在企业 EDR 环境中模拟 Phineas Phisher 发起的对 Ha
时间:2022-08-19 23:15 来源:网络整理 作者:采集插件 点击:次
2017 年意大利间谍软件公司 Hacking Team 被黑,之后攻击者还把该公司的 400G 文件放到了网上,包括内部文档、源代码和通信邮件,后来才知道,这是一个名为 "Phineas Phisher" 的自黑客所为,Hacking Team 专门为政府和执行部门开发入侵和监控软件。经过调查,这不是随机攻击的结果,而是精心策划和有针对性的攻击。 "Phineas Phisher" 为了实现他的目标,专门为 SonicWall VPN 设备开发了一个零日漏洞。在这次攻击之后,攻击者在互联网上扫描了此类设备,发现开曼群岛的一家离岸银行正在使用相同的易受攻击版本。除了这个漏洞之外,他还通过自己的网站发布公告,他使用了 Meterpreter 和 Empire 等常见的黑客实用程序,而且他不是某种具有自定义恶意软件编写者的 APT,也没有获得大量资金和支持。相反,他自称是单人作战。 黑客入侵银行的最终目的是进入 Bottomline 的 SWIFT 管理面板,并针对他自己的账户发起交易。然后,他上传了银行使用的虚拟机以及存储在这些系统中的所有敏感客户信息。 该攻击场景相当有趣,因为尽管信息具有影响和敏感性,但它提供了对很少有人操作的环境的深入洞察。此外,这样的环境没有很好的公开记录。 我们认为,模拟这样的攻击场景并使其适应当前的攻击和防御工具和方法,可以提供一个很好的了解双方的能力并强调这些年来发生的变化途径。为此,我们在本文中试图通过重建这样的环境并为其配备现代防御机制来跟踪防御性和进攻性安全的演变。 由于大多数组织现在都在将终端检测和响应 ( EDR ) 系统集成到其终端中,以行为检测和遏制网络攻击,因此我们已相应地装备了我们的终端。然而,正如我们之前的研究所示,EDR 不是灵丹妙药,也有其弱点。事实上,高级持续性威胁 ( APT ) 组织已经显着提升了他们的攻击能力。他们可以使用多种此类防御技术,对其进行研究并相应地自定义恶意软件以针对它们并最大限度地减少对它们的检测。此外,APT 和勒索软件组使用多种 C2 框架,其中使用最广泛的是 Cobalt Strike;但是,有不同的选项可以提供不同的功能,并更好地适应攻击所需。 模拟攻击 与 MITRE ATT&CK 等常见测试不同,攻击者是专门对防御措施进行了高度有针对性的攻击。这样一个行动者的攻击性安全类型包括从基本的网络攻击和操作到武器化一系列私人工具包,从最高端的和经过实战验证的解决方案到不太为人所知但非常有效的选择。 该实验室的架构没有模拟人的流量,因此不必考虑攻击者典型的隐藏位置,这样才能突出 EDR 解决方案的优势,因为样本很容易脱颖而出。检测工程可以被认为是避免误报的艺术,在这些低流量的情况下,与普通用户和应用程序流量混合的机会并不多。因此,我们试图将其模仿为在我们拥有的环境中要遵循的静态原则。 鉴于这一事实,研究人员决定不断修改从攻击准备到 BETA 功能的政策,推动其产品的不断研发,确保高度敏感的信息不被泄露。 网络架构分析 我们试图模拟 "Phineas Phisher" 的攻击场景,包括 Phineas Phisher 攻击的 Cayman Island National Bank and Trust 的基础设施,对其进行重新配置并在 Hyper-V 服务器上使用新设备对其进行扩展。在网络层面,采用 PfSense、Virtual Switches、RRAS 和 Squid 实施网络分段和安全策略。在服务器和工作站上安装主流应用和银行相关应用,使用虚拟 Citrix XenApp 实例,并使用跳转服务器模拟虚拟 SWIFT 安全区域。使用了各种操作版本的 Windows,并在主机上使用了一些安全特性,如 Credential Guard,以实现最低水平的操作复杂性和真实性。通常,通过在一些终端上提供本地管理访问,并允许加载内核驱动程序和执行其他操作,网络设计允许我们演示几种特权和非特权攻击向量。 工具集分析 接下来,我们将会介绍几种复杂程度不同的工具。特别感兴趣的是攻击者可能使用的 c2。为此,我们会进行简单介绍。 Cobalt Strike 4.4 版本 Cobalt Strike 是 C2 框架的标准。它提供了执行基本操作所需的核心功能,但也是完全可扩展的。从 BOF、Reflective DLL、各种套件等形式的插件来看,我们可以看到社区完成了大量工作。本文使用的是最新版本—— 4.4 版本,就是在测试中使用的。此版本专门引入了自定义反射加载器功能,这意味着你可以用自己的功能替换默认功能,就像 boku7 的实现一样。此外,你可以使用 BOF,将在本地进程内执行的代码片段,避免版本不同造成的影像。 Cobalt Strike 虽不再那么安全了,但你始终可以自己实现几个安全功能并将它们嵌入到你的加载程序中。 (责任编辑:admin) |