先知安全沙龙(上海站)——后渗透阶段主机关键信息自动化狩猎的实现与应用

简介: 本文介绍了在后渗透测试中使用LSTAR工具和PowerShell脚本进行RDP状态查询、端口获取及凭据收集的过程,强调了高强度实战场景下的OPSEC需求。通过MITRE ATT&CK框架的应用,详细阐述了凭证访问、发现和收集等关键技术,确保攻击者能够隐蔽、持续且高效地渗透目标系统,最终获取核心数据或控制权。文中还展示了SharpHunter等工具的自动化实现,进一步提升了操作的安全性和效率。

前言

在后渗透阶段使用各类信息凭据收集功能时的体验较为割裂,示例中展示了如何使用LSTAR工具进行RDP状态查询和端口获取,以及如何通过PowerShell脚本进行凭据收集,整个过程涉及多个步骤和工具的配合。

image.png

高强度实战场景下的OPSEC(操作安全)需求,强调隐蔽、持续、精准和高效。

image.png

主机关键信息

MITRE ATT&CK框架在后渗透阶段的应用,强调后渗透的本质是不断收集信息、扩展权限直至获取靶标系统或核心数据的过程,例如凭证访问中的“Adversary-in-the-Middle”、“Brute Force”等,以及发现中的“Account Discovery”、“Application Window Discovery”等。整个过程通过这些技术的组合使用,确保了攻击者能够逐步渗透目标系统,最终获取所需的核心数据或控制权。

image.png

MITRE ATT&CK框架中关于凭证访问(Credential Access)的战术与技术。具体包括:

  • Credentials from Password Stores (T1555):搜索常用的密码存储位置来获取用户凭证,如网络浏览器Chrome、Edge等保存的账号密码,以及1Password等密码管理器。

  • Input Capture (T1056):使用捕获用户输入的方法来获取凭证或收集信息,如Keylogger、面向外部的门户网站(如VPN登录页面)上部署水坑攻击。

  • OS Credential Dumping (T1003):从操作系统缓存、内存或结构中获取凭证,如LSASS、缓存的域凭据等,可用于执行横向移动和访问受限主机。

  • Steal or Forge Kerberos Tickets (T1558):通过窃取或伪造Kerberos票据绕过Kerberos身份验证来实现Pass the Ticket,如Kerberoasting、AS-REP Roasting。

  • Steal Web Session Cookie (T1539):窃取网络应用程序或服务会话Cookie,并利用它们以已验证用户的身份访问网络应用程序或互联网服务,而无需凭证。

  • Unsecured Credentials (T1552):搜索目标主机系统,查找并获取不安全存储的凭证,如Bash History、密码本、微信等即时通讯软件聊天记录发送的凭据。

image.png

MITRE ATT&CK框架中关于发现(Discovery)的战术与技术。具体包括:

  • System Information Discovery (T1082):获取目标系统主机名、资源盘符、操作系统版本、架构、系统补丁和CPU、BIOS等硬件信息,便于进一步判断机器属性。

  • Browser Information Discovery (T1217):枚举目标主机浏览器的信息(如书签、账户和浏览历史),会泄漏内部网络资产、服务器地址、甚至是靶标系统等关键信息。

  • File and Directory Discovery (T1083):枚举目标主机文件和目录,在特定位置搜索文件系统某些信息,例如服务或用户软件配置文件、运维密码本等。

  • Software Discovery (T1518):获取安装在目标主机上的软件和软件版本列表,尤其是杀毒软件名称以及是否安装开发运维相关的服务器、数据库管理软件。

  • Process Discovery (T1057):获取系统上运行进程的相关信息,有助于进一步确认正在运行的AV/EDR、定位软件配置文件路径、从进程中获取关键凭据。

  • System Network Connections Discovery (T1049):通过网络查询信息,获取与当前访问的被入侵系统或远程系统之间的网络连接列表,有助于分析网段拓扑、进一步横向渗透。

image.png

MITRE ATT&CK框架中关于收集(Collection)的战术与技术。具体包括:

  • Automated Collection (T1119):与目标主机建立网络通道后,使用自动技术收集主机关键信息及数据,包括但不限于读取、搜索、复制、执行等方式。

  • Clipboard Data (T1115):当用户在应用程序内部或不同软件之间复制信息时,收集存储在系统剪贴板中的数据。

  • Data from Information Repositories (T1213):利用信息库挖掘有价值的信息,如重点关注的Confluence、GitHub、Gitlab、OA、CRM等包含大量关键信息的系统。

  • Email Collection (T1114):以用户电子邮件为目标收集敏感信息或密码凭据,例如本地安装的FoxMail、Outlook等软件或访问远程Exchange等。

  • Screen Capture (T1113):截取目标主机桌面屏幕,收集用户图形化操作相关的信息,例如用户使用习惯、用户当前操作状态等信息。

  • Archive Collected Data (T1560):使用程序、自定义方法压缩或加密在目标主机收集的关键信息,混淆收集的数据并最大限度地减少通过网络发送的数据量。

image.png

image.png

自动化实现

image.png

image.png
image.png
image.png
image.png
image.png
image.png
image.png
image.png
image.png
image.png
image.png
image.png
image.png
image.png
image.png
image.png
image.png
image.png
image.png
image.png
image.png
image.png
image.png
image.png
image.png
image.png
image.png
image.png
image.png
image.png
image.png
image.png
image.png
image.png
image.png

SharpHunter

image.png
image.png
image.png
image.png
image.png
image.png
image.png
image.png
image.png

相关文章
|
7天前
|
调度 云计算 芯片
云超算技术跃进,阿里云牵头制定我国首个云超算国家标准
近日,由阿里云联合中国电子技术标准化研究院主导制定的首个云超算国家标准已完成报批,不久后将正式批准发布。标准规定了云超算服务涉及的云计算基础资源、资源管理、运行和调度等方面的技术要求,为云超算服务产品的设计、实现、应用和选型提供指导,为云超算在HPC应用和用户的大范围采用奠定了基础。
179585 20
|
14天前
|
存储 运维 安全
云上金融量化策略回测方案与最佳实践
2024年11月29日,阿里云在上海举办金融量化策略回测Workshop,汇聚多位行业专家,围绕量化投资的最佳实践、数据隐私安全、量化策略回测方案等议题进行深入探讨。活动特别设计了动手实践环节,帮助参会者亲身体验阿里云产品功能,涵盖EHPC量化回测和Argo Workflows量化回测两大主题,旨在提升量化投研效率与安全性。
云上金融量化策略回测方案与最佳实践
|
16天前
|
人工智能 自然语言处理 前端开发
从0开始打造一款APP:前端+搭建本机服务,定制暖冬卫衣先到先得
通义灵码携手科技博主@玺哥超carry 打造全网第一个完整的、面向普通人的自然语言编程教程。完全使用 AI,再配合简单易懂的方法,只要你会打字,就能真正做出一个完整的应用。
9375 23
|
20天前
|
Cloud Native Apache 流计算
资料合集|Flink Forward Asia 2024 上海站
Apache Flink 年度技术盛会聚焦“回顾过去,展望未来”,涵盖流式湖仓、流批一体、Data+AI 等八大核心议题,近百家厂商参与,深入探讨前沿技术发展。小松鼠为大家整理了 FFA 2024 演讲 PPT ,可在线阅读和下载。
5051 15
资料合集|Flink Forward Asia 2024 上海站
|
20天前
|
自然语言处理 数据可视化 API
Qwen系列模型+GraphRAG/LightRAG/Kotaemon从0开始构建中医方剂大模型知识图谱问答
本文详细记录了作者在短时间内尝试构建中医药知识图谱的过程,涵盖了GraphRAG、LightRAG和Kotaemon三种图RAG架构的对比与应用。通过实际操作,作者不仅展示了如何利用这些工具构建知识图谱,还指出了每种工具的优势和局限性。尽管初步构建的知识图谱在数据处理、实体识别和关系抽取等方面存在不足,但为后续的优化和改进提供了宝贵的经验和方向。此外,文章强调了知识图谱构建不仅仅是技术问题,还需要深入整合领域知识和满足用户需求,体现了跨学科合作的重要性。
|
28天前
|
人工智能 自动驾驶 大数据
预告 | 阿里云邀您参加2024中国生成式AI大会上海站,马上报名
大会以“智能跃进 创造无限”为主题,设置主会场峰会、分会场研讨会及展览区,聚焦大模型、AI Infra等热点议题。阿里云智算集群产品解决方案负责人丛培岩将出席并发表《高性能智算集群设计思考与实践》主题演讲。观众报名现已开放。
|
16天前
|
人工智能 容器
三句话开发一个刮刮乐小游戏!暖ta一整个冬天!
本文介绍了如何利用千问开发一款情侣刮刮乐小游戏,通过三步简单指令实现从单个功能到整体框架,再到多端优化的过程,旨在为生活增添乐趣,促进情感交流。在线体验地址已提供,鼓励读者动手尝试,探索编程与AI结合的无限可能。
三句话开发一个刮刮乐小游戏!暖ta一整个冬天!
|
15天前
|
消息中间件 人工智能 运维
12月更文特别场——寻找用云高手,分享云&AI实践
我们寻找你,用云高手,欢迎分享你的真知灼见!
1188 72