红蓝对抗中的近源渗透

红蓝对抗中的近源渗入前言近源渗入是这两年常被安全业内人员谈起的热门话题。不同于其它虚无缥缈的安全概念，近源渗入涉及到的无线安全、物理安全、社会工程学都十分容易落地实践，许多公司内部的攻防对抗演习也都出现了看上去“很过分”的近源渗入攻击手法，给防守方团体上了生动的一课。的时候，笔者和朋友们就推出了漫画《黑客特战队·近源渗入》和出版书《黑客大揭秘：近源渗入测试》。作为近源渗入概念的主力“炒作者”之一，这篇文章和大家聊聊我对近源渗入的理解。01什么是红蓝对抗红蓝对抗原本是一种军事概念，指在部队模拟对抗时，专门成立一种扮演假想敌的部队（蓝军）与我方正面部队（红军）进行对抗性演习。在信息安全领域中的红蓝对抗也是类似的思路，一方扮演黑客，另一方扮演防守者进行网络安全攻防演习。在演习过程中，蓝军模拟真实的攻击来评定公司现有防守体系的安全能力，红军对发现的问题做出对应的优化整治。通过周期性的红蓝对抗攻防演习，持续性地提高公司在攻击防护、威胁检测、应急响应方面的能力。需要注意，国外流行使用RedTeam（红队）代表攻击方，BlueTeam（蓝队）代表防守方。02什么是近源渗入在《黑客大揭秘：近源渗入测试》书中，笔者将近源渗入定义为“指测试人员靠近或位于测试目的建筑内部，运用各类无线通信技术、物理接口和智能设备进行渗入测试的办法总称”。用通俗的话来讲，就是通过乔装、社工等方式实地物理侵入公司办公区域，通过其内部多个潜在攻击面（如Wi-Fi网络、RFID门禁、暴露的有线网口、USB接口等）获得“战果”，最后以隐秘的方式将评定成果带出上报，由此证明公司安全防护存在漏洞。能够直观地感觉到，近源渗入与传统渗入测试的重要区别体现在对“边界”的理解上。在通过外网网络入口入侵公司这条路上，将面对防火墙、入侵检测等重重防御方法，攻击门槛逐步变高。而在近源渗入的场景中，由于测试人员位于目的公司附近甚至建筑内部，这些地方往往存在大量被公司无视的安全盲点。我们能够根据目的的网络状态、现场环境、物理位置等因素灵活地更换渗入测试方式，这也更靠近渗入测试的本质。03近源渗入的测试目的如果做完整的攻击面分析，近源渗入能够涉及到的测试对象会非常多，涉及WiFi、蓝牙、RFID、ZigBee、蜂窝、Ethernet等等各类物联网通信技术甚至涉及智能设备的嵌入式安全。在本文中，笔者将挑选其中较为通用且容易在红蓝对抗中实施的近源渗入技术进行探讨。3.1无线渗入在过去很长一段时间里，由于没有明显的竞争对手，人们普遍把无线安全用作Wi-Fi安全的同义词，把无线网络等同于Wi-Fi，下文中笔者将延续使用此习惯。3月，由于某公司内部存在开放的无线网络，造成超级计算机“XX一号”的某节点被攻击，大量敏感信息疑遭泄露。5月，某航站楼Wi-Fi提供商的服务器安全设施局限性和代码漏洞，造成服务器中的顾客隐私数据被泄露。，某手机售后中心因Wi-Fi安全缺点造成内网被攻击者入侵。4月，富士康前员工秘密桥接无线网络侵入苹果公司的网络，为别人提供“改机、解锁”服务。，国内某安全研究员在新加坡参加安全会议，在入住酒店期间通过酒店无线网络入侵内部系统，并发表博客介绍入侵过程。如今，无线网络已经事实上成为了公司移动化办公的重要基础设施，但由于普遍缺少有效的管理，布署与使用人员的安全意识和专业知识的局限性，造成AP分布混乱，设备安全性脆弱，无线网络也越来越多地成为黑客入侵公司内网的突破口。正由于如此，笔者在《近源渗入测试》一书中花了大量笔墨用于描述基于无线网络的安全攻防，无线网络是现在近源渗入中的重要测试手段。在笔者之前的工作中，曾对军工、能源、金融、政企、电信等多个类型的行业客户做过大量的无线渗入测试服务，发现各单位对无线安全的建设都处在相对含糊和单薄的阶段，重要反映在三块：1.不懂得内部有多少无线热点公司内部存在的热点，从“与否由AP下发”和“使用目的”的角度，可分为下列几类：官方下发热点正式热点：有规划搭建的长久热点事件类热点：支持业务项目的中短期热点历史遗留热点：不再使用却未下线的热点非官方热点邻居热点：全部未接入到内部网络的热点业务热点：业务部门报备审批后自行建立的热点员工私建热点：在办公机上通过无线网卡分享出的热点。恶意热点：用于攻击客户端的钓鱼热点2.不懂得黑客具体的攻击手法从无线攻击的目的来看，能够分为三类：绕过无线认证，获取无线网络访问权限攻击无线终端，窃取敏感信息破坏无线基础设施这些目的可能会同时出现，例如先攻击无线终端获取凭据，再使用凭据连入网络。针对对应的目的，黑客会采用对应具体的攻击手法。3.不懂得如何做无线防护在不懂得前两点的前提下，就不可能做得好防护。理解内部存在哪些无线热点其实就是在梳理暴露的攻击面，如果对此没有清晰的认识，在这种基础上做的无线安全防护就犹如“马其诺防线”同样，一打就穿。笔者曾受邀对一种大型金融公司做无线安全检测，由于行业的敏感性同时他们高层领导对无线网络不安全有苏醒的认识，于是采用了不布署任何无线网络的方略。初看下，连无线网络都没布署，自然就不见面对无线威胁。而事实是，笔者在该公司移动端开发团体所在区域，发现了一种由mac办公机共享出来的私建热点，破解密码连上网络后，就拥有了办公机同样的访问权限，直通内网。这样一种简朴的私建热点就把想象中“无懈可击”的无线防护方略打破了。从无线攻击的目的来思考，会发现获取无线网络访问权限仅是其目的之一。我懂得现在的公司级AP基本都自带了钓鱼热点防护功效，那员工到公共场合使用怎么防钓鱼热点呢。移动化办公是不可逆的浪潮，我们就得假设员工一定会在钓鱼热点环境下办公，基于这样的假设提出的防护方略才干扛得住真实攻击。对于另外一种目的“破坏无线基础设施”能够想象这样一种场景：由于移动化办公的普及，大家都习惯使用笔记本设备来干活，假设在核心时期攻击者在目的团体工位偷偷放置一种无差别全阻断的盒子进行Wi-FiDeauth攻击，让受害者的运行能力在短时间内极具减少。那么与否能结合AP日志建立一套及时发现Wi-FiDeauth攻击，物理定位，现场排查可疑人员/设备的机制？在极端状况下，这些笔记本与否能够快速通过网线接入网络？公司无线安全体系建设是一种包含技术与管理的庞大话题，为了但是于偏离主题这里仅作举例不再近一步展开。即使这部分内容是以防守方视角写的，但理解到防守方的痛点与难点后，可觉得攻击测试方向指明道路。“道”清晰了，“器”和“术”的积累只是时间问题。3.2HID攻击HID（humaninterfacedevice）指键盘、鼠标与游戏标杆等这类用于为计算机提供数据输入的人机交互设备。攻击者能够将特殊的USB设备模拟成为键盘，一旦连接上计算机就执行预定的恶意操作，这便是HID攻击。在过去十年间，出现了Teensy、USBRubberDucker、BadUSB、BashBunny、WHID等等不同形式、各具特色的HID攻击设备，它们通过DEFCON、BlackHat等安全会议和新闻媒体向外宣传，无论是业内、业外都对这种攻击手法含有一定理解和防备意识。笔者将介绍两种较为有隐蔽性的HID攻击手段，以贴近在真实环境下的攻击场景。1.运用Android设备执行HID攻击这种方式的优势是显而易见的，能够便捷地在手机上切换和修改攻击指令，自带电源免去了从插入到发动攻击前这段不短的初始化时间，极大挺高了攻击隐蔽性。固然，这对Android设备有一定的规定，需要root同时内核要打入USBHID补丁。笔者喜欢使用KaliLinuxNethunter来布署该攻击工具。NetHunter是一种基于Android的开源渗入测试平台，由KaliLinux社区与OffensiveSecurity共同创立，系统中包含大量KaliLinux中的渗入测试工具，还支持802.11帧注入、HID攻击、MANA恶意热点攻击等。运用其中的DuckHunterHID工具，编写好USBRubberDucky格式的脚本后，将该Android设备与目的计算机相连，随即便会模拟成键盘进行输入。从插入电脑到恶意操作执行完所需时间但是几秒，这能够协助你给那些离开工位不锁屏的同事好好上一课。2.USBNinja前面把Android手机改造成了HID攻击设备，而USBNinja更加过分，伪装成一条数据线。它拥有与普通数据线一致的外观，并且能够像正常数据线同样进行充电和传输数据。而一旦接受到遥控器或手机APP的指令时，它就会执行预设好的攻击指令，模拟键盘输入或鼠标点击进行攻击。在近来更新的USBNinjaPro版本中进行了近一步加强，全部配备过程可在手机APP上进行，同时拥有更快的USB2.0打字速度、自毁模式去除固件、自动检测大写锁定、支持BLE5.0等新功效，还增加了键盘、鼠标等新外形。Pro版的USBNinja数据线售价为468元，即使价格较贵，还是推荐蓝军同窗们最少购置一套以用作向老板们进行风险演示或员工安全意识教育的工具。我们可能会怀疑U盘、怀疑手机，但实在很难对一根能充电的数据线产生怀疑。3.3LockPickingLockPicking指开锁的艺术。在DEFCON大会上一向就有一种LockPickingVillage展区来教参会者开锁技巧，尽管撬锁经常被与犯罪联系起来，但开锁技巧也能够被当做一项有用的生活技巧来学习，更或者仅仅作为一种爱好。在全球大多数的都市中，只要不将它用作犯罪目的，学习开锁技术都是可行且正当的。，在笔者和小伙伴们组织的DC010深圳站沙龙上，便将LockPickingVillage第一次引进到国内，现在已经成为DEFCONGROUP国内各本地化社区的热门演示项目。LockPickingVillage的目的在于让我们理解到不同锁类的安全性，方便在此后的生活中挑选购置安全性更高的锁具。之因此在这里提到锁具安全，是由于笔者在多个公司内部看到太多敏感区域的门锁仅使用了A级或B级的锁芯，这两种安全等级的锁芯极易被撬开。例如笔者曾在某一公司内发现，全部楼层的弱电井门使用的都是A级锁，运用单勾形式的便携工具即可轻松打开，而门后便是多台交换机和服务器设备，风险可想而知。3.4物理潜入这里的潜入是指在未授权状况下进入目的区域，同样是个与CyberSecurity无关却很有趣的话题。考虑到话题敏感性，下列内容读者请认为是虚构，如有雷同纯属巧合。电影《平原上的夏洛克》中，主角需要进入某高档社区跟踪目的，社区有较为严格的出入门禁管理，门禁卡每刷一次只能进一人无法尾随。于是主角想方法弄来了一套外卖服装，以送外卖名义让保安帮开门进入了社区。XX市科学技术馆，由于正值暑期高峰进入场馆需要提前预约，与否今天没法进入了呢。我发现在场馆一侧是一座与之相连的办公楼，我走进办公楼时没遭到任何阻拦。步入转角处的电梯来到3楼，走到办公楼与场馆相连的走道。交界处站着安保人员，我整顿了一下表情，大方地走了过去。果然安保人员并没有阻拦我，他们的任务是避免观众进入办公区，而反向就默认放行了。如此，我便进入了场馆。XX市XX洞景点，作为该市的出名网红免费景点，每到节假日都需要排长长的队伍才干进入。这时有黄牛走过来，悄悄吆喝道“正常得排1个小时，100元走VIP通道，5分钟就能进去”。由于带着朋友，为避免无意义的排队我交了钱。他带着我七拐八绕，还不到5分钟就进去了，但是这时我反映过来这所谓的VIP通道不就是消防通道吗。XX国XX安全会议，门票换算成RMB特别昂贵，在一楼处是检票口，工作人员审核后才干乘坐扶梯上二楼会议区。作为演讲者的我即使拥有一张票，但随行的小伙伴就没法进入了。这时我们发现角落有一部货梯，乘坐到二楼推开消防安全门便直接进入了人来人往的会场区。即使没有观众胸卡，但会场里边已经没人做检查了。这些案例都反映出一种共同点，正门是严格审核的区域，但对于人工通道、消防通道、货梯、地下车库等“隐藏入口”，往往就处在安保单薄区域。对于近源渗入人员，能越近一步地进入目的内部，意味着发现问题的可能性越大。04近源渗入的将来发展近源渗入并不是一种新出现的概念，以前也有“抵近攻击”、“物理渗入”等说法，但相比于10年前，近源渗入的测试对象增加了更多无线通信方面的技术。这是由于随着物联网（IoT）的蓬勃发展，公司内部出现了多个形式的智能设备，如蓝牙键盘鼠标、无线打印机、智能照明、智能摄像头、智能电视、智能音箱等等，这个名单在持续增加。甚至在电梯、自动售货机、中央空调或其它基础设施中，也配套使用了物联网技术，它们通过Wi-Fi、蓝牙、ZigBee、NFC或其它无线技术进行通信。对于公司而言，物联网设备的特性给公司带来了严重的安全挑战。各式各样的设备外观，配备各式各样的传感器组件，采用不同的无线通信技术，运行于不同的操作系统和CPU架构中。它们大部分都没有固定的安全配备，没有顾客交互界面，也无法安装安全软件或代理方便于管控。传统的安全实践，如防火墙、反恶意软件或其它安全解决方案在面临来自物联网的安全威胁时是不够的，IT管理人员甚至只能发现公司内40%的设备，像员工带来的智能设备等都处在公司管理视野的盲区，更无从谈起如何保护它们，而它们可能已经通过某种形式接入了公司内网。对于潜在的攻击者来说，以这些物联网设备作为渗入切入点是十分含有想象空间的：，Bastille的研究团体公布了一种有关无线鼠标、无线键盘的漏洞披露，攻击者能够嗅探并劫持来自无线键鼠的操作指令；，腾讯BladeTeam运用无人机渗入智能楼宇，远程控制办公楼中的照明、空调、插座和电动窗帘等智能设备；，东京电气通信大学副专家TakeshiSugawara等研究者发表了一种运用激光劫持智能音箱的攻击方式，研究者以特定频率变化激