攻防演練場景下的加密流量概況

發(fā)布時間 2022-05-24

概述

近年來,攻防演練持續(xù)開展,對抗烈度逐漸增強,攻防演練場景下的產(chǎn)生的加密流量也逐年增多。本文針對攻防演練場景下的加密流量進行大致梳理。

攻防演練場景下的加密流量分類

攻防演練場景中,攻擊者一般會經(jīng)歷初始信息搜集、初始打點、橫向移動、命中靶標等幾個階段。在幾個階段中,均會產(chǎn)生不同的加密流量根據(jù)加密流量的流向,我們將攻防演練場景下的加密威脅劃分為出聯(lián),ru聯(lián)和橫向三類。出聯(lián)威脅是指資產(chǎn)受控后主動向外部互聯(lián)網(wǎng)C2與攻擊者進行加密通信的流量;ru聯(lián)威脅是指攻擊者主動發(fā)起針對資產(chǎn)的探測、攻擊所產(chǎn)生的加密流量,或者是攻擊者向已預置后門的服務(如各類Webshell)主動發(fā)起連接的流量;橫向威脅是指攻擊者在橫向移動階段產(chǎn)生的資產(chǎn)與資產(chǎn)間的加密流量。

信息搜集:

對主機和系統(tǒng)信息的收集,主要是為了建立攻擊面而進行的活動。常見的通過互聯(lián)網(wǎng)搜索引擎對域名和資產(chǎn)進行調(diào)查外。還會通過主動探測來收集開放的系統(tǒng)服務和API接口信息,其中會產(chǎn)生ru聯(lián)流量,例如針對HTTPS服務進行探測的流量。

初始打點:

建立攻擊據(jù)點,該部分的工作主要執(zhí)行攻擊。通過對員工的社工釣魚,以及對暴露資產(chǎn)的暴力破解、漏洞利用等方式攻陷某一臺主機。其中將產(chǎn)生多種加密流量,例如SMTPS釣魚郵件投遞屬于ru聯(lián)威脅,釣魚郵件中木馬或鏈接被點擊運行后的流量屬于出聯(lián)威脅。另一部分,針對資產(chǎn)的SSH、RDP暴力破解產(chǎn)生的加密流量、針對HTTPS站點漏洞利用等產(chǎn)生的流量屬于ru聯(lián)威脅加密流量。

橫向移動:

在建立初始據(jù)點后,大多數(shù)的情況初始據(jù)點權(quán)限不夠或不是最終靶標,此時攻擊者需要進行橫向移動持續(xù)獲取權(quán)限。這個過程會產(chǎn)生各種類型的加密流量:首先是橫向移動技術(shù)本身涉及的信息搜集、滲透突破過程涉及SSH、RDP掃描暴破、漏洞利用等加密流量;其次,在橫向移動的過程中,攻擊者不可避免的要維持一條或多條出聯(lián)通道,這類通道可能通過加密反彈木馬、部署Webshell提供,也可以通過加密反彈Shell、加密代理轉(zhuǎn)發(fā)等實現(xiàn)。

命中靶標:

這一部分主要是拿下目標機器權(quán)限并成功獲取數(shù)據(jù),主要涉及數(shù)據(jù)回傳,屬于出聯(lián)的流量,包括木馬回聯(lián)和代理的轉(zhuǎn)發(fā)到外網(wǎng)等會產(chǎn)生加密流量。

類別

攻擊階段

ru聯(lián)

信息收集、初始打點

橫向

橫向移動

出聯(lián)

初始打點

橫向移動

命中靶標

攻防演練場景下的加密流量來源梳理

攻擊流量的產(chǎn)生離不開攻擊工具,攻擊工具的來源決定了攻擊的質(zhì)量。從攻擊的烈度來看,低烈度的攻擊一般會采用已有的工具,比如常見的Hydra、Medusa、漏洞掃描器等,這些工具直接拿來使用,幾乎不用配置;中等烈度的則會通過配置策略和魔改的方式對工具進行調(diào)整,繞過流量檢測,如我們常見的Cobalt Strike通過Profile文件可以配置證書和請求頭等信息,各種Webshell參數(shù)支持深度定制等,這些修改都是為了達到流量繞過檢測的目的;高烈度的攻擊一般由紅隊自研,比如自研漏洞、自研反彈木馬、Webshell等。這類非公開工具的檢測難度更高,攻擊者為了避免暴露,在非必要情況下也不會輕易使用此類工具。從近幾年攻防演練看,使用原始工具、木馬的情況越來越少,攻擊者大部分轉(zhuǎn)向?qū)υ脊ぞ哌M行魔改,甚至自研工具、木馬進行攻擊。

以下是簡要列舉在攻防演練場景中常見的工具,以及這些工具產(chǎn)生的流量類型和類別。

類別

攻擊類型

典型攻擊工具

ru聯(lián)

RDP暴力破解

Shack2、Hydra、FastRDP、BuBrute……

SSH暴力破解

Hydra、Medusa、Fscan、railgun、parator……

HTTPS的Web漏洞利用

Burpsuite、xray、awvs、arachni、golistmero、IBMSCAN、nessus、nikto、owasp_zap、skipfish、Vega、w3af、acunetix、fscan、Immunity_Canva、wmap、railgun、K8、appscan、metasploit……

Webshell

冰蝎、哥斯拉、蟻劍、天蝎、菜刀……

橫向

RDP暴力破解

Shack2、Hydra、FastRDP……

SSH暴力破解

Hydra、Medusa……

HTTPS的Web漏洞利用

Burpsuite、xray、awvs、arachni、golistmero、IBMSCAN、nessus、nikto、owasp_zap、skipfish、Vega、w3af、acunetix、fscan、Immunity_Canva、wmap、railgun、K8、appscan、metasploit……

出聯(lián)

加密端口轉(zhuǎn)發(fā)

netsh、ew、iox……

加密代理工具

frp、nps、neo-regeorg……

加密反彈shell

nc、bash等(openssl反彈)……

加密木馬回聯(lián)

Cobalt Strike、CrossC2、Metasploit、empire、emp3r0r……

加密隱蔽隧道

網(wǎng)絡層:ICMP隧道IcmpTunnel、pingtunnel……

傳輸層:TCP/UDP/SCTP加密傳輸隧道……;

應用層:HTTP隧道reGeorg……;

DNS 隧道dns2cat、iodine……

加密C2對抗

CDN+HTTPS、域前置,云函數(shù)……

攻防演練場景下的加密流量舉例

上文對攻防演練場景下的加密流量概況、工具概況進行了介紹,下面針對這些流量,選擇幾個有代表性的進行舉例。

RDP暴力破解,對遠程桌面進行登錄口令的破解,一般使用3389端口。

1.png

圖1 RDP暴力破解截圖

SSH暴力破解,對SSH遠程進行登陸口令的破解,一般使用22端口。

2.png

圖2 SSH暴力破解截圖

WEB漏洞掃描,目前大多數(shù)的站點已經(jīng)啟用了HTTPS的安全協(xié)議,所以我們在進行web滲透的時候中間流量只能看到加密的流量,無法看到執(zhí)行了什么POC和探測請求。一般標準的HTTPS協(xié)議開放443端口。

3.png

圖3 web漏洞掃描截圖

端口轉(zhuǎn)發(fā),由于防火墻的策略設備,導致很多端口被封,那么這個時候就需要合理利用開放的端口將數(shù)據(jù)轉(zhuǎn)發(fā)出去,本地端口的復用。如下圖的188通過53端口轉(zhuǎn)發(fā)187的3389端口流量給79。

4.png

圖4 端口轉(zhuǎn)發(fā)截圖

加密轉(zhuǎn)發(fā),neo-regeorg加密代理HTTPS流量。

5.png

圖5 neo-regeorg代理流量

反彈shell,通過openssl可以加密反彈shell執(zhí)行命令。

6.png

圖6 反彈shell流量

C2回聯(lián),這個在攻防中主要是一些可自動生成木馬的平臺工具,比如Cobalstrike,而且它們通常支持多種上線方式,下圖為Cobalt Strike通過HTTPS協(xié)議上線的流量截圖。

7.png

圖7 C2上線

隱蔽隧道,通過DNS協(xié)議、HTTP協(xié)議、ICMP協(xié)議等,下圖為DNS隧道示例。

8.png

圖8 DNS隱蔽隧道

CDN隱藏,通過配置CDN,使得C2地址隱藏,產(chǎn)生的流量直接走CDN地址。

9.png

圖9 CDN隱藏流量