前言
在后渗透阶段使用各类信息凭据收集功能时的体验较为割裂,示例中展示了如何使用LSTAR工具进行RDP状态查询和端口获取,以及如何通过PowerShell脚本进行凭据收集,整个过程涉及多个步骤和工具的配合。
高强度实战场景下的OPSEC(操作安全)需求,强调隐蔽、持续、精准和高效。
主机关键信息
MITRE ATT&CK框架在后渗透阶段的应用,强调后渗透的本质是不断收集信息、扩展权限直至获取靶标系统或核心数据的过程,例如凭证访问中的“Adversary-in-the-Middle”、“Brute Force”等,以及发现中的“Account Discovery”、“Application Window Discovery”等。整个过程通过这些技术的组合使用,确保了攻击者能够逐步渗透目标系统,最终获取所需的核心数据或控制权。
MITRE ATT&CK框架中关于凭证访问(Credential Access)的战术与技术。具体包括:
Credentials from Password Stores (T1555):搜索常用的密码存储位置来获取用户凭证,如网络浏览器Chrome、Edge等保存的账号密码,以及1Password等密码管理器。
Input Capture (T1056):使用捕获用户输入的方法来获取凭证或收集信息,如Keylogger、面向外部的门户网站(如VPN登录页面)上部署水坑攻击。
OS Credential Dumping (T1003):从操作系统缓存、内存或结构中获取凭证,如LSASS、缓存的域凭据等,可用于执行横向移动和访问受限主机。
Steal or Forge Kerberos Tickets (T1558):通过窃取或伪造Kerberos票据绕过Kerberos身份验证来实现Pass the Ticket,如Kerberoasting、AS-REP Roasting。
Steal Web Session Cookie (T1539):窃取网络应用程序或服务会话Cookie,并利用它们以已验证用户的身份访问网络应用程序或互联网服务,而无需凭证。
Unsecured Credentials (T1552):搜索目标主机系统,查找并获取不安全存储的凭证,如Bash History、密码本、微信等即时通讯软件聊天记录发送的凭据。
MITRE ATT&CK框架中关于发现(Discovery)的战术与技术。具体包括:
System Information Discovery (T1082):获取目标系统主机名、资源盘符、操作系统版本、架构、系统补丁和CPU、BIOS等硬件信息,便于进一步判断机器属性。
Browser Information Discovery (T1217):枚举目标主机浏览器的信息(如书签、账户和浏览历史),会泄漏内部网络资产、服务器地址、甚至是靶标系统等关键信息。
File and Directory Discovery (T1083):枚举目标主机文件和目录,在特定位置搜索文件系统某些信息,例如服务或用户软件配置文件、运维密码本等。
Software Discovery (T1518):获取安装在目标主机上的软件和软件版本列表,尤其是杀毒软件名称以及是否安装开发运维相关的服务器、数据库管理软件。
Process Discovery (T1057):获取系统上运行进程的相关信息,有助于进一步确认正在运行的AV/EDR、定位软件配置文件路径、从进程中获取关键凭据。
System Network Connections Discovery (T1049):通过网络查询信息,获取与当前访问的被入侵系统或远程系统之间的网络连接列表,有助于分析网段拓扑、进一步横向渗透。
MITRE ATT&CK框架中关于收集(Collection)的战术与技术。具体包括:
Automated Collection (T1119):与目标主机建立网络通道后,使用自动技术收集主机关键信息及数据,包括但不限于读取、搜索、复制、执行等方式。
Clipboard Data (T1115):当用户在应用程序内部或不同软件之间复制信息时,收集存储在系统剪贴板中的数据。
Data from Information Repositories (T1213):利用信息库挖掘有价值的信息,如重点关注的Confluence、GitHub、Gitlab、OA、CRM等包含大量关键信息的系统。
Email Collection (T1114):以用户电子邮件为目标收集敏感信息或密码凭据,例如本地安装的FoxMail、Outlook等软件或访问远程Exchange等。
Screen Capture (T1113):截取目标主机桌面屏幕,收集用户图形化操作相关的信息,例如用户使用习惯、用户当前操作状态等信息。
Archive Collected Data (T1560):使用程序、自定义方法压缩或加密在目标主机收集的关键信息,混淆收集的数据并最大限度地减少通过网络发送的数据量。