红蓝对抗中的近源渗透
前言
近源渗透是这两年常被安全业内人员谈起的热门话题。不同于其他虚无缥缈的安全概念,近源渗透涉及到的无线安全、物理安全、社会工程学都十分容易落地实践,许多企业内部的攻防对抗演练也都出现了看上去“很过分”的近源渗透攻击手法,给防守方团队上了生动的一课。
19年的时候,笔者和朋友们就推出了漫画《黑客特战队·近源渗透》和出版书《黑客大揭秘:近源渗透测试》。作为近源渗透概念的主力“炒作者”之一,这篇文章和大家聊聊我对近源渗透的理解。
01 什么是红蓝对抗
结婚歌曲 适合婚礼的歌曲红蓝对抗原本是一个军事概念,指在部队模拟对抗时,专门成立一个扮演假想敌的部队(蓝军)与我方正面部队(红军)进行对抗性演练。在信息安全领域中的红蓝对抗也是类似的思路,一方扮演黑客,另一方扮演防守者进行网络安全攻防演练。在演练过程中,蓝军模拟真
实的攻击来评估企业现有防守体系的安全能力,红军对发现的问题做出相应的优化整改。通过周期性的红蓝对抗攻防演习,持续性地提高企业在攻击防护、威胁检测、应急响应方面的能力。
需要注意,国外流行使用Red Team(红队)代表攻击方,Blue Team(蓝队)代表防守方。
02 什么是近源渗透
在《黑客大揭秘:近源渗透测试》书中,笔者将近源渗透定义为“指测试人员靠近或位于测试目标建筑内部,利用各类无线通信技术、物理接口和智能设备进行渗透测试的方法总称”。
用通俗的话来讲,就是通过乔装、社工等方式实地物理侵入企业办公区域,通过其内部各种潜在攻击面(如Wi-Fi网络、RFID门禁、暴露的有线网口、USB接口等)获得“战果”,最后以隐秘的方式将评估结果带出上报,由此证明企业安全防护存在漏洞。
可以直观地感觉到,近源渗透与传统渗透测试的主要区别体现在对“边界”的理解上。在通
过外网网络入口入侵企业这条路上,将面对防火墙、入侵检测等重重防御措施,攻击门槛逐渐变高。而在近源渗透的场景中,由于测试人员位于目标企业附近甚至建筑内部,这些地方往往存在大量被企业忽视的安全盲点。我们可以根据目标的网络状态、现场环境、物理位置等因素灵活地更换渗透测试方式,这也更接近渗透测试的本质。
03 近源渗透的测试目标
如果做完整的攻击面分析,近源渗透可以涉及到的测试对象会非常多,包括WiFi、蓝牙、RFID、ZigBee、蜂窝、Ethernet等等各类物联网通信技术甚至包括智能设备的嵌入式安全。在本文中,笔者将挑选其中较为通用且容易在红蓝对抗中实施的近源渗透技术进行探讨。
3.1 无线渗透
在过去很长一段时间里,由于没有明显的竞争对手,人们普遍把无线安全用作Wi-Fi安全的同义词,把无线网络等同于Wi-Fi,下文中笔者将延续使用此习惯。
∙2015年3月,由于某公司内部存在开放的无线网络,导致超级计算机“XX一号”的某节点被
攻击,大量敏感信息疑遭泄露。
∙2015年5月,某航站楼Wi-Fi提供商的服务器安全设施不足和代码漏洞,导致服务器中的用户隐私数据被泄露。
柯震东做了多久牢∙2016年,某手机售后中心因Wi-Fi安全缺陷导致内网被攻击者入侵。
∙2016年4月,富士康前员工秘密桥接无线网络侵入苹果公司的网络,为他人提供“改机、解锁”服务。
∙2018年,国内某安全研究员在新加坡参加安全会议,在入住酒店期间通过酒店无线网络入侵内部系统,并发表博客介绍入侵过程。
如今,无线网络已经事实上成为了企业移动化办公的重要基础设施,但由于普遍缺乏有效的管理,部署与使用人员的安全意识和专业知识的不足,导致AP分布混乱,设备安全性脆弱,无线网络也越来越多地成为黑客入侵企业内网的突破口。正因为如此,笔者在《近源渗透测试》一书中花了大量笔墨用于描述基于无线网络的安全攻防,无线网络是目前近源渗透中的主要测试手段。
在笔者之前的工作中,曾对军工、能源、金融、政企、电信等各种类型的行业客户做过大量的无线渗透测试服务,发现各单位对无线安全的建设都处于相对模糊和薄弱的阶段,主要反应在三块:
1.不知道内部有多少无线热点
企业内部存在的热点,从“是否由AP下发”和“使用目的”的角度,可分为以下几类:
∙官方下发热点
∙正式热点:有规划搭建的长期热点朱媛媛个人资料
∙事件类热点:支持业务项目的中短期热点
∙吴尊的女朋友历史遗留热点:不再使用却未下线的热点
∙非官方热点
∙邻居热点:所有未接入到内部网络的热点姜文个人资料
∙业务热点:业务部门报备审批后自行建立的热点
∙员工私建热点:在办公机上通过无线网卡分享出的热点。
∙恶意热点:用于攻击客户端的钓鱼热点
2.不知道黑客具体的攻击手法
从无线攻击的目标来看,可以分为三类:
∙卡戴珊 女婴绕过无线认证,获取无线网络访问权限
∙攻击无线终端,窃取敏感信息
∙破坏无线基础设施
这些目标可能会同时出现,比如先攻击无线终端获取凭据,再使用凭据连入网络。针对相应的目标,黑客会采取对应具体的攻击手法。
3.不知道如何做无线防护
在不知道前两点的前提下,就不可能做得好防护。
了解内部存在哪些无线热点其实就是在梳理暴露的攻击面,如果对此没有清晰的认识,在这种基础上做的无线安全防护就如同“马其诺防线”一样,一打就穿。
笔者曾受邀对一个大型金融企业做无线安全检测,由于行业的敏感性同时他们高层领导对无线网络不安全有清醒的认识,于是采取了不部署任何无线网络的策略。初看下,连无线网络都没部署,自然就不会面对无线威胁。而事实是,笔者在该企业移动端开发团队所在区域,发现了一个由mac办公机共享出来的私建热点,破解密码连上网络后,就拥有了办公机同样的访问权限,直通内网。这样一个简单的私建热点就把想象中“无懈可击”的无线防护策略打破了。
从无线攻击的目标来思考,会发现获取无线网络访问权限仅是其目的之一。我知道现在的企业级AP基本都自带了钓鱼热点防护功能,那员工到公共场所使用怎么防钓鱼热点呢。移动化办公是不可逆的浪潮,我们就得假设员工一定会在钓鱼热点环境下办公,基于这样的假设提出的防护策略才能扛得住真实攻击。
对于另外一个目的“破坏无线基础设施”可以想象这样一个场景:由于移动化办公的普及,大家都习惯使用笔记本设备来干活,假设在关键时期攻击者在目标团队工位偷偷放置一个无差别全阻断的盒子进行Wi-Fi Deauth攻击,让受害者的运营能力在短时间内极具降低。那么是否能结合AP日志建立一套及时发现Wi-Fi Deauth攻击,物理定位,现场排查可疑人员/设备的机制?在极端情况下,这些笔记本是否可以快速通过网线接入网络?
发布评论