2019年实战化下的全流量威胁发现实践.pdf

《2019年实战化下的全流量威胁发现实践.pdf》由会员分享，可在线阅读，更多相关《2019年实战化下的全流量威胁发现实践.pdf（36页珍藏版）》请在三个皮匠报告上搜索。

1、唐伽佳奇安信天眼 高级总监实战化下的全流量威胁发现实践01|实战化下，“组织化”攻击是常态保障业务系统安全的前提，明确目标系统，不限制攻击路径，以提权、控制业务、获取数据为最终目的。组织化 面对“有组织”的攻击，没有打不透的“墙”攻陷所有攻防演习系统权限，通过渗透搭建多层代理跳板获取该部委目标系统一、目标系统二、某核心业务系统、邮件系统等权限，并通过ITSM运维监控管理平台/堡垒机可以控制数千台内网服务器系统权限。获取覆盖全国的目标系统数十服务器权限，某省通过渗透搭建代理跳板经由互联网互联网内网隔离专网获取电子底账核心数据库权限、查询缓存服务器权限，可实时查询13亿条数据；获取某省核心业务查询

2、数据库权限，可实时查询1.7亿数据。发现部分系统存在SQL注入漏洞，通过数据库提权，可以获取该金融机构保险、基金、员工等信息，同时通过代码审计，发现在线客服系统存在任意文件上传0day，成功获取服务器权限；发现目标系统存在越权，可以越权查看百万级保单信息。攻陷所有攻防演习系统权限，通过渗透搭建多层代理跳板获取两个域控制器权限、110多万域内用户权限，同时获取SSO认证系统、DNS系统、账号管理系统、邮件系统、工控端网关产品、Y卡控制、Y卡调度员培训、TR气、网络视频监控等权限、内外网数千台服务器权限。攻陷所有攻防演习系统权限，通过渗透搭建多层代理跳板获取官网FMS融媒体制作发布平台权限，同时获

3、取核心数据库、内外网多台服务器权限。政府1政府2某企业某金融机构2某媒体从互联网侧发现某下属公司是可利用的入口点，搭建socks代理进入DMZ，在DMZ信息搜集，成功从DMZ区跳转到内网区，通过总行服务器接口获取到部分员工信息，并利用struts2反序列化漏洞拿下全资子公司Vcenter，搭建二层跳板进入内网，通过弱口令获取到数据库服务器权限并抓到域管理员哈希，通过域管理员哈希传递获取域控服务器最高管理权限。某金融机构1面对“有组织”的攻击，没有打不透的“墙”前期准备互联网突破内网渗透关键系统权限1、了解企业组织架构2、了解企业业务架构3、供应链信息获取4、攻击策略研究1、互联网侧检测到某二级

4、企业互联网侧系统使用Struts2框架，分析存在S2-045漏洞，获得主机权限；2、发现某公司域名存在黑客入侵历史残留后门程序，破解残留后门程序的密码，获得系统控制权限；3、某中心信息管理系统可SQL注入漏洞，成功利用漏洞获取数据库服务器控制权限；（仅利用5个互联网漏洞）1、通过以上5个应用系统漏洞，成功获得服务器控制权限，然后在获得权限的服务器上建立SOCKS代理隧道，即成功进入集团内网环境；2、其中，某市应急救援辅助决策系统理论上不能通整个集团，实际能通整个集团；3、通过在服务器上建立的SOCKS隧道，对内网资产进行扫描，梳理内网资产信息。通过发现的内网资产信息，利用内网资产弱口令、SQL

5、注入、Struts2、Weblogic反序列化等漏洞获取多台内网生产系统、信息系统、监控系统等应用服务器权限；共控制集团26个单位所辖的33个生产相关业务系统。5个个互联网常见漏洞与互联网常见漏洞与33个个业务系统的失陷业务系统的失陷有组织的攻击能力，超乎您想象控制权核心业务获取核心数据应用侧人员内网后渗透人员反编译人员社工人员黑客组织信息收集漏洞分析渗透测试后渗透资产发现端口扫描指纹识别敏感路径探测关联域名探测社工、钓鱼、水坑漏洞测试供应链研究公开资源研究创建攻击树扫描结果关联分析可利用效果验证WAF绕过反病毒检测监测机制回避逆向、流量分析常用WEB攻击模糊测试获取内网敏感信息横向渗透提权、

6、权限维持、长期控制建立隧道中间人劫持清理痕迹系统边界、应用安全主机安全网络设备及集权类设备安全生产网环境安全黑客组织开展攻击的常规操作实战化的攻击路径和纵深检测Nmap扫描端口扫描Webshell探测敏感目录探测内网渗透关键信息系统攻击互联网突破侦查侦查入侵入侵命令控制命令控制横向渗透横向渗透目的执行目的执行痕迹清理痕迹清理SQL注入等常见Web漏洞扫描心脏滴血、永恒之蓝中间件漏洞（如CVE-2019-2729等）弱口令、暴力破解(rdp、ssh、业务等，IP代理池)冰蝎后门连接中国菜刀连接中国蚁剑连接Jshell/JSPSPY各类大马连接MetasploitCobaltStrike远程控制木