淺析網絡攻擊中攻擊者思路

◆蒙忠爽

淺析網絡攻擊中攻擊者思路

◆蒙忠爽

（交通銀行股份有限公司 上海 200120）

伴隨著信息時代的發展以及計算機技術的不斷迭代更新，信息系統的安全在企業的中占據著愈來愈重要的權重，國家對信息安全也愈來愈重視。與此同時，針對相關大中型企業的網絡攻擊的數量也在不斷增加。本文結合具體的現實案例，主要分析了在網絡攻擊中，攻擊者完成攻擊行為的流程以及思路，并對相應的攻擊方式提出防御措施，與大家一同探討。

網絡攻擊；企業防護；外網攻擊；橫向滲透

眾所周知，攻擊者在入侵相關的企業網站時，通常通過各種方式，無論是針對目標系統、硬件、軟件還是企業人員，執行多種角度的攻擊行為，最終取得目標企業的重要服務器或者主機的控制權限，從而方便其搜集、傳輸、下載所需的企業的內部信息和隱私數據。

1 信息收集

攻擊者第一步是對暴露在互聯網上的信息進行大范圍的收集，既包括主域名，也包括其下屬的子域名。對于某些特定的C段地址，端口banner信息，也會成為攻擊者想要搜尋的目標。

1.1 whois域名及Google hacker

針對whois信息可以從多個專門的網站如https://who.is/和http://whois.chinaz.com/等獲取到，可以找到網站注冊人、相關郵箱、以及DNS解析的服務器相關信息。而子域名是指在企業頂級域名下的域名，作為總集團下，倘如作為其子公司或者關聯機構，其站點皆屬于子域名。相比于母公司的站點，子公司防護措施較為薄弱，具有一定的脆弱性，重視程度也會較低。在信息搜集階段，收集的子域名越多，攻擊者能夠攻擊測試的目標就越多，進行下一步滲透工作的成功率也越大。往往在主站的界面上找不到突破口，攻擊者會從子域名入手，低維向高維度逐級滲透。

Google hacker是一種在因特網絡上使用谷歌搜索引擎以及相配套的其他的谷歌應用，尋找上線布置的網站代碼中的相關配置漏洞和安全缺陷的方法。誠然，Google hacker只是一種抽象化的描述，包括但不僅限于諸如Google、百度、搜狗、bing等搜索引擎。作為非常強大的搜索引擎，同時也是一個有用的黑客工具。攻擊者可以通過使用簡單的google dorks破解一個網站，獲取到其WEB站點中存在的漏洞，進而得到用戶個人數據資料。利用Google dorks，如圖一所示，攻擊者能夠獲得關于部分企業網站的數據庫配置的詳細信息，既包括用戶名、密碼，又包括主站目錄列表。

圖1 Google hacker實例

1.2 相近的C端

在攻擊者眼中的C端，并不表示網絡中的C段地址，而是和其所要攻擊的目標服務器的IP地址處在同一個C段的其他的最多254個相似服務器，也就是子網掩碼為255.255.255.0/24中的IP地址段。因為大多數的中型乃至于大型的企業，基本上使用的都是自建托管機房。為了更加方便運維操作，公司之中的相關的業務數據和服務器通常都會部署在同一個C類的子網中，這也就為安全性埋下了一定的隱患，也增大了攻擊者可以利用的空間。

1.3 敏感banner信息

正常的情況下，服務器在收到請求的時候會返回banner。banner信息在界面中的作用是展示歡迎語。然而其中會包含一些諸如端口、軟件開發商、軟件名稱、服務類型、版本號等敏感信息。在滲透測試中，典型的 4xx、5xx 信息泄露就屬于 banner 泄露的一種。版本號有時候就會存在公開的 CVE 漏洞，可以直接進行攻擊利用。攻擊者一般通過nmap、dmitry等掃描工具進行端口banner的信息獲取。

2 打擊外網系統

在攻擊者搜集到足夠的信息之后，就能夠有針對性地對企業們公布在互聯網上的系統和網站進行攻擊。企業開放了大量因特網上的服務器，部分的服務器由于上架時間過久、運維人員的管理疏忽等原因，存在很多可利用的漏洞未被及時修復，而這也為攻擊者的下一步攻擊提供了契機。

圖2 通過nmap探測banner信息

2.1 漏洞直接利用

攻擊者進行漏洞攻擊的方式有很多種，從常見的XSS跨站腳本攻擊、SQL注入、非法文件上傳，到CSRF （跨站請求偽造Cross-site request forgery），cookie安全檢測，敏感信息泄露，通信數據傳輸，字典暴力破解，文件包含，重放攻擊，以及使用漏掃工具。

根據前一步驟所搜集到的信息，漏掃會掃描目標企業在公網上存在的漏洞。常見的漏洞掃描技術分為CGI（Common Gateway Interface公用網關接口）掃描、弱口令掃描、操作系統的漏洞掃描和針對數據庫的漏洞掃描。

除此之外，有些攻擊者甚至可以對某些曝光的CVE漏洞開發專門的掃描工具進行使用，RPC（Remote Procedure Call）漏掃就是其中的一種類型。這種“遠程過程調用”是利用了操作系統之間的消息傳遞功能的缺陷，是微軟公司在設計系統時遺留下的緩沖區溢出漏洞。RPC可以使遠程攻擊者獲得SYSTEM權限，其實質是攻擊者對DCOM分布式組件的對象模型接口進行客戶端的遠程請求，通過緩沖區溢出實現命令執行。進而獲得目標主機的控制權。雖然Windows已經專門這一漏洞（MS03-026）發布了相對應的補丁，但也無法保證下發安裝到每一臺受影響的版本終端，這就給予了攻擊者可乘之機。ISS公司就曾經根據這一漏洞的補丁開發出掃描器scanms.exe，通過scanms.exe可以探測某網段下的RPC漏洞補丁安裝情況，如下所示：

C：>scanms.exe 192.168.0.1-192.168.0.254

192.168.0.2 [Windows XP] [ptch] [ptch] 5.6

192.168.0.5 [unknown010] [????] [VULN] 0.0

192.168.0.10 [Windows XP] [ptch] [ptch] 5.6

192.168.0.55 [Windows XP] [ptch] [ptch] 5.6

第二行的192.168.0.5此IP地址回顯[VULN]，即表示終端未安裝DCOM接口的補丁文件，攻擊者可以有目的性地采用cndcom.exe對192.168.0.5機器進行RPC溢出攻擊，添加自己的用戶名和密碼作為管理員進行命令執行，獲得機器的控制權。

2.2 釣魚郵件攻擊

郵件作為企業外網系統中最重要的溝通工具，也最容易成為攻擊者的首選目標。對于釣魚郵件的防護既要求企業的安全設備防護檢測能力，又要求員工的安全意識和應急響應能力。如若防護不善，釣魚郵件會成為突破防御的焦點。

SMTP郵件服務器往往在進行郵件中轉的時候未進行認證操作，利用這一特性，攻擊者可以進行郵件偽造攻擊。在手動搭建的SMTP中繼服務器中，攻擊者利用telnet命令實現郵件的發送，并在“mail from實際發件人”處任意偽造郵箱發件人。接收方的郵件服務器若沒有對所接收郵件進行身份校驗，則極有可能直接顯示為偽造的發件人，降低收件人的警惕性。

對于郵件的內容，攻擊者會構造出具有一定迷惑性的附件和描述，諸如向內部郵箱投遞主題為“五一放假通知”的釣魚郵件，包含五一假期員工福利發放詳情，并將附件偽裝成doc文檔的exe可執行文件。員工用戶在無意點擊之后，終端則被種下了攻擊者惡意的木馬程序，能夠在開機狀態進行非法外聯的操作，被攻擊者利用為跳板機攻擊其他服務器。

3 滲透提權

在取得企業開放在公網上的某一臺終端的控制權之后，往往無法獲得涉及企業核心關鍵的信息和數據。由于所獲得信息并非其所想，攻擊者會利用此機器作為跳板，進行更大范圍的企業內網信息收集和情報刺探工作，與此同時還會利用內網的弱點進行橫向滲透以擴大戰果。一般稱此步驟為橫向滲透的提權過程。

攻擊者會根據版本信息利用新型的0day等方式，重點關注企業的郵件服務器權限，還包括企業辦公OA系統、集中運維管理平臺權限，這些系統是內網的重要組成部分，涉及核心的業務數據，可以賦予攻擊者集中管理操控大多數子終端的權力，以及統一認證系統權限、域控權限等。如上幾種皆屬于核心的機密服務器，攻擊者順利取得權限，則代表著企業的核心業務已被控制，機密數據也已經泄露。

圖3 攻擊者網絡攻擊的簡要流程圖

4 現實案例復盤

本節來源于一次真實的網絡攻擊。根據前段時間曝光出來自某OA辦公軟件的office servlet的getshell 0day漏洞。根據POC知道，漏洞的觸發點為seeyon文件夾下的htmlofficeservlet。即com.seeyon.ctp.commom.office.Htmlofficeservlet.class代碼中的參數OPTION和FILENAME結合可以提高用戶的權限，直接在后臺進行文件的任意上傳。

攻擊者首先在網絡上搜尋暴露在公網上的脆弱性系統信息，確認相關的資產范圍。

圖4 利用FOFA網絡測繪進行信息收集

在確認了攻擊目標之后，遠程攻擊者在無需登錄的情況下，修改URL為“目標URL/seeyon/htmlofficeservlet”，通過POST請求精心構造的數據即可向目標服務器寫入任意文件。首次嘗試上傳了名稱為“test111111”文件，確認上傳的文件可以被其服務器任意讀寫。于是在第二次主動上傳了名為“qwer960452.jsp”惡意遠控文件，通過內置的命令行取得本機權限。

再利用內網掃描工具探測上一級的OA辦公系統，通過內網橫向滲透上傳動態二進制加密網站冰蝎Web后門文件，取得OA辦公系統最終權限。

5 企業防御的對應措施

常言道，兵來將擋水來土掩。攻擊者可以采取任何方式和手段進攻和滲透企業的系統和網絡，這就需要防守者全方位考慮互聯網的出入口以及其他邊界網絡的監控，從網絡、系統、應用和終端多個層面進行安全的布防和監控。若根據攻擊者的入侵思路做出對應的防守準備，可以起到事半功倍的效果。在信息收集階段，仔細對涉及互聯網訪問的應用系統和網絡訪問控制策略，并及時回收無效的互聯網域名；在攻擊者打擊外網系統之前，提前完成全覆蓋的漏洞掃描工作，將涉及的版本暴露問題及時整改和升級。與此同時進行安全基線的掃描和整改加固，完成集權系統的加固和應用賬號的綁定回收策略。若攻擊者進入了內網橫向滲透階段，則應立即啟動應急響應評估，進行對應分區的下線和斷網，在隔離的環境下扼殺有害病毒腳本。下面將從兩個角度詳細介紹企業防守的手段：

圖5 某OA系統的文件上傳漏洞

圖6 此次攻擊全部流程

5.1 流量回溯分析

網絡攻擊行為稍縱即逝，且無法預測其發生的時間和動作。而企業的運維人員針對歷史流量的回溯分析可以對攻擊者進行數據溯源，通過全流量構造出攻擊者的行為軌跡。流量的回溯以“安全事件產生——通訊會話回溯——流量數據包回溯”的鏈路執行，在企業安全運維的場景下，可以更好滿足精準定位異常情況的需求。在流量回溯設備的部署方面，如今采用旁路鏡像流量的部署方式，不會改變網絡的配置和架構。旁路復制完全相同的流量，對于正常的業務運行不會產生任何影響。

圖7 流量回溯設施的架構圖

除了正常的流量回溯之外，企業還可以通過其他防守方式如進行相關特征網絡攻擊檢測，以及對惡意文件的攔截等操作，達到防御的目的。

5.2 蜜罐

上文的流量回溯在大部分情況下是在攻擊完成后進行的一個應急處置方法。本節提出的“蜜罐誘捕”利用欺騙偽裝的技術手段，從誘捕到發現再到處置，最后溯源攻擊源，逐步取得防守的主動權，甚至可以實現反制的目的。

企業設置誘捕蜜罐是為了誘導攻擊者進入一個較為真實的環境，攻擊者在此進行的所有操作都會被記錄、跟蹤以及反饋，并且不影響系統的運行。在PC終端部署的蜜罐中，可以根據攻擊者上傳的內網掃描工具、漏洞復現工具刻畫出攻擊者的行為畫像。除此之外，通過蜜罐內置的信息跟蹤裝置，可以有效獲取到攻擊者的基礎設備信息，例如常見的遠程IP、主機名、連接方式等等。由于蜜罐本身具有足夠的安全性且與內網重要設備相隔離，在誘導攻擊者進行攻擊的過程中，不會成為攻擊的突破點。

誠然，除了上文提及的流量回溯和蜜罐誘捕方式之外，企業在防御方面可以使用的工具和手段還有很多，包括但不局限于建立SOC安全運營中心、APT高級持續威脅情報、EDR主機監控等等。除此之外，在平時工作中，仍然需要對集團的互聯網資源進行梳理、加固和優化，細化安全工作。加強人員管理的安全意識。從多個維度入手做好安全的防護，提高抵御網絡攻擊的能力。

6 總結

總而言之，由于網絡環境的變幻莫測，攻擊者的攻擊手段層出不窮。但是對于攻擊者的思路而言，總是會需要經過“前期信息收集——中期打擊外網——后期滲透提權”的步驟。本文簡要分析了攻擊者在網絡攻擊中的思路，并輔以具體的案例信息，從多個角度闡述了企業防御網絡攻擊的重要性，并根據對應的攻擊思路提出解決方案，提高系統的安全可靠性，強化了企業的網絡安全體系建設。

[1]冷濤.基于滲透測試理論的信息搜集技術[J].警察技術，2020（04）：49-52.

[2]黃波，孫羽壯.XSS跨站攻擊原理與調查方法研究[J].網絡安全技術與應用，2017（06）：50-52.

[3]王林平. 基于內容的電子郵件過濾系統的研究[D].電子科技大學，2010.

[4]薄明霞，唐洪玉，張靜.云環境下威脅情報技術與應用綜述[J].電信技術，2017（06）：46-48+52.

[5]楊紅飛.GSN：全面防范DDoS攻擊[J].中國教育網絡，2005（09）：60-61.

[6]黃玉文，劉春英，李肖堅.基于可執行文件的緩沖區溢出檢測模型[J].計算機工程，2010，36（02）：130-131+134.

[7]李婷. 混合式緩沖區溢出漏洞檢測模型的研究[D].大連海事大學，2012.

[8]Sabetamal Hassan，Carter John P.，Zhang Xue，Sheng Daichao. Coupled analysis of full flow penetration problems in soft sensitive clays[J]. Computers and Geotechnics，2021，133.