诸子笔会2022 | 肖文棣:护网行动中的红队战术
自2022年5月起,“诸子笔会第二季”正式拉开帷幕。经过对首届活动复盘,我们在坚持大原则、大框架、主体规则基础上,优化赛制特别是奖项设置和评奖方式。13位专家作者组成首批“笔友”,自拟每月主题,在诸子云知识星球做主题相关每日打卡,完成每月一篇原创。除了共同赢取10万元高额奖金,我们更要聚焦甲方关注,发掘最佳实践,弘扬分享精神,实现名利双收。本期发文,即诸子笔会月度主题来稿之一。
护网行动中的红队战术
文 | 肖文棣
肖文棣
晨星资讯安全架构师
晨星资讯安全架构师,负责应用安全设计、管理和评审等工作,OWASP中国广东分会负责人,华中科技大学软件工程专业工程硕士学位。
标准红队定义是一种全范围的多层攻击模拟,旨在衡量公司的人员和网络、应用程序和物理安全控制,用以抵御现实对手的攻击。
护网中的红队不是无所不用其极,是要在指挥部备案并且限制攻击行为的。
红队模拟的是网上的黑客角色,攻击套路和方法基本固定,现在比较流行是参考ATT&CK的攻击模型,攻击过程也基本如下图。
但是在具体攻击上,红队也有一些新的攻击策略。现在最流行攻击战术有两种:网络钓鱼与供应链攻击。
网络好奇是人类的本能,所以网络钓鱼等社交工程对于人类来说还是非常有效的。如同现在的电信诈骗,就是社交工程的一种。根据统计,网络钓鱼是最简单有效并且性价比较高的攻击手段。
网络钓鱼很多种类分成很多
电子邮件钓鱼又名欺骗性网络钓鱼,是最常见的网络钓鱼攻击之一。攻击者通常以知名企业或品牌的名义向潜在受害者发送电子邮件。
这些邮件通常附有危险链接,受害者点击链接后,会被诱骗填写登录信息或将恶意软件安装到受害者计算机上的网站。这些网站常常看起来很专业,与其所冒充企业的实际品牌和外观效果几乎一样,这些邮件内容也往往给人以真实感和紧迫感,促使受害者来不及细想就仓促行动。受害者一旦中招,攻击者就获得权限进行下一步攻击。
鱼叉式网络钓鱼的特征是攻击者不会海量地向外发布钓鱼邮件,而是在钓鱼前会通过OSINT(开源情报)或其他违法途径收集受害者的信息,然后有针对性地向某一企业内指定的具体对象发送恶意邮件。
因此,鱼叉式网络钓鱼的电子邮件往往更加“定制化”,攻击者使用全名、办公电话号码、甚至工作职能来欺骗受害者,诱骗受害者以为发件人与自己是同行。
护网行动中,红队会经常冒充自己是公司人员进行钓鱼。
攻击者会利用受害者的电话号码直接与其沟通,攻击者通常会冒充政府部门、银行等合法机构的工作人员,通过播放自动语音消息或直接语音要求受害者采取行动(登录恶意系统、回复验证码等)的方式,诱骗受害者泄露敏感信息,而且这些攻击者往往会瞄准时机,在企业内部最忙、员工压力最大的时候拨打电话,受害者在高度的紧迫感下常常仓促行事,受到欺骗。
配合上AI进行语音模拟甚至图像模拟,会增加成的概率。
短信网络钓鱼与语音电话钓鱼类似,但它是通过短信而非电话。与电子邮件网络钓鱼一样,攻击者会从看似明显合法的来源发送文字消息和链接,受害者点击后,其移动设备可能就会被恶意软件感染。其内容主题也以商品折扣、银行信息通知等为主,这是攻击者诱骗人们点击恶意链接常见伎俩。
护网行动中红队也会使用发恶意短信进行攻击。
采用鲸钓式钓鱼的攻击者也会利用OSINT来获取信息并对企业组织管理层发起欺骗式攻击,因此它有时又被称作CEO欺诈。
攻击者首先会利用OSINT或社交媒体、网站等来获取目标企业的CEO身份信息,随后使用与实际CEO邮箱地址相似的地址向该企业的员工发送邮件,邮件内容通常是骗取钱财或让诱导受害者点击链接。
与鱼叉式钓鱼攻击相仿,网络犯罪分子在对受害者实施诡计之前会先对目标企业内部的某个员工进行摸底,从而确保发送的邮件可以以假乱真。
护网行动中会冒充企业高管进行攻击。
域欺骗实际上很难被发现,因为它比其他大多数网络钓鱼攻击更具技术含量。犯罪分子先劫持DNS域名服务器(将URL转换成IP地址的服务器)。受害者输入网站地址后,DNS服务器会将其重定向到恶意网站IP地址。
护网行动中会考虑劫持对方的合法域名进行攻击。
垂钓网络钓鱼采用与短信网络钓鱼同样的手法,不过针对的是社交媒体平台。
这种网络钓鱼通过使用私信、通知及其他社交媒体平台的功能,诱使受害者在这些真实使用的平台上采取某种有害操作。这也是为什么很多需要管理海量设备的大型企业,需要建立企业级联络中心解决方案的原因。
护网行动中会使用美人计进行攻击。
恶意孪生攻击是创建一个看似真实的Wi-Fi热点,攻击者甚至会使用与真实网络相同的设置服务标识符(SSID)。当用户连接时,攻击者可以窃听他们的网络流量并窃取他们的账户名、密码,并查看用户在连接到受感染的热点时访问的任何附件。此类攻击也被称为星巴克骗局,因为它经常发生在咖啡店。
早期护网行动红队会渗透进入企业内部进行类似攻击。
克隆网络钓鱼会通过利用受害者以前使用过的网站服务来实施攻击。这些攻击者很狡猾,会事先调研哪些应用网站通常需要链接,然后,他们会伪装成目标业务应用网站,并向受害者发送看似来自正规服务的针对性邮件,欺骗习惯使用这些应用网站的用户。
这个要配合域欺骗进行攻击。
自从SolarWin的供应链攻击之后,供应链攻击慢慢走入我们的视野,在护网行动中,这也是红军最喜欢突破的点。比如某知名VPN的漏洞导致防守突破,还有红军攻破某大型企业的某供应商,进行代码渗透和检视,发现零日漏洞然后突破防守。
供应链攻击的突防能力强、隐蔽性强、攻击面广泛、攻击成本低、检测相对困难,使其成为网络攻击更好的致效入口,因此越来越多的威胁行为体在供应链侧的活动不断增长,获得攻击优势、构筑攻击跳板、窃取技术成果等目的混合交织。
供应链攻击包括很多,除了软件供应链攻击外,还有硬件供应链攻击和固件供应链攻击。
软件供应链攻击只需要一个受损的应用或软件就可以在整个供应链中传播恶意软件。攻击通常会针对应用的源代码,将恶意程序注入到受信任的应用或软件系统中。
攻击者通常会将软件或应用更新作为切入点。软件供应链攻击的问题在于很难追踪,网络犯罪分子经常用被盗的证书对代码进行“签名”,使其看起来合法。
现在护网行动中,红队经常会攻击供应商,然后通过供应商间接攻击目标企业。
硬件攻击依赖于物理设备,就像我们前面提到的 USB 键盘记录器一样。攻击者将目标锁定在一个贯穿整个供应链的设备,以最大限度地扩大其覆盖范围和破坏力。
这个比较少见,但相信未来会是一个攻击点。
恶意软件插入电脑的引导代码只需一秒钟即可展开进行攻击。一旦电脑启动,恶意软件就会被执行,从而危及整个系统。固件攻击很快,如果您不去寻找,往往检测不到,而且破坏性非常大。
这个应该需要国家级的能力才可能成功,类似伊朗的震网病毒。
未来红队将持续使用人性的弱点进行攻击,所以社交工程类似的攻击会非常流行。但是蓝队现在也有反制措施,会使用类似蜜罐进行溯源,所以红队需要更小心地隐藏自己,或者可以考虑故意伪造假情报让蓝队溯源,同时可以考虑在蓝队溯源的时候触发真正的攻击。以后的红蓝对抗会变得虚虚实实,中国的兵法会大行其道。
另外,现在的供应链攻击集中在软件侧,未来硬件的供应链攻击甚至固件的供应链攻击也是一个方向,也是未来进一步攻击的重点。
【8月主题:红与蓝】
刘志诚 张永宏 王忠惠 孙琦
【7月主题:误区与陷阱】
刘志诚 张永宏 孙瑜 王忠惠 肖文棣
朱文义 杨文斌 孙琦 陈圣 回顾
【6月主题:远程办公与安全】
王忠惠 于闽东 刘志诚 孙琦 朱文义
张增斌 肖文棣 杨文斌 张永宏 孙瑜 陈圣 回顾
【5月主题:安全之变】
王忠惠 张永宏 朱文义 于闽东 刘志诚 杨文斌
孙琦 孙瑜 半藏咸鱼 肖文棣 王振东 陈圣 回顾
2021首届诸子笔会
齐心抗疫 与你同在