是顯而易見的，可以便捷地在手機(jī)上切換和修改攻擊指令，自帶電源免去了從插入到發(fā)動(dòng)攻擊前這段不短的初始化時(shí)間，極大挺高了攻擊隱蔽性。當(dāng)然，這對Android設(shè)備有一定的要求，需要root同時(shí)內(nèi)核要打入U(xiǎn)SBHID補(bǔ)丁。筆者喜歡使用KaliLinuxNethunter來部署該攻擊工具。NetHunter是一個(gè)基于Android的開源滲透測試平臺，由KaliLinux社區(qū)與OffensiveSecurity共同創(chuàng)建，系統(tǒng)中包含大量KaliLinux中的滲透測試工具，還支持802.11幀注入、HID攻擊、MANA惡意熱點(diǎn)攻擊等。利用其中的DuckHunterHIDT具，編寫好USBRubberDucky格式的腳本后，將該Android設(shè)備與目標(biāo)計(jì)算機(jī)相連，隨后便會模擬成鍵盤進(jìn)行輸入。從插入電腦到惡意操作執(zhí)行完所需時(shí)間不過幾秒，這可以幫助你給那些離開工位不鎖屏的同事好好上一課。USBNinja前面把Android手機(jī)改造成了HID攻擊設(shè)備，而USBNinja更加過分，偽裝成一條數(shù)據(jù)線。它擁有與普通數(shù)據(jù)線一致的外觀，并且可以像正常數(shù)據(jù)線一樣進(jìn)行充電和傳輸數(shù)據(jù)。而一旦接收到遙控器或手機(jī)APP的指令時(shí)，它就會執(zhí)行預(yù)設(shè)好的攻擊指令，模擬鍵盤輸入或鼠標(biāo)點(diǎn)擊進(jìn)行攻擊。在最近更新的USBNinjaPro版本中進(jìn)行了近一步加強(qiáng)，所有配置過程可在手機(jī)APP上進(jìn)行，同時(shí)擁有更快的USB2.0打字速度、自毀模式清除固件、自動(dòng)檢測大寫鎖定、支持BLE5.0等新功能，還增加了鍵盤、鼠標(biāo)等新外形。Pro版的USBNinja數(shù)據(jù)線售價(jià)為468元，雖然價(jià)格較貴，還是推薦藍(lán)軍同學(xué)們至少購買一套以用作向老板們進(jìn)行風(fēng)險(xiǎn)演示或員工安全意識教育的工具。我們也許會懷疑U盤、懷疑手機(jī)，但實(shí)在很難對一根能充電的數(shù)據(jù)線產(chǎn)生懷疑。LockPicking指開鎖的藝術(shù)。在DEFCON大會上歷來就有一個(gè)LockPickingVillage展區(qū)來教參會者開鎖技巧，盡管撬鎖經(jīng)常被與犯罪聯(lián)系起來，但開鎖技巧也可以被當(dāng)做一項(xiàng)有用的生活技巧來學(xué)習(xí)，更或者僅僅作為一種愛好。在全球大多數(shù)的城市中，只要不將它用作犯罪目的，學(xué)習(xí)開鎖技術(shù)都是可行且合法的。2017年，在筆者和小伙伴們組織的DC010深圳站沙龍上，便將LockPickingVillage第一次引進(jìn)到國內(nèi)，現(xiàn)在已經(jīng)成為DEFCONGROUP國內(nèi)各本地化社區(qū)的熱門演示項(xiàng)目。LockPickingVillage的目的在于讓我們了解到不同鎖類的安全性，以便在今后的生活中挑選購買安全性更高的鎖具。之所以在這里提到鎖具安全，是因?yàn)楣P者在各種企業(yè)內(nèi)部看到太多敏感區(qū)域的門鎖僅使用了A級或B級的鎖芯，這兩種安全等級的鎖芯極易被撬開。比如筆者曾在某一企業(yè)內(nèi)發(fā)現(xiàn)，所有樓層的弱電井門使用的都是A級鎖，利用單勾形式的便攜工具即可輕松打開，而門后便是多臺交換機(jī)和服務(wù)器設(shè)備，風(fēng)險(xiǎn)可想而知。3.4物理潛入這里的潛入是指在未授權(quán)情況下進(jìn)入目標(biāo)區(qū)域，同樣是個(gè)與CyberSecurity無關(guān)卻很有趣的話題?？紤]到話題敏感性，以下內(nèi)容讀者請認(rèn)為是虛構(gòu)，如有雷同純屬巧合。?電影《平原上的夏洛克》中，主角需要進(jìn)入某高檔小區(qū)跟蹤目標(biāo)，小區(qū)有較為嚴(yán)格的出入門禁管理，門禁卡每刷一次只能進(jìn)一人無法尾隨。于是主角想辦法弄來了一套外賣服裝，以送外賣名義讓保安幫開門進(jìn)入了小區(qū)。XX市科學(xué)技術(shù)館，由于正值暑期高峰進(jìn)入場館需要提前預(yù)約，是否今天沒法進(jìn)入了呢。我發(fā)現(xiàn)在場館一側(cè)是一座與之相連的辦公樓，我走進(jìn)辦公樓時(shí)沒遭到任何阻攔。步入轉(zhuǎn)角處的電梯來到3樓，走到辦公樓與場館相連的走道。交界處站著安保人員，我整理了一下表情，大方地走了過去。果然安保人員并沒有阻攔我，他們的任務(wù)是防止觀眾進(jìn)入辦公區(qū)，而反向就默認(rèn)放行了。如此，我便進(jìn)入了場館。XX市XX洞景點(diǎn)，作為該市的知名網(wǎng)紅免費(fèi)景點(diǎn)，每到節(jié)假日都需要排長長的隊(duì)伍才能進(jìn)入。這時(shí)有黃牛走過來，悄悄吆喝道"正常得排1個(gè)小時(shí)，100元走VIP通道，5分鐘就能進(jìn)去"。因?yàn)閹е笥眩瑸楸苊鉄o意義的排隊(duì)我交了錢。他帶著我七拐八繞，還不到5分鐘就進(jìn)去了，不過這時(shí)我反應(yīng)過來這所謂的VIP通道不就是消防通道嗎。XX國XX安全會議，門票換算成RMB特別昂貴，在一樓處是檢票口，工作人員審核后才能乘坐扶梯上二樓會議區(qū)。作為演講者的我雖然擁有一張票，但隨行的小伙伴就沒法進(jìn)入了。這時(shí)我們發(fā)現(xiàn)角落有一部貨梯，乘坐到二樓推開消防安全門便直接進(jìn)入了人來人往的會場區(qū)。雖然沒有觀眾胸卡，但會場里邊已經(jīng)沒人做檢查了。這些案例都反應(yīng)出一個(gè)共同點(diǎn)，正門是嚴(yán)格審核的區(qū)域，但對于人工通道、消防通道、貨梯、地下車庫等"隱藏入口”，往往就處于安保薄弱區(qū)域。對于近源滲透人員，能越近一步地進(jìn)入目標(biāo)內(nèi)部，意味著發(fā)現(xiàn)問題的可能性越大。04近源滲透的未來發(fā)展近源滲透并不是一個(gè)新出現(xiàn)的概念，以前也有"抵近攻擊"、"物理滲透”等說法，但相比于10年前，近源滲透的測試對象增加了更多無線通信方面的技術(shù)。這是因?yàn)殡S著物聯(lián)網(wǎng)（IoT）的蓬勃發(fā)展，企業(yè)內(nèi)部出現(xiàn)了各種形式的智能設(shè)備，如藍(lán)牙鍵盤鼠標(biāo)、無線打印機(jī)、智能照明、智能攝像頭、智能電視、智能音箱等等，這個(gè)名單在持續(xù)增長。甚至在電梯、自動(dòng)售貨機(jī)、中央空調(diào)或其他基礎(chǔ)設(shè)施中，也配套使用了物聯(lián)網(wǎng)技術(shù)，它們通過Wi-Fi、藍(lán)牙、ZigBee、NFC或其他無線技術(shù)進(jìn)行通信。對于企業(yè)而言，物聯(lián)網(wǎng)設(shè)備的特性給企業(yè)帶來了嚴(yán)重的安全挑戰(zhàn)。各式各樣的設(shè)備外觀，配備各式各樣的傳感器組件，采用不同的無線通信技術(shù)，運(yùn)行于不同的操作系統(tǒng)和CPU架構(gòu)中。它們大部分都沒有固定的安全配置，沒有用戶交互界面，也無法安裝安全軟件或代理以便于管控。傳統(tǒng)的安全實(shí)踐，如防火墻、反惡意軟件或其他安全解決方案在面臨來自物聯(lián)網(wǎng)的安全威脅時(shí)是不夠的，IT管理人員甚至只能發(fā)現(xiàn)企業(yè)內(nèi)40%的設(shè)備，像員工帶來的智能設(shè)備等都處于企業(yè)管理視野的盲區(qū)，更無從談起如何保護(hù)它們，而它們可能已經(jīng)通過某種形式接入了企業(yè)內(nèi)網(wǎng)。對于潛在的攻擊者來說，以這些物聯(lián)網(wǎng)設(shè)備作為滲透切入點(diǎn)是十分具有想象空間的：2016年，Bastille的研究團(tuán)隊(duì)發(fā)布了一個(gè)關(guān)于無線鼠標(biāo)、無線鍵盤的漏洞披露，攻擊者可以嗅探并劫持來自無線鍵鼠的操作指令；2017年，騰訊BladeTeam利用無人機(jī)滲透智能樓宇，遠(yuǎn)程控制辦公樓中的照明、空調(diào)、插座和電動(dòng)窗簾等智能設(shè)備；2019年，東京電氣通信大學(xué)副教授TakeshiSugawara等研究者發(fā)表了一種利用激光劫持智能音箱的攻擊方式，研究者以特定頻率改變激光強(qiáng)度，智