紅藍(lán)對(duì)抗中的近源滲透

紅藍(lán)對(duì)抗中的近源滲入前言近源滲入是這兩年常被安全業(yè)內(nèi)人員談起的熱門(mén)話題。不同于其它虛無(wú)縹緲的安全概念，近源滲入涉及到的無(wú)線安全、物理安全、社會(huì)工程學(xué)都十分容易落地實(shí)踐，許多公司內(nèi)部的攻防對(duì)抗演習(xí)也都出現(xiàn)了看上去“很過(guò)分”的近源滲入攻擊手法，給防守方團(tuán)體上了生動(dòng)的一課。的時(shí)候，筆者和朋友們就推出了漫畫(huà)《黑客特戰(zhàn)隊(duì)·近源滲入》和出版書(shū)《黑客大揭秘：近源滲入測(cè)試》。作為近源滲入概念的主力“炒作者”之一，這篇文章和大家聊聊我對(duì)近源滲入的理解。01什么是紅藍(lán)對(duì)抗紅藍(lán)對(duì)抗原本是一種軍事概念，指在部隊(duì)模擬對(duì)抗時(shí)，專(zhuān)門(mén)成立一種扮演假想敵的部隊(duì)（藍(lán)軍）與我方正面部隊(duì)（紅軍）進(jìn)行對(duì)抗性演習(xí)。在信息安全領(lǐng)域中的紅藍(lán)對(duì)抗也是類(lèi)似的思路，一方扮演黑客，另一方扮演防守者進(jìn)行網(wǎng)絡(luò)安全攻防演習(xí)。在演習(xí)過(guò)程中，藍(lán)軍模擬真實(shí)的攻擊來(lái)評(píng)定公司現(xiàn)有防守體系的安全能力，紅軍對(duì)發(fā)現(xiàn)的問(wèn)題做出對(duì)應(yīng)的優(yōu)化整治。通過(guò)周期性的紅藍(lán)對(duì)抗攻防演習(xí)，持續(xù)性地提高公司在攻擊防護(hù)、威脅檢測(cè)、應(yīng)急響應(yīng)方面的能力。需要注意，國(guó)外流行使用RedTeam（紅隊(duì)）代表攻擊方，BlueTeam（藍(lán)隊(duì)）代表防守方。02什么是近源滲入在《黑客大揭秘：近源滲入測(cè)試》書(shū)中，筆者將近源滲入定義為“指測(cè)試人員靠近或位于測(cè)試目的建筑內(nèi)部，運(yùn)用各類(lèi)無(wú)線通信技術(shù)、物理接口和智能設(shè)備進(jìn)行滲入測(cè)試的辦法總稱”。用通俗的話來(lái)講，就是通過(guò)喬裝、社工等方式實(shí)地物理侵入公司辦公區(qū)域，通過(guò)其內(nèi)部多個(gè)潛在攻擊面（如Wi-Fi網(wǎng)絡(luò)、RFID門(mén)禁、暴露的有線網(wǎng)口、USB接口等）獲得“戰(zhàn)果”，最后以隱秘的方式將評(píng)定成果帶出上報(bào)，由此證明公司安全防護(hù)存在漏洞。能夠直觀地感覺(jué)到，近源滲入與傳統(tǒng)滲入測(cè)試的重要區(qū)別體現(xiàn)在對(duì)“邊界”的理解上。在通過(guò)外網(wǎng)網(wǎng)絡(luò)入口入侵公司這條路上，將面對(duì)防火墻、入侵檢測(cè)等重重防御方法，攻擊門(mén)檻逐步變高。而在近源滲入的場(chǎng)景中，由于測(cè)試人員位于目的公司附近甚至建筑內(nèi)部，這些地方往往存在大量被公司無(wú)視的安全盲點(diǎn)。我們能夠根據(jù)目的的網(wǎng)絡(luò)狀態(tài)、現(xiàn)場(chǎng)環(huán)境、物理位置等因素靈活地更換滲入測(cè)試方式，這也更靠近滲入測(cè)試的本質(zhì)。03近源滲入的測(cè)試目的如果做完整的攻擊面分析，近源滲入能夠涉及到的測(cè)試對(duì)象會(huì)非常多，涉及WiFi、藍(lán)牙、RFID、ZigBee、蜂窩、Ethernet等等各類(lèi)物聯(lián)網(wǎng)通信技術(shù)甚至涉及智能設(shè)備的嵌入式安全。在本文中，筆者將挑選其中較為通用且容易在紅藍(lán)對(duì)抗中實(shí)施的近源滲入技術(shù)進(jìn)行探討。3.1無(wú)線滲入在過(guò)去很長(zhǎng)一段時(shí)間里，由于沒(méi)有明顯的競(jìng)爭(zhēng)對(duì)手，人們普遍把無(wú)線安全用作Wi-Fi安全的同義詞，把無(wú)線網(wǎng)絡(luò)等同于Wi-Fi，下文中筆者將延續(xù)使用此習(xí)慣。3月，由于某公司內(nèi)部存在開(kāi)放的無(wú)線網(wǎng)絡(luò)，造成超級(jí)計(jì)算機(jī)“XX一號(hào)”的某節(jié)點(diǎn)被攻擊，大量敏感信息疑遭泄露。5月，某航站樓Wi-Fi提供商的服務(wù)器安全設(shè)施局限性和代碼漏洞，造成服務(wù)器中的顧客隱私數(shù)據(jù)被泄露。，某手機(jī)售后中心因Wi-Fi安全缺點(diǎn)造成內(nèi)網(wǎng)被攻擊者入侵。4月，富士康前員工秘密橋接無(wú)線網(wǎng)絡(luò)侵入蘋(píng)果公司的網(wǎng)絡(luò)，為別人提供“改機(jī)、解鎖”服務(wù)。，國(guó)內(nèi)某安全研究員在新加坡參加安全會(huì)議，在入住酒店期間通過(guò)酒店無(wú)線網(wǎng)絡(luò)入侵內(nèi)部系統(tǒng)，并發(fā)表博客介紹入侵過(guò)程。如今，無(wú)線網(wǎng)絡(luò)已經(jīng)事實(shí)上成為了公司移動(dòng)化辦公的重要基礎(chǔ)設(shè)施，但由于普遍缺少有效的管理，布署與使用人員的安全意識(shí)和專(zhuān)業(yè)知識(shí)的局限性，造成AP分布混亂，設(shè)備安全性脆弱，無(wú)線網(wǎng)絡(luò)也越來(lái)越多地成為黑客入侵公司內(nèi)網(wǎng)的突破口。正由于如此，筆者在《近源滲入測(cè)試》一書(shū)中花了大量筆墨用于描述基于無(wú)線網(wǎng)絡(luò)的安全攻防，無(wú)線網(wǎng)絡(luò)是現(xiàn)在近源滲入中的重要測(cè)試手段。在筆者之前的工作中，曾對(duì)軍工、能源、金融、政企、電信等多個(gè)類(lèi)型的行業(yè)客戶做過(guò)大量的無(wú)線滲入測(cè)試服務(wù)，發(fā)現(xiàn)各單位對(duì)無(wú)線安全的建設(shè)都處在相對(duì)含糊和單薄的階段，重要反映在三塊：1.不懂得內(nèi)部有多少無(wú)線熱點(diǎn)公司內(nèi)部存在的熱點(diǎn)，從“與否由AP下發(fā)”和“使用目的”的角度，可分為下列幾類(lèi)：官方下發(fā)熱點(diǎn)正式熱點(diǎn)：有規(guī)劃搭建的長(zhǎng)久熱點(diǎn)事件類(lèi)熱點(diǎn)：支持業(yè)務(wù)項(xiàng)目的中短期熱點(diǎn)歷史遺留熱點(diǎn)：不再使用卻未下線的熱點(diǎn)非官方熱點(diǎn)鄰居熱點(diǎn)：全部未接入到內(nèi)部網(wǎng)絡(luò)的熱點(diǎn)業(yè)務(wù)熱點(diǎn)：業(yè)務(wù)部門(mén)報(bào)備審批后自行建立的熱點(diǎn)員工私建熱點(diǎn)：在辦公機(jī)上通過(guò)無(wú)線網(wǎng)卡分享出的熱點(diǎn)。惡意熱點(diǎn)：用于攻擊客戶端的釣魚(yú)熱點(diǎn)2.不懂得黑客具體的攻擊手法從無(wú)線攻擊的目的來(lái)看，能夠分為三類(lèi)：繞過(guò)無(wú)線認(rèn)證，獲取無(wú)線網(wǎng)絡(luò)訪問(wèn)權(quán)限攻擊無(wú)線終端，竊取敏感信息破壞無(wú)線基礎(chǔ)設(shè)施這些目的可能會(huì)同時(shí)出現(xiàn)，例如先攻擊無(wú)線終端獲取憑據(jù)，再使用憑據(jù)連入網(wǎng)絡(luò)。針對(duì)對(duì)應(yīng)的目的，黑客會(huì)采用對(duì)應(yīng)具體的攻擊手法。3.不懂得如何做無(wú)線防護(hù)在不懂得前兩點(diǎn)的前提下，就不可能做得好防護(hù)。理解內(nèi)部存在哪些無(wú)線熱點(diǎn)其實(shí)就是在梳理暴露的攻擊面，如果對(duì)此沒(méi)有清晰的認(rèn)識(shí)，在這種基礎(chǔ)上做的無(wú)線安全防護(hù)就猶如“馬其諾防線”同樣，一打就穿。筆者曾受邀對(duì)一種大型金融公司做無(wú)線安全檢測(cè)，由于行業(yè)的敏感性同時(shí)他們高層領(lǐng)導(dǎo)對(duì)無(wú)線網(wǎng)絡(luò)不安全有蘇醒的認(rèn)識(shí)，于是采用了不布署任何無(wú)線網(wǎng)絡(luò)的方略。初看下，連無(wú)線網(wǎng)絡(luò)都沒(méi)布署，自然就不見(jiàn)面對(duì)無(wú)線威脅。而事實(shí)是，筆者在該公司移動(dòng)端開(kāi)發(fā)團(tuán)體所在區(qū)域，發(fā)現(xiàn)了一種由mac辦公機(jī)共享出來(lái)的私建熱點(diǎn)，破解密碼連上網(wǎng)絡(luò)后，就擁有了辦公機(jī)同樣的訪問(wèn)權(quán)限，直通內(nèi)網(wǎng)。這樣一種簡(jiǎn)樸的私建熱點(diǎn)就把想象中“無(wú)懈可擊”的無(wú)線防護(hù)方略打破了。從無(wú)線攻擊的目的來(lái)思考，會(huì)發(fā)現(xiàn)獲取無(wú)線網(wǎng)絡(luò)訪問(wèn)權(quán)限僅是其目的之一。我懂得現(xiàn)在的公司級(jí)AP基本都自帶了釣魚(yú)熱點(diǎn)防護(hù)功效，那員工到公共場(chǎng)合使用怎么防釣魚(yú)熱點(diǎn)呢。移動(dòng)化辦公是不可逆的浪潮，我們就得假設(shè)員工一定會(huì)在釣魚(yú)熱點(diǎn)環(huán)境下辦公，基于這樣的假設(shè)提出的防護(hù)方略才干扛得住真實(shí)攻擊。對(duì)于另外一種目的“破壞無(wú)線基礎(chǔ)設(shè)施”能夠想象這樣一種場(chǎng)景：由于移動(dòng)化辦公的普及，大家都習(xí)慣使用筆記本設(shè)備來(lái)干活，假設(shè)在核心時(shí)期攻擊者在目的團(tuán)體工位偷偷放置一種無(wú)差別全阻斷的盒子進(jìn)行Wi-FiDeauth攻擊，讓受害者的運(yùn)行能力在短時(shí)間內(nèi)極具減少。那么與否能結(jié)合AP日志建立一套及時(shí)發(fā)現(xiàn)Wi-FiDeauth攻擊，物理定位，現(xiàn)場(chǎng)排查可疑人員/設(shè)備的機(jī)制？在極端狀況下，這些筆記本與否能夠快速通過(guò)網(wǎng)線接入網(wǎng)絡(luò)？公司無(wú)線安全體系建設(shè)是一種包含技術(shù)與管理的龐大話題，為了但是于偏離主題這里僅作舉例不再近一步展開(kāi)。即使這部分內(nèi)容是以防守方視角寫(xiě)的，但理解到防守方的痛點(diǎn)與難點(diǎn)后，可覺(jué)得攻擊測(cè)試方向指明道路?！暗馈鼻逦?，“器”和“術(shù)”的積累只是時(shí)間問(wèn)題。3.2HID攻擊HID（humaninterfacedevice）指鍵盤(pán)、鼠標(biāo)與游戲標(biāo)桿等這類(lèi)用于為計(jì)算機(jī)提供數(shù)據(jù)輸入的人機(jī)交互設(shè)備。攻擊者能夠?qū)⑻厥獾腢SB設(shè)備模擬成為鍵盤(pán)，一旦連接上計(jì)算機(jī)就執(zhí)行預(yù)定的惡意操作，這便是HID攻擊。在過(guò)去十年間，出現(xiàn)了Teensy、USBRubberDucker、BadUSB、BashBunny、WHID等等不同形式、各具特色的HID攻擊設(shè)備，它們通過(guò)DEFCON、BlackHat等安全會(huì)議和新聞媒體向外宣傳，無(wú)論是業(yè)內(nèi)、業(yè)外都對(duì)這種攻擊手法含有一定理解和防備意識(shí)。筆者將介紹兩種較為有隱蔽性的HID攻擊手段，以貼近在真實(shí)環(huán)境下的攻擊場(chǎng)景。1.運(yùn)用Android設(shè)備執(zhí)行HID攻擊這種方式的優(yōu)勢(shì)是顯而易見(jiàn)的，能夠便捷地在手機(jī)上切換和修改攻擊指令，自帶電源免去了從插入到發(fā)動(dòng)攻擊前這段不短的初始化時(shí)間，極大挺高了攻擊隱蔽性。固然，這對(duì)Android設(shè)備有一定的規(guī)定，需要root同時(shí)內(nèi)核要打入U(xiǎn)SBHID補(bǔ)丁。筆者喜歡使用KaliLinuxNethunter來(lái)布署該攻擊工具。NetHunter是一種基于Android的開(kāi)源滲入測(cè)試平臺(tái)，由KaliLinux社區(qū)與OffensiveSecurity共同創(chuàng)立，系統(tǒng)中包含大量KaliLinux中的滲入測(cè)試工具，還支持802.11幀注入、HID攻擊、MANA惡意熱點(diǎn)攻擊等。運(yùn)用其中的DuckHunterHID工具，編寫(xiě)好USBRubberDucky格式的腳本后，將該Android設(shè)備與目的計(jì)算機(jī)相連，隨即便會(huì)模擬成鍵盤(pán)進(jìn)行輸入。從插入電腦到惡意操作執(zhí)行完所需時(shí)間但是幾秒，這能夠協(xié)助你給那些離開(kāi)工位不鎖屏的同事好好上一課。2.USBNinja前面把Android手機(jī)改造成了HID攻擊設(shè)備，而USBNinja更加過(guò)分，偽裝成一條數(shù)據(jù)線。它擁有與普通數(shù)據(jù)線一致的外觀，并且能夠像正常數(shù)據(jù)線同樣進(jìn)行充電和傳輸數(shù)據(jù)。而一旦接受到遙控器或手機(jī)APP的指令時(shí)，它就會(huì)執(zhí)行預(yù)設(shè)好的攻擊指令，模擬鍵盤(pán)輸入或鼠標(biāo)點(diǎn)擊進(jìn)行攻擊。在近來(lái)更新的USBNinjaPro版本中進(jìn)行了近一步加強(qiáng)，全部配備過(guò)程可在手機(jī)APP上進(jìn)行，同時(shí)擁有更快的USB2.0打字速度、自毀模式去除固件、自動(dòng)檢測(cè)大寫(xiě)鎖定、支持BLE5.0等新功效，還增加了鍵盤(pán)、鼠標(biāo)等新外形。Pro版的USBNinja數(shù)據(jù)線售價(jià)為468元，即使價(jià)格較貴，還是推薦藍(lán)軍同窗們最少購(gòu)置一套以用作向老板們進(jìn)行風(fēng)險(xiǎn)演示或員工安全意識(shí)教育的工具。我們可能會(huì)懷疑U盤(pán)、懷疑手機(jī)，但實(shí)在很難對(duì)一根能充電的數(shù)據(jù)線產(chǎn)生懷疑。3.3LockPickingLockPicking指開(kāi)鎖的藝術(shù)。在DEFCON大會(huì)上一向就有一種LockPickingVillage展區(qū)來(lái)教參會(huì)者開(kāi)鎖技巧，盡管撬鎖經(jīng)常被與犯罪聯(lián)系起來(lái)，但開(kāi)鎖技巧也能夠被當(dāng)做一項(xiàng)有用的生活技巧來(lái)學(xué)習(xí)，更或者僅僅作為一種愛(ài)好。在全球大多數(shù)的都市中，只要不將它用作犯罪目的，學(xué)習(xí)開(kāi)鎖技術(shù)都是可行且正當(dāng)?shù)摹?，在筆者和小伙伴們組織的DC010深圳站沙龍上，便將LockPickingVillage第一次引進(jìn)到國(guó)內(nèi)，現(xiàn)在已經(jīng)成為DEFCONGROUP國(guó)內(nèi)各本地化社區(qū)的熱門(mén)演示項(xiàng)目。LockPickingVillage的目的在于讓我們理解到不同鎖類(lèi)的安全性，方便在此后的生活中挑選購(gòu)置安全性更高的鎖具。之因此在這里提到鎖具安全，是由于筆者在多個(gè)公司內(nèi)部看到太多敏感區(qū)域的門(mén)鎖僅使用了A級(jí)或B級(jí)的鎖芯，這兩種安全等級(jí)的鎖芯極易被撬開(kāi)。例如筆者曾在某一公司內(nèi)發(fā)現(xiàn)，全部樓層的弱電井門(mén)使用的都是A級(jí)鎖，運(yùn)用單勾形式的便攜工具即可輕松打開(kāi)，而門(mén)后便是多臺(tái)交換機(jī)和服務(wù)器設(shè)備，風(fēng)險(xiǎn)可想而知。3.4物理潛入這里的潛入是指在未授權(quán)狀況下進(jìn)入目的區(qū)域，同樣是個(gè)與CyberSecurity無(wú)關(guān)卻很有趣的話題?？紤]到話題敏感性，下列內(nèi)容讀者請(qǐng)認(rèn)為是虛構(gòu)，如有雷同純屬巧合。電影《平原上的夏洛克》中，主角需要進(jìn)入某高檔社區(qū)跟蹤目的，社區(qū)有較為嚴(yán)格的出入門(mén)禁管理，門(mén)禁卡每刷一次只能進(jìn)一人無(wú)法尾隨。于是主角想方法弄來(lái)了一套外賣(mài)服裝，以送外賣(mài)名義讓保安幫開(kāi)門(mén)進(jìn)入了社區(qū)。XX市科學(xué)技術(shù)館，由于正值暑期高峰進(jìn)入場(chǎng)館需要提前預(yù)約，與否今天沒(méi)法進(jìn)入了呢。我發(fā)現(xiàn)在場(chǎng)館一側(cè)是一座與之相連的辦公樓，我走進(jìn)辦公樓時(shí)沒(méi)遭到任何阻攔。步入轉(zhuǎn)角處的電梯來(lái)到3樓，走到辦公樓與場(chǎng)館相連的走道。交界處站著安保人員，我整頓了一下表情，大方地走了過(guò)去。果然安保人員并沒(méi)有阻攔我，他們的任務(wù)是避免觀眾進(jìn)入辦公區(qū)，而反向就默認(rèn)放行了。如此，我便進(jìn)入了場(chǎng)館。XX市XX洞景點(diǎn)，作為該市的出名網(wǎng)紅免費(fèi)景點(diǎn)，每到節(jié)假日都需要排長(zhǎng)長(zhǎng)的隊(duì)伍才干進(jìn)入。這時(shí)有黃牛走過(guò)來(lái)，悄悄吆喝道“正常得排1個(gè)小時(shí)，100元走VIP通道，5分鐘就能進(jìn)去”。由于帶著朋友，為避免無(wú)意義的排隊(duì)我交了錢(qián)。他帶著我七拐八繞，還不到5分鐘就進(jìn)去了，但是這時(shí)我反映過(guò)來(lái)這所謂的VIP通道不就是消防通道嗎。XX國(guó)XX安全會(huì)議，門(mén)票換算成RMB特別昂貴，在一樓處是檢票口，工作人員審核后才干乘坐扶梯上二樓會(huì)議區(qū)。作為演講者的我即使擁有一張票，但隨行的小伙伴就沒(méi)法進(jìn)入了。這時(shí)我們發(fā)現(xiàn)角落有一部貨梯，乘坐到二樓推開(kāi)消防安全門(mén)便直接進(jìn)入了人來(lái)人往的會(huì)場(chǎng)區(qū)。即使沒(méi)有觀眾胸卡，但會(huì)場(chǎng)里邊已經(jīng)沒(méi)人做檢查了。這些案例都反映出一種共同點(diǎn)，正門(mén)是嚴(yán)格審核的區(qū)域，但對(duì)于人工通道、消防通道、貨梯、地下車(chē)庫(kù)等“隱藏入口”，往往就處在安保單薄區(qū)域。對(duì)于近源滲入人員，能越近一步地進(jìn)入目的內(nèi)部，意味著發(fā)現(xiàn)問(wèn)題的可能性越大。04近源滲入的將來(lái)發(fā)展近源滲入并不是一種新出現(xiàn)的概念，以前也有“抵近攻擊”、“物理滲入”等說(shuō)法，但相比于10年前，近源滲入的測(cè)試對(duì)象增加了更多無(wú)線通信方面的技術(shù)。這是由于隨著物聯(lián)網(wǎng)（IoT）的蓬勃發(fā)展，公司內(nèi)部出現(xiàn)了多個(gè)形式的智能設(shè)備，如藍(lán)牙鍵盤(pán)鼠標(biāo)、無(wú)線打印機(jī)、智能照明、智能攝像頭、智能電視、智能音箱等等，這個(gè)名單在持續(xù)增加。甚至在電梯、自動(dòng)售貨機(jī)、中央空調(diào)或其它基礎(chǔ)設(shè)施中，也配套使用了物聯(lián)網(wǎng)技術(shù)，它們通過(guò)Wi-Fi、藍(lán)牙、ZigBee、NFC或其它無(wú)線技術(shù)進(jìn)行通信。對(duì)于公司而言，物聯(lián)網(wǎng)設(shè)備的特性給公司帶來(lái)了嚴(yán)重的安全挑戰(zhàn)。各式各樣的設(shè)備外觀，配備各式各樣的傳感器組件，采用不同的無(wú)線通信技術(shù)，運(yùn)行于不同的操作系統(tǒng)和CPU架構(gòu)中。它們大部分都沒(méi)有固定的安全配備，沒(méi)有顧客交互界面，也無(wú)法安裝安全軟件或代理方便于管控。傳統(tǒng)的安全實(shí)踐，如防火墻、反惡意軟件或其它安全解決方案在面臨來(lái)自物聯(lián)網(wǎng)的安全威脅時(shí)是不夠的，IT管理人員甚至只能發(fā)現(xiàn)公司內(nèi)40%的設(shè)備，像員工帶來(lái)的智能設(shè)備等都處在公司管理視野的盲區(qū)，更無(wú)從談起如何保護(hù)它們，而它們可能已經(jīng)通過(guò)某種形式接入了公司內(nèi)網(wǎng)。對(duì)于潛在的攻擊者來(lái)說(shuō)，以這些物聯(lián)網(wǎng)設(shè)備作為滲入切入點(diǎn)是十分含有想象空間的：，Bastille的研究團(tuán)體公布了一種有關(guān)無(wú)線鼠標(biāo)、無(wú)線鍵盤(pán)的漏洞披露，攻擊者能夠嗅探并劫持來(lái)自無(wú)線鍵鼠的操作指令；，騰訊BladeTeam運(yùn)用無(wú)人機(jī)滲入智能樓宇，遠(yuǎn)程控制辦公樓中的照明、空調(diào)、插座和電動(dòng)窗簾等智能設(shè)備；，東京電氣通信大學(xué)副專(zhuān)家TakeshiSugawara等研究者發(fā)表了一種運(yùn)用激光劫持智能音箱的攻擊方式，研究者以特定頻率變化激