2022HW紅隊?wèi)?zhàn)術(shù)解析

2022HW紅隊?wèi)?zhàn)術(shù)解析haya木星安全實驗室

·

紅隊負責(zé)人Github:

/hayasecBlog:

hayasec.me紅藍對抗與紅隊武器化ABOUT

ME今天聊點啥？

ATT&CK矩陣(站在攻擊者的視角來描述攻擊中各階段用到的技術(shù)的模型) 執(zhí)行攻擊權(quán)限提升防御繞過憑據(jù)獲取數(shù)據(jù)披露橫向移動內(nèi)網(wǎng)數(shù)據(jù)竊出初始訪問偷渡式攻擊

命令行界面外部程序攻擊編譯HTML文件USB復(fù)制

動態(tài)數(shù)據(jù)交換魚叉式附件

通過API執(zhí)行可信關(guān)系

圖形用戶界面有效帳戶 LSASS驅(qū)動…… 本地作業(yè)任務(wù)計劃任務(wù)腳本執(zhí)行服務(wù)執(zhí)行文件名后的空格第三方軟件Trap程序用戶執(zhí)行WMIWin遠程管理XSL腳本處理……驗證包BITS任務(wù)魚叉式釣魚通過模塊加載執(zhí)行

瀏覽器擴展組件固件COM劫持創(chuàng)建賬號Dylib劫持外部遠程服務(wù)簽名二進制代理

文件系統(tǒng)權(quán)限掛鉤虛擬機技術(shù)IFEO注入LSASS驅(qū)動啟動Agent啟動守護進程本地作業(yè)調(diào)度……權(quán)限維持輔助功能 訪問令牌操作賬戶操縱 輔助功能硬件植入 控制面板項

Shimming應(yīng)用

Bypass

UACDLL搜索劫持Dylib劫持漏洞提權(quán)供應(yīng)鏈攻擊利用客戶端執(zhí)行更改默認文件關(guān)聯(lián)EWM注入文件系統(tǒng)權(quán)限掛鉤IFEO注入新服務(wù)路徑攔截Plist修改簽名腳本代理執(zhí)行隱藏文件和目錄

端口監(jiān)視器進程注入SID歷史注入任務(wù)計劃可信的開發(fā)工具內(nèi)核模塊和擴展服務(wù)注冊表權(quán)限啟動項Sudo緩存有效賬戶Web

Shell……賬戶操縱Bash歷史暴力破解憑證轉(zhuǎn)儲文件憑證注冊表憑證憑證漏洞利用強制認證輸入捕獲輸入提示DLL順序劫持

啟動守護進程LLMNR投毒網(wǎng)絡(luò)嗅探帳戶發(fā)現(xiàn)應(yīng)用窗口發(fā)現(xiàn)網(wǎng)絡(luò)共享發(fā)現(xiàn)密碼策略發(fā)現(xiàn)外圍設(shè)備發(fā)現(xiàn)權(quán)限組發(fā)現(xiàn)進程發(fā)現(xiàn)查詢注冊表遠程系統(tǒng)發(fā)現(xiàn)密碼篩選器DLL

安全軟件發(fā)現(xiàn)私鑰安全內(nèi)存 網(wǎng)絡(luò)配置發(fā)現(xiàn)雙因素攔截 網(wǎng)絡(luò)連接發(fā)現(xiàn)…… 系統(tǒng)用戶發(fā)現(xiàn)系統(tǒng)服務(wù)發(fā)現(xiàn)……代碼簽名組件固件COM劫持控制面板項DLL側(cè)載禁用安全工具EWM注入文件刪除系統(tǒng)信息發(fā)現(xiàn)

文件權(quán)限修改隱藏用戶隱藏窗口IFEO注入指標(biāo)攔截系統(tǒng)時間發(fā)現(xiàn)從主機移除指標(biāo)間接命令執(zhí)行安裝根證書InstallUtil程序LC_MAIN劫持……BITS任務(wù) 應(yīng)用部署軟件網(wǎng)絡(luò)服務(wù)掃描

清除命令歷史 登陸腳本PtHPtT目標(biāo)數(shù)據(jù)收集訪問令牌操作AppleScript消息

音頻捕獲自動化收集瀏覽器書簽發(fā)現(xiàn)

二進制填充

分布式對象模型

剪貼板數(shù)據(jù)輸入捕獲可移動媒體復(fù)制SSH劫持 瀏覽器中間人共享Webroot 截屏污染共享內(nèi)容 視頻捕獲第三方軟件 ……Win管理員共享Win遠程管理遠程服務(wù)……自動化透傳數(shù)據(jù)壓縮數(shù)據(jù)加密存儲庫數(shù)據(jù)

透傳的備用協(xié)議本地系統(tǒng)數(shù)據(jù)C2通道進行透傳網(wǎng)絡(luò)驅(qū)動器數(shù)據(jù)網(wǎng)絡(luò)介質(zhì)透傳遠程桌面協(xié)議可移動媒體數(shù)據(jù)物理介質(zhì)透傳遠程文件復(fù)制

電子郵件收集 周期傳輸……代理傳輸文件和目錄發(fā)現(xiàn)

繞過UAC

遠程服務(wù)漏洞利用

數(shù)據(jù)整合

數(shù)據(jù)傳輸大小限制自定義協(xié)議影響消除常用端口 賬戶權(quán)限刪除可移動媒體通信

數(shù)據(jù)銷毀磁盤擦除終端拒絕服務(wù)數(shù)據(jù)編碼 固件損壞數(shù)據(jù)混淆 拒絕系統(tǒng)恢復(fù)域前置 資源劫持備用信道 服務(wù)停止多段信道 數(shù)據(jù)傳輸操作多層加密 …………命令控制紅隊作戰(zhàn)攻擊重要步驟戰(zhàn)術(shù)中用到的技術(shù)點工具改造與武器化初始訪問初始接入策略代表攻擊者用于在網(wǎng)絡(luò)中取得初始立足點的(攻擊)向量打點?初始訪問:

打點薄弱防護系統(tǒng)，邊緣業(yè)務(wù)關(guān)鍵集權(quán)系統(tǒng)同C段同ISP供應(yīng)鏈......初始訪問：釣魚攻擊載荷格式？投遞方式？社工話術(shù)？利用方式？初始訪問:

免殺宏VelvetSweatshop誘導(dǎo)白加黑執(zhí)行@TA0002執(zhí)行策略表示造成在本地或遠程系統(tǒng)上執(zhí)行由攻擊者控制的代碼的技術(shù)。該策略通常與初始接入一起使用，作為一旦獲得訪問就執(zhí)行代碼的手段，之后進行橫向移動以擴展對網(wǎng)絡(luò)上遠程系統(tǒng)的訪問。執(zhí)行:LOLBINS/LOLBAS-Project/LOLBASlolbins可以是帶有Microsoft簽名的二進制文件，可以是Microsoft系統(tǒng)目錄中二進制文件?？梢允堑谌秸J證簽名程序。具有對APT或紅隊滲透方有用的功能。該程序除過正常的功能外，可以做意料之外的行為。（如：執(zhí)行惡意代碼、繞過UAC、下載文件、轉(zhuǎn)儲進程內(nèi)存、逃避日志等）。執(zhí)行:LOLBINS執(zhí)行:LOLBINSSqldumper.exe

592(lsass.exe)HKCR\mscfile\shell\open\command-->evil.exerundll32.exeC:\windows\System32\comsvcs.dll,MiniDump(Get-Processlsass).id$env:TEMP\lsass-comsvcs.dmp

fullcsc.exewmic.exerundll32.exeexcel.exemshta.exeeventvwr.execmstp.exemsiexec.exesqldumper.exeat.exemmc.exe......持久化@TA0003持久化是指任何對系統(tǒng)的訪問，操作或配置更改，使攻擊者在該系統(tǒng)上持續(xù)地存在。攻擊者通常需要通過中斷來維持對系統(tǒng)的訪問，例如系統(tǒng)重啟，憑據(jù)丟失或其他需要遠程訪問工具重新啟動或備用后門才能重新獲得訪問權(quán)限的故障。持久化注冊表計劃任務(wù)服務(wù)HijackWMI驅(qū)動......持久化：計劃任務(wù)TaskScheduler

Interfaces任務(wù)計劃程序接口,提供對Task

Scheduler中可用功能的編程訪問ITaskService,TaskScheduler,

go-oleAtSchtaskTask

SchedulerAPI持久化：計劃任務(wù)每天啟動計劃任務(wù)(Scripting)(C++)(XML)持久化：計劃任務(wù)C#TaskSchedulerExecute-assembly特權(quán)提升@TA0004特權(quán)提升是允許攻擊者在系統(tǒng)或網(wǎng)絡(luò)上獲得更高級別權(quán)限的結(jié)果。某些工具或操作需要更高級別的權(quán)限，并且在特定操作的許多場景很可能都是必需的。特權(quán)提升UAC(User

AccountControl)是從Windows

Vista開始出現(xiàn)的安全技術(shù)，它通過限制應(yīng)用程序的執(zhí)行權(quán)限來達到提升操作系統(tǒng)安全性的目的。hfiref0x在github上整理了各種UAC繞過技術(shù)的實現(xiàn)，并對每個方法進行編號。漏洞、DLL劫持、可信目錄、Com組件接口、注冊表等等/hfiref0x/UACME特權(quán)提升：UAC繞過CSMTPLUA{3E5FC7F9-9A51-4367-9063-A120244FBEC7}ICMLuaUtilShellExec特權(quán)提升：UAC繞過憑據(jù)訪問@TA0006憑據(jù)訪問表示造成訪問或控制在企業(yè)環(huán)境中使用的系統(tǒng)，域或服務(wù)憑據(jù)的技術(shù)。攻擊者可能會嘗試從用戶或管理員帳戶（具有管理員訪問權(quán)限的本地系統(tǒng)管理員或域用戶）獲取合法憑據(jù)，以便在網(wǎng)絡(luò)中使用。憑據(jù)訪問：MimikatzPE-loader/GhostPack/SafetyKatz/Flangvik/BetterSafetyKatzAssembly-load憑據(jù)訪問：Mimikatz憑據(jù)訪問：Mimikatz憑據(jù)訪問：MimikatzLLVMYANSOllvm

樹內(nèi)模糊混淆ollvmMINGW憑據(jù)訪問：Mimikatz憑據(jù)訪問：Mimikatz憑據(jù)訪問：Mimikatz披露@TA0007披露是包括允許攻擊者獲得有關(guān)系統(tǒng)和內(nèi)部網(wǎng)絡(luò)的知識的技術(shù)。披露：瀏覽器密碼全稱DataProtectionApplicationProgrammingInterface作為Windows系統(tǒng)的一個數(shù)據(jù)保護接口被廣泛使用主要用于保護加密的數(shù)據(jù)，常見的應(yīng)用如：EFS文件加密存儲無線連接密碼WindowsCredentialManagerInternetExplorerOutlookSkypeWindows

CardSpaceWindowsVaultGoogle

ChromeDpapi采用的加密類型為對稱加密，所以只要找到了密鑰，就能解開物理存儲的加密信息了。披露：瀏覽器密碼披露：瀏覽器密碼/moonD4rk/HackBrowserData/DeEpinGh0st/Browser-cookie-steal/QAX-A-Team/BrowserGhost......披露：瀏覽器密碼Master

Key

file：二進制文件，可使用用戶登錄密碼對其解密，獲得Master

KeyMaster

Key

：用于解密DPAPI

blob，使用用戶登錄密碼、SID和16字節(jié)隨機數(shù)加密后保存在MasterKeyfile中Preferred文件：位于Master

Key

file的同級目錄，顯示當(dāng)前系統(tǒng)正在使用的MasterKey及其過期時間，默認90天有效期Win32

API

加密函數(shù)CryptProtectData

、解密函數(shù)

CryptUnprotectDataMimikatzsadump::secretssekurlsa::dpapiSharpDPAPI披露：瀏覽器密碼披露：360安全瀏覽器密碼/hayasec/360SafeBrowsergetpass披露：360安全瀏覽器密碼/hayasec/360SafeBrowsergetpass橫向移動（Lateral

Movement）包括使攻擊者能夠訪問和控制網(wǎng)絡(luò)和云上的遠程系統(tǒng)的技術(shù)，但不一定包括在遠程系統(tǒng)上執(zhí)行的工具。橫向移動技術(shù)允許攻擊者收集系統(tǒng)信息而無需額外的工具，如遠程訪問工具。橫向移動@TA0008橫向移動當(dāng)紅隊已經(jīng)通過某些途徑進入內(nèi)網(wǎng)以后，已經(jīng)通過一些方法獲取到內(nèi)網(wǎng)Windows服務(wù)器帳號密碼以后，通過這些賬與密碼去遠程控制更多目標(biāo)服務(wù)器的一種行為。mimikatz.exe""privilege::debug""""logsekurlsa::logonpasswordsfull""exit>>

hash.txtnetuse\\\C$

pass

/user:administrator搜集一切有用的信息445、1433、3389、6379、1099……Schtasks、Psexec、Impacket、IPC、reg、SC……橫向移動橫向移動：漏洞利用Zerologon，MS17010，CVE-2019-1040…lsadump::zerologon/target:DC01.XXX.COM/account:DC01$

/exploitlsadump::dcsync/domain:XXX.COM/dc:DC01.XXX.COM/user:krbtgt/all/csv/authuser:DC01$

/authdomain:XXX/authpassword:/authntlmsekurlsa::pth/user:administrator/domain:XXX/r