阿里云先知安全沙龙(上海站)——后渗透阶段主机关键信息自动化狩猎的实现与应用

简介: 本文介绍了在后渗透测试中使用LSTAR工具和PowerShell脚本进行RDP状态查询、端口获取及凭据收集的过程,强调了高强度实战场景下的OPSEC需求。通过MITRE ATT&CK框架的应用,详细阐述了凭证访问、发现和收集等关键技术,确保攻击者能够隐蔽、持续且高效地渗透目标系统,最终获取核心数据或控制权。文中还展示了SharpHunter等工具的自动化实现,进一步提升了操作的安全性和效率。

前言

在后渗透阶段使用各类信息凭据收集功能时的体验较为割裂,示例中展示了如何使用LSTAR工具进行RDP状态查询和端口获取,以及如何通过PowerShell脚本进行凭据收集,整个过程涉及多个步骤和工具的配合。

image.png

高强度实战场景下的OPSEC(操作安全)需求,强调隐蔽、持续、精准和高效。

image.png

主机关键信息

MITRE ATT&CK框架在后渗透阶段的应用,强调后渗透的本质是不断收集信息、扩展权限直至获取靶标系统或核心数据的过程,例如凭证访问中的“Adversary-in-the-Middle”、“Brute Force”等,以及发现中的“Account Discovery”、“Application Window Discovery”等。整个过程通过这些技术的组合使用,确保了攻击者能够逐步渗透目标系统,最终获取所需的核心数据或控制权。

image.png

MITRE ATT&CK框架中关于凭证访问(Credential Access)的战术与技术。具体包括:

  • Credentials from Password Stores (T1555):搜索常用的密码存储位置来获取用户凭证,如网络浏览器Chrome、Edge等保存的账号密码,以及1Password等密码管理器。

  • Input Capture (T1056):使用捕获用户输入的方法来获取凭证或收集信息,如Keylogger、面向外部的门户网站(如VPN登录页面)上部署水坑攻击。

  • OS Credential Dumping (T1003):从操作系统缓存、内存或结构中获取凭证,如LSASS、缓存的域凭据等,可用于执行横向移动和访问受限主机。

  • Steal or Forge Kerberos Tickets (T1558):通过窃取或伪造Kerberos票据绕过Kerberos身份验证来实现Pass the Ticket,如Kerberoasting、AS-REP Roasting。

  • Steal Web Session Cookie (T1539):窃取网络应用程序或服务会话Cookie,并利用它们以已验证用户的身份访问网络应用程序或互联网服务,而无需凭证。

  • Unsecured Credentials (T1552):搜索目标主机系统,查找并获取不安全存储的凭证,如Bash History、密码本、微信等即时通讯软件聊天记录发送的凭据。

image.png

MITRE ATT&CK框架中关于发现(Discovery)的战术与技术。具体包括:

  • System Information Discovery (T1082):获取目标系统主机名、资源盘符、操作系统版本、架构、系统补丁和CPU、BIOS等硬件信息,便于进一步判断机器属性。

  • Browser Information Discovery (T1217):枚举目标主机浏览器的信息(如书签、账户和浏览历史),会泄漏内部网络资产、服务器地址、甚至是靶标系统等关键信息。

  • File and Directory Discovery (T1083):枚举目标主机文件和目录,在特定位置搜索文件系统某些信息,例如服务或用户软件配置文件、运维密码本等。

  • Software Discovery (T1518):获取安装在目标主机上的软件和软件版本列表,尤其是杀毒软件名称以及是否安装开发运维相关的服务器、数据库管理软件。

  • Process Discovery (T1057):获取系统上运行进程的相关信息,有助于进一步确认正在运行的AV/EDR、定位软件配置文件路径、从进程中获取关键凭据。

  • System Network Connections Discovery (T1049):通过网络查询信息,获取与当前访问的被入侵系统或远程系统之间的网络连接列表,有助于分析网段拓扑、进一步横向渗透。

image.png

MITRE ATT&CK框架中关于收集(Collection)的战术与技术。具体包括:

  • Automated Collection (T1119):与目标主机建立网络通道后,使用自动技术收集主机关键信息及数据,包括但不限于读取、搜索、复制、执行等方式。

  • Clipboard Data (T1115):当用户在应用程序内部或不同软件之间复制信息时,收集存储在系统剪贴板中的数据。

  • Data from Information Repositories (T1213):利用信息库挖掘有价值的信息,如重点关注的Confluence、GitHub、Gitlab、OA、CRM等包含大量关键信息的系统。

  • Email Collection (T1114):以用户电子邮件为目标收集敏感信息或密码凭据,例如本地安装的FoxMail、Outlook等软件或访问远程Exchange等。

  • Screen Capture (T1113):截取目标主机桌面屏幕,收集用户图形化操作相关的信息,例如用户使用习惯、用户当前操作状态等信息。

  • Archive Collected Data (T1560):使用程序、自定义方法压缩或加密在目标主机收集的关键信息,混淆收集的数据并最大限度地减少通过网络发送的数据量。

image.png

image.png

自动化实现

image.png

image.png
image.png
image.png
image.png
image.png
image.png
image.png
image.png
image.png
image.png
image.png
image.png
image.png
image.png
image.png
image.png
image.png
image.png
image.png
image.png
image.png
image.png
image.png
image.png
image.png
image.png
image.png
image.png
image.png
image.png
image.png
image.png
image.png
image.png
image.png

SharpHunter

image.png
image.png
image.png
image.png
image.png
image.png
image.png
image.png
image.png

相关文章
|
9天前
|
弹性计算 安全 API
长桥科技:通过Terraform自动化为客户提供安全、高效的产品服务体验
长桥科技通过采用Terraform加速业务上线,实现云资源的高效管理。作为一家金融科技公司,长桥为证券、资管等机构提供数字化解决方案。其SRE团队利用Terraform构建CICD流程,自动化配置云资源及应用配置,简化了基础设施管理,提升了开发效率。通过模块化和自动化部署,新租户的配置从一天缩短至20分钟,显著减少了人力成本和操作复杂度。此外,长桥还遵循编程规范,确保代码的可测试性和复用性,进一步优化了云上基础设施的构建与管理。
|
14天前
|
安全 JavaScript 前端开发
阿里云先知安全沙龙(西安站) ——浅谈XSS漏洞挖掘与构造思路
本文介绍了DOM-XSS构造、运算符的威力和模板字符串妙用三个主题。通过多个实例图解,详细展示了如何利用DOM特性构造XSS攻击、JavaScript运算符在代码中的巧妙应用,以及模板字符串在开发中的灵活运用。这些内容对提升Web安全意识和编程技巧具有重要参考价值。
|
3天前
|
XML 人工智能 文字识别
Mobile-Agent:通过视觉感知实现自动化手机操作,支持多应用跨平台
Mobile-Agent 是一款基于多模态大语言模型的智能代理,能够通过视觉感知自主完成复杂的移动设备操作任务,支持跨应用操作和纯视觉解决方案。
39 10
Mobile-Agent:通过视觉感知实现自动化手机操作,支持多应用跨平台
|
13天前
|
机器学习/深度学习 人工智能 自然语言处理
CogAgent-9B:智谱 AI 开源 GLM-PC 的基座模型,专注于预测和执行 GUI 操作,可应用于自动化交互任务
CogAgent-9B 是智谱AI基于 GLM-4V-9B 训练的专用Agent任务模型,支持高分辨率图像处理和双语交互,能够预测并执行GUI操作,广泛应用于自动化任务。
58 12
CogAgent-9B:智谱 AI 开源 GLM-PC 的基座模型,专注于预测和执行 GUI 操作,可应用于自动化交互任务
|
9天前
|
人工智能 自然语言处理 API
阿里云上的IaC和自动化
本文介绍了阿里云上的自动化与基础设施即代码(IaC)的整体情况。阿里云提供了2万多个API,每日调用量达300亿次,同比增长40%。文中探讨了自动化集成的方式,包括通过API、SDK和IaC工具,并分析了不同场景下的选择策略。对于资源管理较少的企业,控制台界面更合适;而对于高频变更和复杂操作,API和IaC是更好的选择。此外,文章还提到了低代码/无代码解决方案及AI在IaC和自动化中的应用前景。
|
15天前
|
机器学习/深度学习 人工智能 安全
阿里云先知安全沙龙(武汉站) ——AI赋能软件漏洞检测,机遇, 挑战与展望
本文介绍了漏洞检测的发展历程、现状及未来展望。2023年全球披露的漏洞数量达26447个,同比增长5.2%,其中超过7000个具有利用代码,115个已被广泛利用,涉及多个知名软件和系统。文章探讨了从人工审计到AI技术的应用,强调了数据集质量对模型性能的重要性,并展示了不同检测模型的工作原理与实现方法。此外,还讨论了对抗攻击对模型的影响及提高模型可解释性的多种方法,展望了未来通过任务大模型实现自动化漏洞检测与修复的趋势。
|
15天前
|
运维 供应链 安全
阿里云先知安全沙龙(武汉站) - 网络空间安全中的红蓝对抗实践
网络空间安全中的红蓝对抗场景通过模拟真实的攻防演练,帮助国家关键基础设施单位提升安全水平。具体案例包括快递单位、航空公司、一线城市及智能汽车品牌等,在演练中发现潜在攻击路径,有效识别和防范风险,确保系统稳定运行。演练涵盖情报收集、无差别攻击、针对性打击、稳固据点、横向渗透和控制目标等关键步骤,全面提升防护能力。
|
17天前
|
开发框架 安全 网络安全
阿里云先知安全沙龙(杭州站) ——实网攻防中信息收集的艺术
渗透测试的核心在于信息收集,涵盖人和系统的多维度数据。实网攻防流程包括资产收集、漏洞利用、稳固据点、内网横向和控制靶标五个阶段。外网信息收集旨在全面了解目标单位的公开信息,寻找突破口;内网信息收集则聚焦网络连通性和密码凭证,确保攻击行动的有效性和针对性。整个过程强调逐步深入的信息分析,为后续攻击提供支持。
|
20天前
|
机器学习/深度学习 分布式计算 供应链
阿里云先知安全沙龙(上海站) ——大模型基础设施安全攻防
大模型基础设施的安全攻防体系涵盖恶意输入防御和基础设施安全,包括框架、三方库、插件、平台、模型和系统安全。关键漏洞如CVE-2023-6019(Ray框架命令注入)、CVE-2024-5480(PyTorch分布式RPC)及llama.cpp中的多个漏洞,强调了代码安全性的重要性。模型文件安全方面,需防范pickle反序列化等风险,建议使用Safetensors格式。相关实践包括构建供应链漏洞库、智能化漏洞分析和深度检测,确保全方位防护。
|
17天前
|
传感器 安全 物联网
阿里云先知安全沙龙(北京站) ——车联网安全渗透测试思路分享
本文介绍了智能汽车的整车架构、协议栈结构、攻击点分析、渗透思路及案例分享。整车架构涵盖应用层、协议层和物理层,详细解析各层次功能模块和通信机制。攻击点包括Wi-Fi、USB、NFC等,展示车辆通信接口和系统组件的安全风险。渗透思路从信息收集到系统内部探索,利用固件漏洞控制车辆功能。案例展示了网段隔离不足导致的SSH访问和OTA日志审计漏洞,揭示了潜在的安全威胁。