据security affairs网站披露,2020年6月至2021年1月之间,马萨诸塞州健康医疗中心(UMass Memorial Health)的员工电子邮件系统遭受黑客入侵,数千名患者的个人信息存在泄露风险。

据security affairs网站披露,2020年6月至2021年1月之间,马萨诸塞州健康医疗中心(UMass Memorial Health)的员工电子邮件系统遭受黑客入侵,数千名患者的个人信息存在泄露风险。

美国前总统特朗普总是麻烦不断,近期他又有了一件烦心事儿。

据security affair 报道,知名珠宝商Graff遭受Conti勒索软件团伙攻击,要求其支付数百万的赎金,不然Contni就会泄露Graff的客户信息。

“名人”信息泄露

包括美国前总统唐纳德·特朗普、足球巨星大卫·贝克、影视演员汉姆、汤姆·汉克斯、塞缪尔·杰克逊、

美国前总统特朗普总是麻烦不断,近期他又有了一件烦心事儿。

据security affair 报道,知名珠宝商Graff遭受Conti勒索软件团伙攻击,要求其支付数百万的赎金,不然Contni就会泄露Graff的客户信息。

“名人”信息泄露

包括美国前总统唐纳德·特朗普、足球巨星大卫·贝克、影视演员汉姆、汤姆·汉克斯、塞缪尔·杰克逊、

在执行安全评估(例如渗透测试、Red Teaming等)后,我习惯于向客户的高级管理层汇报已完成的工作。

这为讨论诸如使用的攻击策略、技术和程序(TTPs)、使用的攻击向量、发现、建议、补救措施等内容创造了机会。

很多时候,领导团队都会对我最初在网络上立足的一些方式或我使用的一些策略感到无比惊讶。

对于他们中的大多数人来说,他们期待着像《碟中谍》中汤姆·克鲁斯那种风格的黑客攻击、绕过防火墙等等,结果却发现我毫不费力地就破坏了他们的网络。

因此,我通常会花时间向我的客户阐明现代攻击通常是如何进行的,以及像一个脆弱的用户凭据这样简单的小漏洞如何能够颠覆整个网络防御。

事实是,网络攻击强调更多的是效率而不是精致。因此,攻击者不会寻找最难的突围闯入方法。他们通常会寻找最简单的进入方式。

我们通常将这种方法称为阻力最小的路径,其中一条路径就是登录凭据。只需一组用户凭据,您的整个网络可能会落入敌人的手中。

任务

早在2018年,一家大型医疗保健组织就与我们签约,对其外部网络基础设施进行外部渗透测试。对于从测试的范围,该组织向我们提供了他们的域名和IP地址范围。当然,目标是从互联网上识别危害组织的攻击向量。

外部渗透测试清单

侦察

在其他渗透测试技术中,我无需提及或重复侦察在每次网络攻击或网络渗透测试中的重要性。网络杀伤链的这个阶段是您被动或主动收集有关目标的情报的地方。

我通常利用这个机会使用开源情报(OSINT)工具和平台进行大量被动情报收集,以制定外部渗透测试计划。在这个阶段,我几乎不使用扫描工具来攻击目标网络,因为我可以获得制定攻击策略所需要的几乎所有信息。

那么,在这个阶段我通常在寻找什么?好吧,在可以从OSINT中发现的大量信息中,我通常会重点关注的关键内容包括:

· 子域

· 登录门户(Citrix、OWA、VPN、SharePoint等)

· 技术类型(IIS等)

· 电子邮件地址

· 用户名(很多)

外部渗透测试工具

使用诸如Google(Google.com)、Shodan(Shodan.io)、Censys(Censys.io)、connect.data.com、Ferge、Recon ng、SimpleMail、The Harvester、SpiderFoot(SpiderFoot.net)、Email Hunter(Hunter.io)、VirusTotal(VirusTotal.com)、FOCA、Maltego和Pastebin(Pastebin.com)等工具、网站和平台,我能够收集到大量关于我的客户的信息,例如子域、电子邮件地址、用户名、主机、网络服务、开放端口、先前违规行为泄露的凭据、登录门户等。

为了在写这篇文章的同时对我的客户的姓名进行保密,我使用了一个示例域和电子邮件搜索器来演示我获取目标客户的用户名格式和电子邮件地址(然后提取用户名)的多种方法之一。

目标发展

我在侦察阶段花费了大量时间并收集了大量信息,随后我浏览了收集到的大量数据,并战略性地绘制出我的攻击面和我将使用的攻击技术。

在浏览这些数据时,我对通常向组织的LDAP或AD环境进行身份验证的应用程序和网络服务非常感兴趣。

这可能是SMB、OWA、Autodiscover、VPN、Citrix、Jenkins、SharePoint、定制应用程序等。一旦我发现了这样的服务以及要攻击的服务,我就会组织我在侦察中发现的所有电子邮件地址和用户名。

我确保已删除了重复的电子邮件地址、用户名,还交叉检查了外部用户名和内部域用户名的格式是否相同,或者是否存在差异。

在此阶段结束时,我发现了客户端的外部OWA和Citrix应用程序等,并且还获得了近1,000个唯一用户名。从这里开始,我已准备好进入我的杀伤链的下一阶段。

入侵

对于大多数攻击,这一阶段对手会开始试图获得初始立足点。在这个阶段,很多事情都是迭代的,因为这个阶段使用的TTP会根据从侦察和目标开发阶段收集的信息而变化。

在外部渗透测试期间,效率是关键,并且在大多数情况下,保持最简是您的最佳途径。在渗透测试的早期,通常需要发现漏洞并对它们进行利用。

然而,随着对手的TTP不断进化,我们也必须不断发展。话虽如此,一种基本但有效的攻击技术是基于身份验证的攻击,也称为密码暴力破解。

在典型的密码暴力破解攻击中,您有一个用户名,您尝试针对该用户名尝试多个可能的密码,希望该用户使用的是您列表中的密码之一。

管理员变得更聪明,并开始实施帐户锁定策略,因此,在登录尝试达到一定阈值后(例如五次尝试后),帐户将被锁定。为了对抗这种控制,出现了一种新的基于身份验证的攻击,称为密码喷射(有人称之为水平攻击、反向暴力破解等)。

通过这种攻击,攻击者会收集多个用户名或电子邮件地址(取决于被攻击的应用程序或网络服务的类型),然后针对所有用户名或电子邮件地址尝试使用一个密码,以识别可能使用此类密码的用户之一。

这种黑客技术在现实世界中的攻击和我的大多数渗透测试活动中都有很高的成功率,并且这种情况将继续存在。有多种工具可以执行这种攻击,但是,对于基于应用程序的密码喷射攻击,我首选的工具是Burp Suite。

Burp Suite为我提供了足够的空间来自定义我的密码喷射,例如线程、节流、字符串grepping等。在为这次攻击选择密码时,我通常尝试季节+年份(例如Summer2018、Winter19等)、公司名称+数字(例如Company123、Company2003等)、先前公司违规行为、地点、运动队等的想法。老实说,为密码喷射攻击选择密码没有所谓的正确或错误方法。

在针对客户端的Citrix Web应用程序设置和配置Web渗透测试工具Burp Suite中的所有内容后,我开始缓慢而稳定地发起攻击。我的第一轮喷雾给了我两个有效的用户凭据,密码为Winter2017。

使用发现的两个用户帐户,我能够以这些用户的身份向客户端的Citrix应用程序进行身份验证。然而,令我沮丧的是,没有一个用户在他们的Citrix应用程序目录中拥有应用程序。

由于我已经拥有两个有效凭据,因此我使用了Black Hills的MailSniper工具并转储了客户端的OWA全局地址列表(GAL)。这为我的下一轮密码喷射攻击提供了额外的用户名。

这一次,我尝试对客户的OWA进行喷射攻击,使用密码Companyname123(我使用了实际客户的名称并在其后附加了数字123)。这给我带来了两个额外的有效凭据。

这一次,其中一位用户在其Citrix应用程序目录中有一个内部SAP应用程序,并且该SAP应用程序将使用Internet Explorer打开。

外部渗透测试中的横向移动

在横向移动阶段,无论是从应用程序级别还是网络级别,攻击者或渗透测试人员都已经获得了对目标的某种级别的访问权限,包括有限访问权限或完全访问权限。

从这一点来看,未来的目标是找到在目标网络内移动的方法,同时规避内部网络安全控制。

我们(对手/渗透性测试者)使用获得的访问权限来收集额外的信息,以便在目标的内部网络中移动。

基本上,我们回到了侦察阶段,这可以是基于主机的情报收集和/或基于网络的情报收集。同样,此阶段使用的技术可能因许多因素而异。

Citrix突破

此时,我已经获得了应用程序级别的访问权限,我的下一个目标是获得网络级别的访问权限。由于我有突破Citrix环境的经验,因此到了进入网络级别的时机了。

如果您有兴趣阅读有关Citrix突破的更多信息,NetSPI的同事们有一个很棒的博客(有关博客链接,请参阅On The Web部分)。为了执行Citrix突围攻击,我使用Internet Explorer打开了受害者的SAP帐户并尝试保存网页的源代码。

然后使用“文件”菜单中的“另存为”选项,我导航到了C:\Windows\System32\目录并调用Windows CMD 实用程序(cmd.exe)。

此弹出窗口打开了CMD,让我可以访问后端Citrix服务器

通过访问后端Citrix服务器,我启动了一个PowerShell Empire listener,生成了一个PowerShell启动器,在Citrix服务器上执行它,并从Citrix服务器回调到我的 Empire listener。

Kerberoasting

“关于Kerberoasting的评论和文章还不够多,所以我不会在这里详述它的解释。我将直接讨论接下来发生的事情。大多数情况下,Citrix服务器被认为是具有高价值的系统,因此只有有限数量的用户在服务器上拥有管理权限。

话虽如此,我仍以非特权用户身份访问Citrix服务器的用户帐户。但是,任何域用户帐户均可用于请求服务主体名称(SPN),这是Kerberos身份验证使用的一种Windows特性,用于将服务实例与服务登录帐户关联起来;例如,运行IIS的服务帐户的SPN。

可以使用Windows的内置实用程序setspn.exe在本地查询服务帐户的AD,也可以使用Empire、Impackets、Metasploit等工具远程完成。

我使用我的Empire会话,转储了SPN并开始使用Hashcat破解密码哈希。破解密码的命令示例如下:

hashcat -m 13100 -a 0 spn.outputpassword.list -r best64.rule -o kerb.cracked

在查看SPN查询输出时,我注意到一些帐户属于Administrators组,而Hashcat碰巧破解了一个此类帐户(IIS_Admin)的密码哈希。

凭证滥用/重用

在这次外部渗透测试收集的初始信息中,我获得了一些关于内部网络的重要情报,例如域管理员、企业管理员、域控制器等的列表。

因此,为了有效地使用新获得的凭据来破坏域,我需要确定域管理员或企业管理员已登录会话或之前已登录的系统。

可以使用诸如netview.py、Invoke-EventHunter之类的工具来实现该目标。在我确定了域管理员和企业管理员进行会话的几个系统之后,我使用IIS_Admin帐户和破解的密码启动了针对这些系统的CrackMapExec。

我确定了几个系统,其中IIS_Admin帐户具有管理权限,并使用CrackMapExec中的Mimikatz模块从这些框中提取凭据。

在提取的凭据中,有一个属于域管理员!我需要做的最后一件事是根据域控制器确认新域管理员凭据的有效性,并转储NTDS数据库以进行离线密码破解和分析。

数据搜索和渗透

对手的主要目标之一是访问或提取敏感/关键数据,我们粗略地将之称为目标的“crown jewels”。它们可能是:

· 用户凭据

· 秘方

· 蓝图

· 客户资料

· 个人身份信息(PII)

· 病历

· 财务数据

· 知识产权

渗漏阶段是将数据从目标的网络环境移动到攻击者控制的系统(例如C2服务器)的阶段。这通常是数据搜寻活动的一部分。

在过去,渗透测试只是为了获得域管理员(DA)级别的访问权限,这样的日子已经一去不复返了。

现在,外部渗透测试需要证明,如果您的测试和攻击由真实世界的对手执行,您的客户可能会遭受业务风险和影响。话虽如此,这是我们测试的关键阶段之一。

作为渗透测试人员,在将数据移出客户环境之前,可能有必要与您的客户确认参与规则(RoE)是否要求数据渗漏。

如果允许,我会仔细分析要泄露的数据类型,以向客户展示业务风险和影响。根据环境和受到攻击的系统,不同的渗漏技术可用于不同的情况。

最后的话——外部渗透测试

正如您在这篇文章中可能已经注意到的那样,我没有在此测试中运行单个漏洞扫描。为什么要提这个?有几次我看到一些渗透测试报告或工作声称是外部渗透测试,但实际上,它们是漏洞评估。

关于渗透测试和漏洞评估之间差异的争论已经持续了很长时间,在这里我只是想分享我执行外部渗透测试的众多方法之一,由于我不是专家,所以我将不再讨论它。

在研究网络钓鱼攻击时,我们发现了一个攻击活动使用了大量新创建的独特子域——单次运行超过 30万个。

最近在安全调查时,我们发现了支持该活动的一项操作——一个名为BulletProofLink的大规模“钓鱼即服务”(phishing as a-service)操作模式,该模式以相对较低的成本销售钓鱼工具、电子邮件模板、主机和自动化服务。

通过模仿100多个知名品牌和服务的可用网络钓鱼模板,BulletProofLink操作对当今影响企业的许多网络钓鱼活动负有责任。BulletProofLink(运营商在各种网站、广告和其他宣传材料中也称其为BulletProftLink或Anthrax)被多个攻击群体以一次性或每月订阅的商业模式使用,这也为其运营商创造稳定的收入来源。

我们会在本文中揭露攻击者购买网络钓鱼活动并大规模部署网络钓鱼活动是多么容易,另外我们还演示了“钓鱼即服务”操作如何推动“双重盗窃(double theft)”等钓鱼技术的扩散,这种方法将窃取的证书发送给“钓鱼即服务”运营商及其客户,从而实现盈利。

对“网络钓鱼即服务”操作、基础设施及其演变的深入了解,有助于防范网络钓鱼活动。

网络钓鱼工具包和网络钓鱼即服务 (PhaaS)介绍

由于网络钓鱼攻击的设计和传播方式有所改进,基于电子邮件的持续攻击从未间断过。现代的网络钓鱼攻击通常是通过大量的电子邮件和虚假的登录模板、代码和其他资产进行的。虽然攻击者曾经需要单独建立钓鱼电子邮件和伪造网站,但钓鱼行业已经发展出了自己的配套攻击模式,这使得钓鱼攻击的成本越来越低:

网络钓鱼工具包:指的是从网络钓鱼工具包卖家和经销商处一次性销售的工具包。这些都是打包文件,通常是 ZIP 文件,附带了可随时使用的电子邮件钓鱼模板,这些模板旨在逃避检测,并且通常附带访问它们的门户。网络钓鱼工具包允许客户建立网站并购买域名,钓鱼网站模板或套件的替代方案还包括电子邮件本身的模板,客户可以自定义并配置以便发送。已知网络钓鱼工具包的一个示例是 MIRCBOOT 网络钓鱼工具包。

网络钓鱼即服务:与勒索软件即服务 (RaaS) 类似,网络钓鱼即服务遵循软件即服务模型,该模型要求攻击者向运营商支付全部开发和通过虚假登录页面开发、网站托管以及凭据解析和重新传播部署大部分或完整的网络钓鱼活动。 BulletProofLink 是网络钓鱼即服务 (PhaaS) 操作的一个示例。

1.png

网络钓鱼工具包和网络钓鱼即服务之间的功能比较

值得注意的是,一些 PhaaS 团队可能会提供从模板创建、托管和整体编排的全部业务模块,使其成为吸引客户的商业模式。许多网络钓鱼服务提供商提供托管诈骗页面解决方案,他们称之为“FUD”链接或“完全未检测到”链接,这些运营商使用的营销术语试图确保这些链接在用户点击之前仍然有效。这些网络钓鱼服务提供商托管链接和页面,支付这些服务费用的攻击者稍后会收到窃取的凭据。与某些勒索软件操作不同,攻击者无法直接访问设备,而只是接收未经测试的被盗凭据。

BulletProofLink服务故障

为了详细了解PhaaS的工作原理,我们深入研究了BulletProofLink运营商提供的模板、服务和定价结构。BulletProofLink PhaaS组织自2018年以来就一直活跃,并自豪地为每个“专用垃圾邮件发送者”提供独特的服务。

2.png

BulletProofLink的“关于我们”页面为潜在客户提供了他们的服务介绍

这些经营者以他们的别名“BulletProftLink”、“BulletProofLink”和“Anthrax”维持着多个网站,包括YouTube和Vimeo的教学广告页面,以及论坛和其他网站上的宣传材料。在许多情况下,以及在运营商发布的ICQ聊天日志中,别名出现的情况很常见。

3.png

Anthrax Linkers(又名 BulletProofLink)发布的视频教程

BulletProofLink 注册和登录页面

他们的在线商店进行了多次修改,其页面的源代码包含对网站上其他地方的构建的引用,其中包括 ICQ 聊天消息和广告。虽然这些引用仍然存在于较新的版本中,但月度订阅网站的登录页面不再包含服务定价信息。在以前的版本中,这些网站提到了运营商托管 FUD 链接并将凭据返回给购买方的成本。

4.png

BulletProofLink注册页面

5.png

凭据网络钓鱼模板

BulletProofLink 运营商提供 100 多个模板,并以高度灵活的商业模式运营。这种商业模式允许客户自己购买页面并“发送”电子邮件,并通过注册自己的登录页面来控制整个密码收集流程,或者通过使用 BulletProofLink 的托管链接作为潜在受害者的最终网站来充分利用该服务输入他们的凭据。

这些模板旨在为了在成功地对凭据进行网络钓鱼时逃避检测,同样,提供的各种模板也不能保证所有bulletproflink促成的活动看起来都相同。相反,活动本身可以通过网络钓鱼页面源代码与其中引用的 PHP 密码处理网站以及在其更大规模活动中使用的托管基础设施相结合来识别。这些密码处理域通过域注册期间的托管、注册、电子邮件和其他元数据相似性与运营商相关联。

提供的服务:客户托管和支持

比特币是 BulletProofLink 网站上接受的一种常见支付方式。

除了通过网站账号与客户进行交流外,运营商还展示了多种与客户互动的方式,包括Skype、ICQ、论坛和聊天室。运营商还为新客户和现有客户提供客户支持服务。

6.png

BulletProofLink网站截图,该网站提供一系列假冒各种合法服务的钓鱼服务

7.png

BulletProofLink 网站上列出的 DocuSign 诈骗页面服务

托管服务包括每周向采购方发送日志,通常通过ICQ或电子邮件手动发送。对收集的基础结构的密码处理回复的单个活动进行分析表明,在初始模板页面上接收凭据,然后将凭据发送到操作员拥有的密码处理网站。

8.png

跟踪启用 BulletProofLink 的活动

如前所述,我们在调查一次网络钓鱼活动时发现了 BulletProofLink,该活动在攻击者控制的网站或 BulletProofLink 作为其服务的一部分提供的网站上使用 BulletProofLink 网络钓鱼工具包。该活动本身以使用 30万个子域而著称,但我们的分析暴露了 BulletProofLink 网络钓鱼工具包的一个实现:

9.png

启用 BulletProofLink 的网络钓鱼活动的端到端攻击链

引起我们注意的活动的一个原因是它使用了一种被我们称为“无限子域滥用”的技术,当攻击者破坏网站的 DNS 或当受感染的网站配置了允许通配符子域的 DNS 时,就会发生这种情况。 “无限子域”允许攻击者为每个收件人使用唯一的 URL,而只需连续数周购买或破坏一个域。由于以下原因,它在攻击者中越来越受欢迎:

1.它与以前涉及黑客获取大量一次性域的技术不同。为了在电子邮件链接中使用无限子域来重定向到较小的最终登录页面,攻击者只需破坏网站的 DNS,而不是网站本身。

2.它允许网络钓鱼运营商通过将动态生成的子域配置为每个单独电子邮件的基本域的前缀来最大化他们能够使用的唯一域。

3.创建唯一 URL 对仅依赖域和 URL 精确匹配的缓解和检测方法提出了挑战。

网络钓鱼活动还冒充(尽管效果不佳)Microsoft 徽标和品牌。模拟技术为徽标使用纯色,这可能是有意地绕过对 Microsoft 徽标四种不同颜色的检测。值得注意的是,该活动的后续迭代已转为使用 Microsoft 徽标中的四种颜色。

10.png

来自最近的凭证网络钓鱼活动的网络钓鱼诱饵

这些邮件还使用了一种称为零位字体(zero-point font)的技术,该技术使用对用户不可见的字符填充邮件的 HTML,以混淆电子邮件正文并试图逃避检测。网络钓鱼者越来越多地使用这种技术来逃避检测。

11.png

在电子邮件中显示零位字体的HTML日期填充

我们发现电子邮件中的钓鱼URL包含base64编码的受害者信息,以及一个攻击者拥有的网站,在该网站中用户将被重定向。在此活动中,单个基本域用于无限子域技术以启动该活动的重定向,该活动在数周内利用了多个辅助网站。

12.png

钓鱼 URL 的格式和示例,解码后重定向到受感染网站

受感染的网站重定向到托管网络钓鱼页面的第二个域,该页面模仿 Outlook 登录屏幕并针对每个用户特定的URL生成。我们发现该页面是为输入到 URI 中的任意数量的电子邮件地址生成的,并且没有检查机制来保证它未被使用或与实时网络钓鱼电子邮件相关。

虽然凭证可以被发送到一个或多个位置,但该页面采用了一些混淆技术来隐藏这些位置。混淆密码处理网站位置的一种尝试是使用一个函数,该函数基于回调到一组数字和字母来解码位置:

13.png

我们在 Python 中发现凭据被发送到的网站:hxxps://webpicture[.]cc/email-list/finish-unv2[.]php。模式“email-list/finish-unv2.php”来自以下变体之一:finish-unv2[.]php、finish-unv22[.]php 或finish[.]php。这些变体通常使用术语“电子邮件列表”以及引用特定网络钓鱼页面模板(例如 OneDrive 或 SharePoint)的另一个文件路径段。

有时,会使用多个位置向其发送凭证,包括一些可能由采购方而非运营商拥有的位置,这些位置可以在单独的函数中调用。这可能是遗留工件保留在最终模板中或发生双重盗窃的示例。

14.png

最终网站的格式采用这些模式变体中的任何一种

通过对这些模式的分析,我们得到了一个详细的密码捕获URI列表,该列表详细描述了一项关于BulletProofLink钓鱼服务运营商的独立研究。我们注意到,它们列出的模式与我们刚才观察到的模式相似,这使我们能够找到BulletProofLink使用的各种模板,包括前面讨论的带有假冒微软徽标的钓鱼邮件。

我们注意到的一个模式是,在活动中使用的许多密码处理域都直接将电子邮件地址与“Anthrax”、“bulletproflink”、“BulletProftLink”或证书注册中的其他术语关联起来。正如其他调查所指出的那样,每个证书上列出的电子邮件地址并不相同,而且还与不专门用于密码处理的域名绑定。

这样我们就在追踪无限子域活动中看到的登陆页面与现有的关于BulletProofLink操作背后的攻击者之间发现了更多的相似之处。

“双重盗窃”是PhaaS实现获利的手段

到目前为止,我们所描述的PhaaS工作模型让人想起勒索软件即服务(RaaS)模型,它涉及双重勒索。勒索软件中使用的勒索手段通常包括攻击者窃取和公开发布数据,并在受损设备上对数据进行加密,以迫使组织支付赎金。在RaaS场景中,即使赎金已经支付,勒索软件运营商也没有义务删除被盗数据。我们在“钓鱼即服务”(phishing-as-a-service)的盗用凭证中也观察到了同样的勒索流程。

在执行安全评估(例如渗透测试、Red Teaming等)后,我习惯于向客户的高级管理层汇报已完成的工作。

这为讨论诸如使用的攻击策略、技术和程序(TTPs)、使用的攻击向量、发现、建议、补救措施等内容创造了机会。

很多时候,领导团队都会对我最初在网络上立足的一些方式或我使用的一些策略感到无比惊讶。

对于他们中的大多数人来说,他们期待着像《碟中谍》中汤姆·克鲁斯那种风格的黑客攻击、绕过防火墙等等,结果却发现我毫不费力地就破坏了他们的网络。

因此,我通常会花时间向我的客户阐明现代攻击通常是如何进行的,以及像一个脆弱的用户凭据这样简单的小漏洞如何能够颠覆整个网络防御。

事实是,网络攻击强调更多的是效率而不是精致。因此,攻击者不会寻找最难的突围闯入方法。他们通常会寻找最简单的进入方式。

我们通常将这种方法称为阻力最小的路径,其中一条路径就是登录凭据。只需一组用户凭据,您的整个网络可能会落入敌人的手中。

任务

早在2018年,一家大型医疗保健组织就与我们签约,对其外部网络基础设施进行外部渗透测试。对于从测试的范围,该组织向我们提供了他们的域名和IP地址范围。当然,目标是从互联网上识别危害组织的攻击向量。

外部渗透测试清单

侦察

在其他渗透测试技术中,我无需提及或重复侦察在每次网络攻击或网络渗透测试中的重要性。网络杀伤链的这个阶段是您被动或主动收集有关目标的情报的地方。

我通常利用这个机会使用开源情报(OSINT)工具和平台进行大量被动情报收集,以制定外部渗透测试计划。在这个阶段,我几乎不使用扫描工具来攻击目标网络,因为我可以获得制定攻击策略所需要的几乎所有信息。

那么,在这个阶段我通常在寻找什么?好吧,在可以从OSINT中发现的大量信息中,我通常会重点关注的关键内容包括:

· 子域

· 登录门户(Citrix、OWA、VPN、SharePoint等)

· 技术类型(IIS等)

· 电子邮件地址

· 用户名(很多)

外部渗透测试工具

使用诸如Google(Google.com)、Shodan(Shodan.io)、Censys(Censys.io)、connect.data.com、Ferge、Recon ng、SimpleMail、The Harvester、SpiderFoot(SpiderFoot.net)、Email Hunter(Hunter.io)、VirusTotal(VirusTotal.com)、FOCA、Maltego和Pastebin(Pastebin.com)等工具、网站和平台,我能够收集到大量关于我的客户的信息,例如子域、电子邮件地址、用户名、主机、网络服务、开放端口、先前违规行为泄露的凭据、登录门户等。

为了在写这篇文章的同时对我的客户的姓名进行保密,我使用了一个示例域和电子邮件搜索器来演示我获取目标客户的用户名格式和电子邮件地址(然后提取用户名)的多种方法之一。

目标发展

我在侦察阶段花费了大量时间并收集了大量信息,随后我浏览了收集到的大量数据,并战略性地绘制出我的攻击面和我将使用的攻击技术。

在浏览这些数据时,我对通常向组织的LDAP或AD环境进行身份验证的应用程序和网络服务非常感兴趣。

这可能是SMB、OWA、Autodiscover、VPN、Citrix、Jenkins、SharePoint、定制应用程序等。一旦我发现了这样的服务以及要攻击的服务,我就会组织我在侦察中发现的所有电子邮件地址和用户名。

我确保已删除了重复的电子邮件地址、用户名,还交叉检查了外部用户名和内部域用户名的格式是否相同,或者是否存在差异。

在此阶段结束时,我发现了客户端的外部OWA和Citrix应用程序等,并且还获得了近1,000个唯一用户名。从这里开始,我已准备好进入我的杀伤链的下一阶段。

入侵

对于大多数攻击,这一阶段对手会开始试图获得初始立足点。在这个阶段,很多事情都是迭代的,因为这个阶段使用的TTP会根据从侦察和目标开发阶段收集的信息而变化。

在外部渗透测试期间,效率是关键,并且在大多数情况下,保持最简是您的最佳途径。在渗透测试的早期,通常需要发现漏洞并对它们进行利用。

然而,随着对手的TTP不断进化,我们也必须不断发展。话虽如此,一种基本但有效的攻击技术是基于身份验证的攻击,也称为密码暴力破解。

在典型的密码暴力破解攻击中,您有一个用户名,您尝试针对该用户名尝试多个可能的密码,希望该用户使用的是您列表中的密码之一。

管理员变得更聪明,并开始实施帐户锁定策略,因此,在登录尝试达到一定阈值后(例如五次尝试后),帐户将被锁定。为了对抗这种控制,出现了一种新的基于身份验证的攻击,称为密码喷射(有人称之为水平攻击、反向暴力破解等)。

通过这种攻击,攻击者会收集多个用户名或电子邮件地址(取决于被攻击的应用程序或网络服务的类型),然后针对所有用户名或电子邮件地址尝试使用一个密码,以识别可能使用此类密码的用户之一。

这种黑客技术在现实世界中的攻击和我的大多数渗透测试活动中都有很高的成功率,并且这种情况将继续存在。有多种工具可以执行这种攻击,但是,对于基于应用程序的密码喷射攻击,我首选的工具是Burp Suite。

Burp Suite为我提供了足够的空间来自定义我的密码喷射,例如线程、节流、字符串grepping等。在为这次攻击选择密码时,我通常尝试季节+年份(例如Summer2018、Winter19等)、公司名称+数字(例如Company123、Company2003等)、先前公司违规行为、地点、运动队等的想法。老实说,为密码喷射攻击选择密码没有所谓的正确或错误方法。

在针对客户端的Citrix Web应用程序设置和配置Web渗透测试工具Burp Suite中的所有内容后,我开始缓慢而稳定地发起攻击。我的第一轮喷雾给了我两个有效的用户凭据,密码为Winter2017。

使用发现的两个用户帐户,我能够以这些用户的身份向客户端的Citrix应用程序进行身份验证。然而,令我沮丧的是,没有一个用户在他们的Citrix应用程序目录中拥有应用程序。

由于我已经拥有两个有效凭据,因此我使用了Black Hills的MailSniper工具并转储了客户端的OWA全局地址列表(GAL)。这为我的下一轮密码喷射攻击提供了额外的用户名。

这一次,我尝试对客户的OWA进行喷射攻击,使用密码Companyname123(我使用了实际客户的名称并在其后附加了数字123)。这给我带来了两个额外的有效凭据。

这一次,其中一位用户在其Citrix应用程序目录中有一个内部SAP应用程序,并且该SAP应用程序将使用Internet Explorer打开。

外部渗透测试中的横向移动

在横向移动阶段,无论是从应用程序级别还是网络级别,攻击者或渗透测试人员都已经获得了对目标的某种级别的访问权限,包括有限访问权限或完全访问权限。

从这一点来看,未来的目标是找到在目标网络内移动的方法,同时规避内部网络安全控制。

我们(对手/渗透性测试者)使用获得的访问权限来收集额外的信息,以便在目标的内部网络中移动。

基本上,我们回到了侦察阶段,这可以是基于主机的情报收集和/或基于网络的情报收集。同样,此阶段使用的技术可能因许多因素而异。

Citrix突破

此时,我已经获得了应用程序级别的访问权限,我的下一个目标是获得网络级别的访问权限。由于我有突破Citrix环境的经验,因此到了进入网络级别的时机了。

如果您有兴趣阅读有关Citrix突破的更多信息,NetSPI的同事们有一个很棒的博客(有关博客链接,请参阅On The Web部分)。为了执行Citrix突围攻击,我使用Internet Explorer打开了受害者的SAP帐户并尝试保存网页的源代码。

然后使用“文件”菜单中的“另存为”选项,我导航到了C:\Windows\System32\目录并调用Windows CMD 实用程序(cmd.exe)。

此弹出窗口打开了CMD,让我可以访问后端Citrix服务器

通过访问后端Citrix服务器,我启动了一个PowerShell Empire listener,生成了一个PowerShell启动器,在Citrix服务器上执行它,并从Citrix服务器回调到我的 Empire listener。

Kerberoasting

“关于Kerberoasting的评论和文章还不够多,所以我不会在这里详述它的解释。我将直接讨论接下来发生的事情。大多数情况下,Citrix服务器被认为是具有高价值的系统,因此只有有限数量的用户在服务器上拥有管理权限。

话虽如此,我仍以非特权用户身份访问Citrix服务器的用户帐户。但是,任何域用户帐户均可用于请求服务主体名称(SPN),这是Kerberos身份验证使用的一种Windows特性,用于将服务实例与服务登录帐户关联起来;例如,运行IIS的服务帐户的SPN。

可以使用Windows的内置实用程序setspn.exe在本地查询服务帐户的AD,也可以使用Empire、Impackets、Metasploit等工具远程完成。

我使用我的Empire会话,转储了SPN并开始使用Hashcat破解密码哈希。破解密码的命令示例如下:

hashcat -m 13100 -a 0 spn.outputpassword.list -r best64.rule -o kerb.cracked

在查看SPN查询输出时,我注意到一些帐户属于Administrators组,而Hashcat碰巧破解了一个此类帐户(IIS_Admin)的密码哈希。

凭证滥用/重用

在这次外部渗透测试收集的初始信息中,我获得了一些关于内部网络的重要情报,例如域管理员、企业管理员、域控制器等的列表。

因此,为了有效地使用新获得的凭据来破坏域,我需要确定域管理员或企业管理员已登录会话或之前已登录的系统。

可以使用诸如netview.py、Invoke-EventHunter之类的工具来实现该目标。在我确定了域管理员和企业管理员进行会话的几个系统之后,我使用IIS_Admin帐户和破解的密码启动了针对这些系统的CrackMapExec。

我确定了几个系统,其中IIS_Admin帐户具有管理权限,并使用CrackMapExec中的Mimikatz模块从这些框中提取凭据。

在提取的凭据中,有一个属于域管理员!我需要做的最后一件事是根据域控制器确认新域管理员凭据的有效性,并转储NTDS数据库以进行离线密码破解和分析。

数据搜索和渗透

对手的主要目标之一是访问或提取敏感/关键数据,我们粗略地将之称为目标的“crown jewels”。它们可能是:

· 用户凭据

· 秘方

· 蓝图

· 客户资料

· 个人身份信息(PII)

· 病历

· 财务数据

· 知识产权

渗漏阶段是将数据从目标的网络环境移动到攻击者控制的系统(例如C2服务器)的阶段。这通常是数据搜寻活动的一部分。

在过去,渗透测试只是为了获得域管理员(DA)级别的访问权限,这样的日子已经一去不复返了。

现在,外部渗透测试需要证明,如果您的测试和攻击由真实世界的对手执行,您的客户可能会遭受业务风险和影响。话虽如此,这是我们测试的关键阶段之一。

作为渗透测试人员,在将数据移出客户环境之前,可能有必要与您的客户确认参与规则(RoE)是否要求数据渗漏。

如果允许,我会仔细分析要泄露的数据类型,以向客户展示业务风险和影响。根据环境和受到攻击的系统,不同的渗漏技术可用于不同的情况。

最后的话——外部渗透测试

正如您在这篇文章中可能已经注意到的那样,我没有在此测试中运行单个漏洞扫描。为什么要提这个?有几次我看到一些渗透测试报告或工作声称是外部渗透测试,但实际上,它们是漏洞评估。

关于渗透测试和漏洞评估之间差异的争论已经持续了很长时间,在这里我只是想分享我执行外部渗透测试的众多方法之一,由于我不是专家,所以我将不再讨论它。

在研究网络钓鱼攻击时,我们发现了一个攻击活动使用了大量新创建的独特子域——单次运行超过 30万个。

最近在安全调查时,我们发现了支持该活动的一项操作——一个名为BulletProofLink的大规模“钓鱼即服务”(phishing as a-service)操作模式,该模式以相对较低的成本销售钓鱼工具、电子邮件模板、主机和自动化服务。

通过模仿100多个知名品牌和服务的可用网络钓鱼模板,BulletProofLink操作对当今影响企业的许多网络钓鱼活动负有责任。BulletProofLink(运营商在各种网站、广告和其他宣传材料中也称其为BulletProftLink或Anthrax)被多个攻击群体以一次性或每月订阅的商业模式使用,这也为其运营商创造稳定的收入来源。

我们会在本文中揭露攻击者购买网络钓鱼活动并大规模部署网络钓鱼活动是多么容易,另外我们还演示了“钓鱼即服务”操作如何推动“双重盗窃(double theft)”等钓鱼技术的扩散,这种方法将窃取的证书发送给“钓鱼即服务”运营商及其客户,从而实现盈利。

对“网络钓鱼即服务”操作、基础设施及其演变的深入了解,有助于防范网络钓鱼活动。

网络钓鱼工具包和网络钓鱼即服务 (PhaaS)介绍

由于网络钓鱼攻击的设计和传播方式有所改进,基于电子邮件的持续攻击从未间断过。现代的网络钓鱼攻击通常是通过大量的电子邮件和虚假的登录模板、代码和其他资产进行的。虽然攻击者曾经需要单独建立钓鱼电子邮件和伪造网站,但钓鱼行业已经发展出了自己的配套攻击模式,这使得钓鱼攻击的成本越来越低:

网络钓鱼工具包:指的是从网络钓鱼工具包卖家和经销商处一次性销售的工具包。这些都是打包文件,通常是 ZIP 文件,附带了可随时使用的电子邮件钓鱼模板,这些模板旨在逃避检测,并且通常附带访问它们的门户。网络钓鱼工具包允许客户建立网站并购买域名,钓鱼网站模板或套件的替代方案还包括电子邮件本身的模板,客户可以自定义并配置以便发送。已知网络钓鱼工具包的一个示例是 MIRCBOOT 网络钓鱼工具包。

网络钓鱼即服务:与勒索软件即服务 (RaaS) 类似,网络钓鱼即服务遵循软件即服务模型,该模型要求攻击者向运营商支付全部开发和通过虚假登录页面开发、网站托管以及凭据解析和重新传播部署大部分或完整的网络钓鱼活动。 BulletProofLink 是网络钓鱼即服务 (PhaaS) 操作的一个示例。

1.png

网络钓鱼工具包和网络钓鱼即服务之间的功能比较

值得注意的是,一些 PhaaS 团队可能会提供从模板创建、托管和整体编排的全部业务模块,使其成为吸引客户的商业模式。许多网络钓鱼服务提供商提供托管诈骗页面解决方案,他们称之为“FUD”链接或“完全未检测到”链接,这些运营商使用的营销术语试图确保这些链接在用户点击之前仍然有效。这些网络钓鱼服务提供商托管链接和页面,支付这些服务费用的攻击者稍后会收到窃取的凭据。与某些勒索软件操作不同,攻击者无法直接访问设备,而只是接收未经测试的被盗凭据。

BulletProofLink服务故障

为了详细了解PhaaS的工作原理,我们深入研究了BulletProofLink运营商提供的模板、服务和定价结构。BulletProofLink PhaaS组织自2018年以来就一直活跃,并自豪地为每个“专用垃圾邮件发送者”提供独特的服务。

2.png

BulletProofLink的“关于我们”页面为潜在客户提供了他们的服务介绍

这些经营者以他们的别名“BulletProftLink”、“BulletProofLink”和“Anthrax”维持着多个网站,包括YouTube和Vimeo的教学广告页面,以及论坛和其他网站上的宣传材料。在许多情况下,以及在运营商发布的ICQ聊天日志中,别名出现的情况很常见。

3.png

Anthrax Linkers(又名 BulletProofLink)发布的视频教程

BulletProofLink 注册和登录页面

他们的在线商店进行了多次修改,其页面的源代码包含对网站上其他地方的构建的引用,其中包括 ICQ 聊天消息和广告。虽然这些引用仍然存在于较新的版本中,但月度订阅网站的登录页面不再包含服务定价信息。在以前的版本中,这些网站提到了运营商托管 FUD 链接并将凭据返回给购买方的成本。

4.png

BulletProofLink注册页面

5.png

凭据网络钓鱼模板

BulletProofLink 运营商提供 100 多个模板,并以高度灵活的商业模式运营。这种商业模式允许客户自己购买页面并“发送”电子邮件,并通过注册自己的登录页面来控制整个密码收集流程,或者通过使用 BulletProofLink 的托管链接作为潜在受害者的最终网站来充分利用该服务输入他们的凭据。

这些模板旨在为了在成功地对凭据进行网络钓鱼时逃避检测,同样,提供的各种模板也不能保证所有bulletproflink促成的活动看起来都相同。相反,活动本身可以通过网络钓鱼页面源代码与其中引用的 PHP 密码处理网站以及在其更大规模活动中使用的托管基础设施相结合来识别。这些密码处理域通过域注册期间的托管、注册、电子邮件和其他元数据相似性与运营商相关联。

提供的服务:客户托管和支持

比特币是 BulletProofLink 网站上接受的一种常见支付方式。

除了通过网站账号与客户进行交流外,运营商还展示了多种与客户互动的方式,包括Skype、ICQ、论坛和聊天室。运营商还为新客户和现有客户提供客户支持服务。

6.png

BulletProofLink网站截图,该网站提供一系列假冒各种合法服务的钓鱼服务

7.png

BulletProofLink 网站上列出的 DocuSign 诈骗页面服务

托管服务包括每周向采购方发送日志,通常通过ICQ或电子邮件手动发送。对收集的基础结构的密码处理回复的单个活动进行分析表明,在初始模板页面上接收凭据,然后将凭据发送到操作员拥有的密码处理网站。

8.png

跟踪启用 BulletProofLink 的活动

如前所述,我们在调查一次网络钓鱼活动时发现了 BulletProofLink,该活动在攻击者控制的网站或 BulletProofLink 作为其服务的一部分提供的网站上使用 BulletProofLink 网络钓鱼工具包。该活动本身以使用 30万个子域而著称,但我们的分析暴露了 BulletProofLink 网络钓鱼工具包的一个实现:

9.png

启用 BulletProofLink 的网络钓鱼活动的端到端攻击链

引起我们注意的活动的一个原因是它使用了一种被我们称为“无限子域滥用”的技术,当攻击者破坏网站的 DNS 或当受感染的网站配置了允许通配符子域的 DNS 时,就会发生这种情况。 “无限子域”允许攻击者为每个收件人使用唯一的 URL,而只需连续数周购买或破坏一个域。由于以下原因,它在攻击者中越来越受欢迎:

1.它与以前涉及黑客获取大量一次性域的技术不同。为了在电子邮件链接中使用无限子域来重定向到较小的最终登录页面,攻击者只需破坏网站的 DNS,而不是网站本身。

2.它允许网络钓鱼运营商通过将动态生成的子域配置为每个单独电子邮件的基本域的前缀来最大化他们能够使用的唯一域。

3.创建唯一 URL 对仅依赖域和 URL 精确匹配的缓解和检测方法提出了挑战。

网络钓鱼活动还冒充(尽管效果不佳)Microsoft 徽标和品牌。模拟技术为徽标使用纯色,这可能是有意地绕过对 Microsoft 徽标四种不同颜色的检测。值得注意的是,该活动的后续迭代已转为使用 Microsoft 徽标中的四种颜色。

10.png

来自最近的凭证网络钓鱼活动的网络钓鱼诱饵

这些邮件还使用了一种称为零位字体(zero-point font)的技术,该技术使用对用户不可见的字符填充邮件的 HTML,以混淆电子邮件正文并试图逃避检测。网络钓鱼者越来越多地使用这种技术来逃避检测。

11.png

在电子邮件中显示零位字体的HTML日期填充

我们发现电子邮件中的钓鱼URL包含base64编码的受害者信息,以及一个攻击者拥有的网站,在该网站中用户将被重定向。在此活动中,单个基本域用于无限子域技术以启动该活动的重定向,该活动在数周内利用了多个辅助网站。

12.png

钓鱼 URL 的格式和示例,解码后重定向到受感染网站

受感染的网站重定向到托管网络钓鱼页面的第二个域,该页面模仿 Outlook 登录屏幕并针对每个用户特定的URL生成。我们发现该页面是为输入到 URI 中的任意数量的电子邮件地址生成的,并且没有检查机制来保证它未被使用或与实时网络钓鱼电子邮件相关。

虽然凭证可以被发送到一个或多个位置,但该页面采用了一些混淆技术来隐藏这些位置。混淆密码处理网站位置的一种尝试是使用一个函数,该函数基于回调到一组数字和字母来解码位置:

13.png

我们在 Python 中发现凭据被发送到的网站:hxxps://webpicture[.]cc/email-list/finish-unv2[.]php。模式“email-list/finish-unv2.php”来自以下变体之一:finish-unv2[.]php、finish-unv22[.]php 或finish[.]php。这些变体通常使用术语“电子邮件列表”以及引用特定网络钓鱼页面模板(例如 OneDrive 或 SharePoint)的另一个文件路径段。

有时,会使用多个位置向其发送凭证,包括一些可能由采购方而非运营商拥有的位置,这些位置可以在单独的函数中调用。这可能是遗留工件保留在最终模板中或发生双重盗窃的示例。

14.png

最终网站的格式采用这些模式变体中的任何一种

通过对这些模式的分析,我们得到了一个详细的密码捕获URI列表,该列表详细描述了一项关于BulletProofLink钓鱼服务运营商的独立研究。我们注意到,它们列出的模式与我们刚才观察到的模式相似,这使我们能够找到BulletProofLink使用的各种模板,包括前面讨论的带有假冒微软徽标的钓鱼邮件。

我们注意到的一个模式是,在活动中使用的许多密码处理域都直接将电子邮件地址与“Anthrax”、“bulletproflink”、“BulletProftLink”或证书注册中的其他术语关联起来。正如其他调查所指出的那样,每个证书上列出的电子邮件地址并不相同,而且还与不专门用于密码处理的域名绑定。

这样我们就在追踪无限子域活动中看到的登陆页面与现有的关于BulletProofLink操作背后的攻击者之间发现了更多的相似之处。

“双重盗窃”是PhaaS实现获利的手段

到目前为止,我们所描述的PhaaS工作模型让人想起勒索软件即服务(RaaS)模型,它涉及双重勒索。勒索软件中使用的勒索手段通常包括攻击者窃取和公开发布数据,并在受损设备上对数据进行加密,以迫使组织支付赎金。在RaaS场景中,即使赎金已经支付,勒索软件运营商也没有义务删除被盗数据。我们在“钓鱼即服务”(phishing-as-a-service)的盗用凭证中也观察到了同样的勒索流程。

Kerberos 是一种由 MIT(麻省理工大学)提出的一种网络身份验证协议。它旨在通过使用密钥加密技术为客户端/服务器应用程序提供强身份验证。

Kerberos 主要是用在域环境下的身份认证协议。

名词解释

DC(Domain Controller):域控制器,简称DC,一台计算机,实现用户、计算

Kerberos 是一种由 MIT(麻省理工大学)提出的一种网络身份验证协议。它旨在通过使用密钥加密技术为客户端/服务器应用程序提供强身份验证。

Kerberos 主要是用在域环境下的身份认证协议。

名词解释

DC(Domain Controller):域控制器,简称DC,一台计算机,实现用户、计算