紅藍對抗中的近源滲透

紅藍對抗中的近源滲入前言近源滲入是這兩年常被安全業(yè)內(nèi)人員談起的熱門話題。不同于其它虛無縹緲的安全概念，近源滲入涉及到的無線安全、物理安全、社會工程學都十分容易落地實踐，許多公司內(nèi)部的攻防對抗演習也都出現(xiàn)了看上去“很過分”的近源滲入攻擊手法，給防守方團體上了生動的一課。的時候，筆者和朋友們就推出了漫畫《黑客特戰(zhàn)隊·近源滲入》和出版書《黑客大揭秘：近源滲入測試》。作為近源滲入概念的主力“炒作者”之一，這篇文章和大家聊聊我對近源滲入的理解。01什么是紅藍對抗紅藍對抗原本是一種軍事概念，指在部隊模擬對抗時，專門成立一種扮演假想敵的部隊（藍軍）與我方正面部隊（紅軍）進行對抗性演習。在信息安全領(lǐng)域中的紅藍對抗也是類似的思路，一方扮演黑客，另一方扮演防守者進行網(wǎng)絡(luò)安全攻防演習。在演習過程中，藍軍模擬真實的攻擊來評定公司現(xiàn)有防守體系的安全能力，紅軍對發(fā)現(xiàn)的問題做出對應(yīng)的優(yōu)化整治。通過周期性的紅藍對抗攻防演習，持續(xù)性地提高公司在攻擊防護、威脅檢測、應(yīng)急響應(yīng)方面的能力。需要注意，國外流行使用RedTeam（紅隊）代表攻擊方，BlueTeam（藍隊）代表防守方。02什么是近源滲入在《黑客大揭秘：近源滲入測試》書中，筆者將近源滲入定義為“指測試人員靠近或位于測試目的建筑內(nèi)部，運用各類無線通信技術(shù)、物理接口和智能設(shè)備進行滲入測試的辦法總稱”。用通俗的話來講，就是通過喬裝、社工等方式實地物理侵入公司辦公區(qū)域，通過其內(nèi)部多個潛在攻擊面（如Wi-Fi網(wǎng)絡(luò)、RFID門禁、暴露的有線網(wǎng)口、USB接口等）獲得“戰(zhàn)果”，最后以隱秘的方式將評定成果帶出上報，由此證明公司安全防護存在漏洞。能夠直觀地感覺到，近源滲入與傳統(tǒng)滲入測試的重要區(qū)別體現(xiàn)在對“邊界”的理解上。在通過外網(wǎng)網(wǎng)絡(luò)入口入侵公司這條路上，將面對防火墻、入侵檢測等重重防御方法，攻擊門檻逐步變高。而在近源滲入的場景中，由于測試人員位于目的公司附近甚至建筑內(nèi)部，這些地方往往存在大量被公司無視的安全盲點。我們能夠根據(jù)目的的網(wǎng)絡(luò)狀態(tài)、現(xiàn)場環(huán)境、物理位置等因素靈活地更換滲入測試方式，這也更靠近滲入測試的本質(zhì)。03近源滲入的測試目的如果做完整的攻擊面分析，近源滲入能夠涉及到的測試對象會非常多，涉及WiFi、藍牙、RFID、ZigBee、蜂窩、Ethernet等等各類物聯(lián)網(wǎng)通信技術(shù)甚至涉及智能設(shè)備的嵌入式安全。在本文中，筆者將挑選其中較為通用且容易在紅藍對抗中實施的近源滲入技術(shù)進行探討。3.1無線滲入在過去很長一段時間里，由于沒有明顯的競爭對手，人們普遍把無線安全用作Wi-Fi安全的同義詞，把無線網(wǎng)絡(luò)等同于Wi-Fi，下文中筆者將延續(xù)使用此習慣。3月，由于某公司內(nèi)部存在開放的無線網(wǎng)絡(luò)，造成超級計算機“XX一號”的某節(jié)點被攻擊，大量敏感信息疑遭泄露。5月，某航站樓Wi-Fi提供商的服務(wù)器安全設(shè)施局限性和代碼漏洞，造成服務(wù)器中的顧客隱私數(shù)據(jù)被泄露。，某手機售后中心因Wi-Fi安全缺點造成內(nèi)網(wǎng)被攻擊者入侵。4月，富士康前員工秘密橋接無線網(wǎng)絡(luò)侵入蘋果公司的網(wǎng)絡(luò)，為別人提供“改機、解鎖”服務(wù)。，國內(nèi)某安全研究員在新加坡參加安全會議，在入住酒店期間通過酒店無線網(wǎng)絡(luò)入侵內(nèi)部系統(tǒng)，并發(fā)表博客介紹入侵過程。如今，無線網(wǎng)絡(luò)已經(jīng)事實上成為了公司移動化辦公的重要基礎(chǔ)設(shè)施，但由于普遍缺少有效的管理，布署與使用人員的安全意識和專業(yè)知識的局限性，造成AP分布混亂，設(shè)備安全性脆弱，無線網(wǎng)絡(luò)也越來越多地成為黑客入侵公司內(nèi)網(wǎng)的突破口。正由于如此，筆者在《近源滲入測試》一書中花了大量筆墨用于描述基于無線網(wǎng)絡(luò)的安全攻防，無線網(wǎng)絡(luò)是現(xiàn)在近源滲入中的重要測試手段。在筆者之前的工作中，曾對軍工、能源、金融、政企、電信等多個類型的行業(yè)客戶做過大量的無線滲入測試服務(wù)，發(fā)現(xiàn)各單位對無線安全的建設(shè)都處在相對含糊和單薄的階段，重要反映在三塊：1.不懂得內(nèi)部有多少無線熱點公司內(nèi)部存在的熱點，從“與否由AP下發(fā)”和“使用目的”的角度，可分為下列幾類：官方下發(fā)熱點正式熱點：有規(guī)劃搭建的長久熱點事件類熱點：支持業(yè)務(wù)項目的中短期熱點歷史遺留熱點：不再使用卻未下線的熱點非官方熱點鄰居熱點：全部未接入到內(nèi)部網(wǎng)絡(luò)的熱點業(yè)務(wù)熱點：業(yè)務(wù)部門報備審批后自行建立的熱點員工私建熱點：在辦公機上通過無線網(wǎng)卡分享出的熱點。惡意熱點：用于攻擊客戶端的釣魚熱點2.不懂得黑客具體的攻擊手法從無線攻擊的目的來看，能夠分為三類：繞過無線認證，獲取無線網(wǎng)絡(luò)訪問權(quán)限攻擊無線終端，竊取敏感信息破壞無線基礎(chǔ)設(shè)施這些目的可能會同時出現(xiàn)，例如先攻擊無線終端獲取憑據(jù)，再使用憑據(jù)連入網(wǎng)絡(luò)。針對對應(yīng)的目的，黑客會采用對應(yīng)具體的攻擊手法。3.不懂得如何做無線防護在不懂得前兩點的前提下，就不可能做得好防護。理解內(nèi)部存在哪些無線熱點其實就是在梳理暴露的攻擊面，如果對此沒有清晰的認識，在這種基礎(chǔ)上做的無線安全防護就猶如“馬其諾防線”同樣，一打就穿。筆者曾受邀對一種大型金融公司做無線安全檢測，由于行業(yè)的敏感性同時他們高層領(lǐng)導(dǎo)對無線網(wǎng)絡(luò)不安全有蘇醒的認識，于是采用了不布署任何無線網(wǎng)絡(luò)的方略。初看下，連無線網(wǎng)絡(luò)都沒布署，自然就不見面對無線威脅。而事實是，筆者在該公司移動端開發(fā)團體所在區(qū)域，發(fā)現(xiàn)了一種由mac辦公機共享出來的私建熱點，破解密碼連上網(wǎng)絡(luò)后，就擁有了辦公機同樣的訪問權(quán)限，直通內(nèi)網(wǎng)。這樣一種簡樸的私建熱點就把想象中“無懈可擊”的無線防護方略打破了。從無線攻擊的目的來思考，會發(fā)現(xiàn)獲取無線網(wǎng)絡(luò)訪問權(quán)限僅是其目的之一。我懂得現(xiàn)在的公司級AP基本都自帶了釣魚熱點防護功效，那員工到公共場合使用怎么防釣魚熱點呢。移動化辦公是不可逆的浪潮，我們就得假設(shè)員工一定會在釣魚熱點環(huán)境下辦公，基于這樣的假設(shè)提出的防護方略才干扛得住真實攻擊。對于另外一種目的“破壞無線基礎(chǔ)設(shè)施”能夠想象這樣一種場景：由于移動化辦公的普及，大家都習慣使用筆記本設(shè)備來干活，假設(shè)在核心時期攻擊者在目的團體工位偷偷放置一種無差別全阻斷的盒子進行Wi-FiDeauth攻擊，讓受害者的運行能力在短時間內(nèi)極具減少。那么與否能結(jié)合AP日志建立一套及時發(fā)現(xiàn)Wi-FiDeauth攻擊，物理定位，現(xiàn)場排查可疑人員/設(shè)備的機制？在極端狀況下，這些筆記本與否能夠快速通過網(wǎng)線接入網(wǎng)絡(luò)？公司無線安全體系建設(shè)是一種包含技術(shù)與管理的龐大話題，為了但是于偏離主題這里僅作舉例不再近一步展開。即使這部分內(nèi)容是以防守方視角寫的，但理解到防守方的痛點與難點后，可覺得攻擊測試方向指明道路?！暗馈鼻逦耍捌鳌焙汀靶g(shù)”的積累只是時間問題。3.2HID攻擊HID（humaninterfacedevice）指鍵盤、鼠標與游戲標桿等這類用于為計算機提供數(shù)據(jù)輸入的人機交互設(shè)備。攻擊者能夠?qū)⑻厥獾腢SB設(shè)備模擬成為鍵盤，一旦連接上計算機就執(zhí)行預(yù)定的惡意操作，這便是HID攻擊。在過去十年間，出現(xiàn)了Teensy、USBRubberDucker、BadUSB、BashBunny、WHID等等不同形式、各具特色的HID攻擊設(shè)備，它們通過DEFCON、BlackHat等安全會議和新聞媒體向外宣傳，無論是業(yè)內(nèi)、業(yè)外都對這種攻擊手法含有一定理解和防備意識。筆者將介紹兩種較為有隱蔽性的HID攻擊手段，以貼近在真實環(huán)境下的攻擊場景。1.運用Android設(shè)備執(zhí)行HID攻擊這種方式的優(yōu)勢是顯而易見的，能夠便捷地在手機上切換和修改攻擊指令，自帶電源免去了從插入到發(fā)動攻擊前這段不短的初始化時間，極大挺高了攻擊隱蔽性。固然，這對Android設(shè)備有一定的規(guī)定，需要root同時內(nèi)核要打入USBHID補丁。筆者喜歡使用KaliLinuxNethunter來布署該攻擊工具。NetHunter是一種基于Android的開源滲入測試平臺，由KaliLinux社區(qū)與OffensiveSecurity共同創(chuàng)立，系統(tǒng)中包含大量KaliLinux中的滲入測試工具，還支持802.11幀注入、HID攻擊、MANA惡意熱點攻擊等。運用其中的DuckHunterHID工具，編寫好USBRubberDucky格式的腳本后，將該Android設(shè)備與目的計算機相連，隨即便會模擬成鍵盤進行輸入。從插入電腦到惡意操作執(zhí)行完所需時間但是幾秒，這能夠協(xié)助你給那些離開工位不鎖屏的同事好好上一課。2.USBNinja前面把Android手機改造成了HID攻擊設(shè)備，而USBNinja更加過分，偽裝成一條數(shù)據(jù)線。它擁有與普通數(shù)據(jù)線一致的外觀，并且能夠像正常數(shù)據(jù)線同樣進行充電和傳輸數(shù)據(jù)。而一旦接受到遙控器或手機APP的指令時，它就會執(zhí)行預(yù)設(shè)好的攻擊指令，模擬鍵盤輸入或鼠標點擊進行攻擊。在近來更新的USBNinjaPro版本中進行了近一步加強，全部配備過程可在手機APP上進行，同時擁有更快的USB2.0打字速度、自毀模式去除固件、自動檢測大寫鎖定、支持BLE5.0等新功效，還增加了鍵盤、鼠標等新外形。Pro版的USBNinja數(shù)據(jù)線售價為468元，即使價格較貴，還是推薦藍軍同窗們最少購置一套以用作向老板們進行風險演示或員工安全意識教育的工具。我們可能會懷疑U盤、懷疑手機，但實在很難對一根能充電的數(shù)據(jù)線產(chǎn)生懷疑。3.3LockPickingLockPicking指開鎖的藝術(shù)。在DEFCON大會上一向就有一種LockPickingVillage展區(qū)來教參會者開鎖技巧，盡管撬鎖經(jīng)常被與犯罪聯(lián)系起來，但開鎖技巧也能夠被當做一項有用的生活技巧來學習，更或者僅僅作為一種愛好。在全球大多數(shù)的都市中，只要不將它用作犯罪目的，學習開鎖技術(shù)都是可行且正當?shù)?。，在筆者和小伙伴們組織的DC010深圳站沙龍上，便將LockPickingVillage第一次引進到國內(nèi)，現(xiàn)在已經(jīng)成為DEFCONGROUP國內(nèi)各本地化社區(qū)的熱門演示項目。LockPickingVillage的目的在于讓我們理解到不同鎖類的安全性，方便在此后的生活中挑選購置安全性更高的鎖具。之因此在這里提到鎖具安全，是由于筆者在多個公司內(nèi)部看到太多敏感區(qū)域的門鎖僅使用了A級或B級的鎖芯，這兩種安全等級的鎖芯極易被撬開。例如筆者曾在某一公司內(nèi)發(fā)現(xiàn)，全部樓層的弱電井門使用的都是A級鎖，運用單勾形式的便攜工具即可輕松打開，而門后便是多臺交換機和服務(wù)器設(shè)備，風險可想而知。3.4物理潛入這里的潛入是指在未授權(quán)狀況下進入目的區(qū)域，同樣是個與CyberSecurity無關(guān)卻很有趣的話題?？紤]到話題敏感性，下列內(nèi)容讀者請認為是虛構(gòu)，如有雷同純屬巧合。電影《平原上的夏洛克》中，主角需要進入某高檔社區(qū)跟蹤目的，社區(qū)有較為嚴格的出入門禁管理，門禁卡每刷一次只能進一人無法尾隨。于是主角想方法弄來了一套外賣服裝，以送外賣名義讓保安幫開門進入了社區(qū)。XX市科學技術(shù)館，由于正值暑期高峰進入場館需要提前預(yù)約，與否今天沒法進入了呢。我發(fā)現(xiàn)在場館一側(cè)是一座與之相連的辦公樓，我走進辦公樓時沒遭到任何阻攔。步入轉(zhuǎn)角處的電梯來到3樓，走到辦公樓與場館相連的走道。交界處站著安保人員，我整頓了一下表情，大方地走了過去。果然安保人員并沒有阻攔我，他們的任務(wù)是避免觀眾進入辦公區(qū)，而反向就默認放行了。如此，我便進入了場館。XX市XX洞景點，作為該市的出名網(wǎng)紅免費景點，每到節(jié)假日都需要排長長的隊伍才干進入。這時有黃牛走過來，悄悄吆喝道“正常得排1個小時，100元走VIP通道，5分鐘就能進去”。由于帶著朋友，為避免無意義的排隊我交了錢。他帶著我七拐八繞，還不到5分鐘就進去了，但是這時我反映過來這所謂的VIP通道不就是消防通道嗎。XX國XX安全會議，門票換算成RMB特別昂貴，在一樓處是檢票口，工作人員審核后才干乘坐扶梯上二樓會議區(qū)。作為演講者的我即使擁有一張票，但隨行的小伙伴就沒法進入了。這時我們發(fā)現(xiàn)角落有一部貨梯，乘坐到二樓推開消防安全門便直接進入了人來人往的會場區(qū)。即使沒有觀眾胸卡，但會場里邊已經(jīng)沒人做檢查了。這些案例都反映出一種共同點，正門是嚴格審核的區(qū)域，但對于人工通道、消防通道、貨梯、地下車庫等“隱藏入口”，往往就處在安保單薄區(qū)域。對于近源滲入人員，能越近一步地進入目的內(nèi)部，意味著發(fā)現(xiàn)問題的可能性越大。04近源滲入的將來發(fā)展近源滲入并不是一種新出現(xiàn)的概念，以前也有“抵近攻擊”、“物理滲入”等說法，但相比于10年前，近源滲入的測試對象增加了更多無線通信方面的技術(shù)。這是由于隨著物聯(lián)網(wǎng)（IoT）的蓬勃發(fā)展，公司內(nèi)部出現(xiàn)了多個形式的智能設(shè)備，如藍牙鍵盤鼠標、無線打印機、智能照明、智能攝像頭、智能電視、智能音箱等等，這個名單在持續(xù)增加。甚至在電梯、自動售貨機、中央空調(diào)或其它基礎(chǔ)設(shè)施中，也配套使用了物聯(lián)網(wǎng)技術(shù)，它們通過Wi-Fi、藍牙、ZigBee、NFC或其它無線技術(shù)進行通信。對于公司而言，物聯(lián)網(wǎng)設(shè)備的特性給公司帶來了嚴重的安全挑戰(zhàn)。各式各樣的設(shè)備外觀，配備各式各樣的傳感器組件，采用不同的無線通信技術(shù)，運行于不同的操作系統(tǒng)和CPU架構(gòu)中。它們大部分都沒有固定的安全配備，沒有顧客交互界面，也無法安裝安全軟件或代理方便于管控。傳統(tǒng)的安全實踐，如防火墻、反惡意軟件或其它安全解決方案在面臨來自物聯(lián)網(wǎng)的安全威脅時是不夠的，IT管理人員甚至只能發(fā)現(xiàn)公司內(nèi)40%的設(shè)備，像員工帶來的智能設(shè)備等都處在公司管理視野的盲區(qū)，更無從談起如何保護它們，而它們可能已經(jīng)通過某種形式接入了公司內(nèi)網(wǎng)。對于潛在的攻擊者來說，以這些物聯(lián)網(wǎng)設(shè)備作為滲入切入點是十分含有想象空間的：，Bastille的研究團體公布了一種有關(guān)無線鼠標、無線鍵盤的漏洞披露，攻擊者能夠嗅探并劫持來自無線鍵鼠的操作指令；，騰訊BladeTeam運用無人機滲入智能樓宇，遠程控制辦公樓中的照明、空調(diào)、插座和電動窗簾等智能設(shè)備；，東京電氣通信大學副專家TakeshiSugawara等研究者發(fā)表了一種運用激光劫持智能音箱的攻擊方式，研究者以特定頻率變化激