内网渗透初探

简介

内网渗透(intranet exploitation)是对目标服务器getshell后,通过一系列技术手段对其所处的内网环境进行渗透,最终获取内网其他主机的权限的过程,这些通常涉及以下技术:

  • 内网信息收集
  • 内网代理
  • 权限提升
  • 横向移动
  • ……

基本概念

工作组(work group)

分辨:在命令提示符界面执行systeminfo,回显结果的“域”信息为WORKGROUP

简单来说,就是将不同的计算机按照功能或部门分别置于不同的组,适用于网络中计算机不多、资产规模较小、对安全管理控制要求不严格的情况,这是一种松散的资源管理模式,任何人都可以在局域网中创建新的工作任务而无需管理员同意,换言之,处于同一工作组中的主机彼此间地位平等,不存在额外关联或管理关系,对于此类情况,在内网渗透时需要逐个渗透与控制

在局域网内,计算机默认都是按照工作组的方式进行资源管理的

域(domain)

分辨:在命令提示符界面执行systeminfo,回显结果的“域”信息为类似域名格式,由“.”连接的字符串

当组织中网络规模越来越大时,需要统一的管理和集中的身份验证,并能为用户提供更加方便地的网络资源搜索和使用方式时,就需要放弃工作组而使用域

域是一种比工作组更高级的的计算机资源管理模式,在域环境中,所有用户账户、用户组、计算机、打印机和其他安全主体都在一个或多个域控制器的中央数据库中注册;当域用户想访问域中的资源时,必须通过域控制器集中进行身份验证,通过身份验证的域用户在域中的身份决定了域用户对域中资源的访问权限

在域环境中,域管理员用户在域中具有最高访问权限和最高管理权限,在渗透过程中,获取域管理员相关权限往往可以控制整个域控

  • 单域

    指网络环境中只有一个域

    image-20240422105747792

  • 父域和子域

    某些情况下,需要在一个域中分出多个域,被划分的域称为父域,划分出来的域被称为子域,每个子域都拥有自己的安全策略,在有信任的情况下,父域可以访问子域

    从域名上看,子域是域名中的一个段,用“.”进行域名分割,一个“.”代表域名的一个层级

    image-20240422110502801

  • 域树

    域树是多个域通过建立信任关系组成的一个域集合

    在域树中,所有的域共享同一表结构和配置,所有域名形成一个连续的名字空间,该命名空间具有连续性,域名层次越深,级别越低

    image-20240422111951821

    在域树中,域管理员只能管理本域,不能访问或管理其他域,如果两个域之间要互相访问,就需要建立信任关系(trust relation)

  • 域林

    指由一个或多个没有形成连续名字空间的域树通过建立信任关系组成的域树集合,域林中所有域树共享同一个表结构、配置和全局目录

    image-20240422113539493
域控制器

域控制器(Domain Controller,DC)简称域控,是域环境核心的服务器计算机,用于在域中响应安全身份认证请求,负责允许或拒绝发出请求的主机访问域内资源,以及对用户进行身份验证、存储用户账户信息并执行域的安全策略等,域控包含一个活动目录数据库,其中存储着整个域的账户、密码、计算机等信息,而前面提到的身份验证便主要有以下步骤:

  • 该计算机是否属于本域
  • 登录账号是否存在
  • 密码是否正确

一个域环境可以拥有一台或多台域控制器,每台域控都各自存储了一份所在域的活动目录AD的可写副本,对AD的修改都可以从源域控同步复制到域、域树或域林的其他控制器上,这样即使其中一台域控瘫痪,另一台域控也可以继续工作,保证域环境正常运行

活动目录

活动目录(Active Directory,AD)是常见的实现域的方法,活动目录指安装在域控上,为整个环境提供集中式目录管理服务的组件

AD存储了有关域环境中各种对象的信息,比如域、用户、用户组、计算机、组织单位、共享资源、安全策略等,目录数据存储在域控的Ntsd.dit文件中

在AD中,一个域中的基本对象有以下几种:

  • DC,域控:存储网域所属的网域控制站
  • computer,域成员主机:加入网域的计算机对象
  • builtin,内置账户组群:规定了各类账户的权限
  • user,当前存在域中的用户:存储AD中的用户对象

活动目录主要提供了以下功能:

  • 计算机集中管理

    集中管理域内所有服务器及客户端计算机,统一下发组策略

  • 用户集中管理

    集中管理域用户、组织通讯录、用户组,对用户进行统一的身份认证、资源授权

  • 资源集中管理

    集中管理域中的打印机、文件共享服务等网络资源

  • 环境集中管理

    集中的配置域中计算机的工作环境,比如统一计算机桌面、统一网络连接配置、统一计算机安全配置等

  • 应用集中管理

    对域中计算机统一推送软件、安全补丁、防病毒系统、安装网络打印机等

常规安全域划分

即基于安全考量的域范围划分

  • 内网(安全级别最高):分为核心区(存储企业最重要的数据,只有很少的主机能够访问)和生产/办公区(员工日常工作区,一般能够访问DMZ,部分主机可以访问核心区)

  • DMZ(Demilitarized Zone,边界网络,隔离区,安全级别中等):作为内网中安全系统和非安全系统之间的缓冲区,用于对外提供服务,一般可以放置一些必须公开的服务器设施

  • 外网(Internet,安全级别最低)
    拥有DMZ的网络需要制定一些访问控制策略:

    内网可以访问外网
    内网可以访问DMZ
    外网不能访问内网
    外网可以访问DMZ
    DMZ不能访问内网
    DMZ不能访问外网

通常情况下,各类目标网络的安全级别是”外部网络 < DMZ区 < 核心区/生产区”,而在内网渗透过程中,目标即为尽可能地获取最高级别网络中域环境的控制权,从而实现对业务的完全控制

基于外部入侵生命周期的攻击流程设计

网络杀伤链

网络杀伤链(Cyber-Kill-Chain)由七个步骤组成:

  • 侦察:可以理解为信息收集获取攻击入口点
  • 武器化:根据漏洞或后门制作攻击武器,实现快速突破
  • 投递:将武器向目标投递,例如钓鱼邮件、web访问、USB外设等
  • 漏洞利用:当武器(恶意软件)触及到目标系统或终端时,会通过漏洞等方式,控制受害者的终端或业务系统服务器
  • 安装:恶意软件安装一个新的后门或新的木马程序,以提升入侵者的访问权限,能接触到更多系统
  • 命令与控制:通过前述各类攻击武器,攻击者可以进行命令控制操作,获得特权帐户的访问权限并尝试暴力攻击、搜索凭据并更改权限以接管控制权
  • 目标行动:当攻击者接触到既定攻击目标时,可以对其进行各种既定行动(如盗窃机密数据、破坏/加密数据进行勒索等)

基于此模型,可以实现对网络攻击分阶段防御,降低攻击伤害

但此模型存在不足:

  • 抽象程度较高,不同的攻方、守方针对 同一个攻击事件 ,也会给出不同的描述,缺乏统一的描述机制和原语支撑

  • 随着网络世界的复杂化,攻防不对称程度持续深化。针对同一个阶段,攻击方有无数种技术、方法可以使用,而防守方
    却无法清晰描述和知晓自身的安全防护能力的全景实况 ,难以持续提升攻防对抗能力

ATT&CK

ATT&CK(Common Knowledge base of Adversary Tactics and Techniques)是一个战术知识库,提供了一个复杂框架,很好的弥补了CKC的高层抽象、未知威胁(IOC)以及特征之间的落差,对攻击行为进行了分类和特征化,让攻击防御不局限于琐碎的观察点

该战术库进行了一定程度的分类和抽象,具备了一定的防御IOC的能力,从框架上可以看出其非常详细:

6b2c75d55db34087a142232d6ad8d36f

NTCTF

NTCTF(Technical Cyber Threat Framework)是一个基于ATT&CK重新构造的网络威胁入侵过程模型

该模型通过4个层次构建:

  • 阶段
  • 目标
  • 行为
  • 关键短语

并把入侵过程分为六个阶段:

  • 行动管理
  • 准备活动
  • 接触目标和进攻突防
  • 持久化驻留潜伏
  • 效果
  • 持续支撑作业

每个阶段都由目标、行为和关键短语来提供支撑,而其中行为的核心支撑点就来自ATT&CK战术知识库

入侵生命周期

入侵生命周期把入侵过程分为了7个阶段:

  • 探索发现

    在这个阶段中,攻击者会先锁定攻击对象,然后利用某些技术手段,尽可能多地获取目标暴露出来的信息,如通过端口扫描、指纹探测等方式,发现敏感端口及版本信息,进而寻找攻击点,为下一步入侵做准备

  • 入侵和感染

    在这个阶段,入侵者会根据“探索发现”阶段所发现的重要信息,来对目标暴露出的攻击面进行攻击尝试,在“探索发现”阶段收集到的信息越多,攻击对象所暴露的攻击面也就越多,攻击更易成功

  • 探索感知

    入侵者在成功进入系统内部后,由于是首次进入所以会出现对内部环境不熟悉的情况,这时入侵者的动作一般会是对当前所处环境进行探索,摸清内部大致的网络结构,常常伴随着被入侵本机的敏感信息收集以及对内网大量的端口进行扫描,后续根据入侵者的目的进行下一步操作

  • 传播

    在此阶段,入侵者根据上一阶段在内网探索感知收集到的信息,选择特定的攻击手法。如若发现内部是域环境,入侵者可能会尝试先攻破域控服务器,再传播其他机器。若是工作组环境,可能会利用收集到的端口和服务信息,选择特定漏洞进行批量扫描攻击,来尽可能多地继续获得其他计算机的控制权

  • 持久化

    入侵者在对资产进行恶意操作后,为了能够减少再次连接的攻击成本,方便下次进入,会进行“留后门”的操作,常见的后门如:建立计划任务,定时连接远程服务器;设置开机启动程序,在每次开机时触发执行特定恶意程序;新建系统管理员账号等。这样便于入侵者下次快速登录并控制该系统

  • 攻击和利用

    攻击者在此阶段便会开始对目标资产进行恶意操作,按照入侵者意愿,对能利用的数据进行窃取、利用;对操作系统、敏感文件进行破坏、删除。所有的防御手段都应该极力阻止入侵者进行到这一阶段

  • 恢复

    入侵者在执行所有的攻击操作时,往往会在系统上留下大量的行为日志,因此在这一阶段,入侵者会对记录自身痕迹的所有日志进行处理,或删除或混淆,从而消灭证据,逃避追踪

入侵生命周期同样以ATT&CK为基本战术知识库;并非所有的入侵都会经历上述7个阶段,各阶段也没有绝对的次序

参考文献/网页:

[1]https://www.lockheedmartin.com

[2]https://attack.mitre.org/

[3]https://zhuanlan.zhihu.com/p/264426122

[4]书籍《内网渗透体系建设》