2022HW红队战术解析

2022HW红队战术解析haya木星安全实验室

·

红队负责人Github:

/hayasecBlog:

hayasec.me红蓝对抗与红队武器化ABOUT

ME今天聊点啥？

ATT&CK矩阵(站在攻击者的视角来描述攻击中各阶段用到的技术的模型) 执行攻击权限提升防御绕过凭据获取数据披露横向移动内网数据窃出初始访问偷渡式攻击

命令行界面外部程序攻击编译HTML文件USB复制

动态数据交换鱼叉式附件

通过API执行可信关系

图形用户界面有效帐户 LSASS驱动…… 本地作业任务计划任务脚本执行服务执行文件名后的空格第三方软件Trap程序用户执行WMIWin远程管理XSL脚本处理……验证包BITS任务鱼叉式钓鱼通过模块加载执行

浏览器扩展组件固件COM劫持创建账号Dylib劫持外部远程服务签名二进制代理

文件系统权限挂钩虚拟机技术IFEO注入LSASS驱动启动Agent启动守护进程本地作业调度……权限维持辅助功能 访问令牌操作账户操纵 辅助功能硬件植入 控制面板项

Shimming应用

Bypass

UACDLL搜索劫持Dylib劫持漏洞提权供应链攻击利用客户端执行更改默认文件关联EWM注入文件系统权限挂钩IFEO注入新服务路径拦截Plist修改签名脚本代理执行隐藏文件和目录

端口监视器进程注入SID历史注入任务计划可信的开发工具内核模块和扩展服务注册表权限启动项Sudo缓存有效账户Web

Shell……账户操纵Bash历史暴力破解凭证转储文件凭证注册表凭证凭证漏洞利用强制认证输入捕获输入提示DLL顺序劫持

启动守护进程LLMNR投毒网络嗅探帐户发现应用窗口发现网络共享发现密码策略发现外围设备发现权限组发现进程发现查询注册表远程系统发现密码筛选器DLL

安全软件发现私钥安全内存 网络配置发现双因素拦截 网络连接发现…… 系统用户发现系统服务发现……代码签名组件固件COM劫持控制面板项DLL侧载禁用安全工具EWM注入文件删除系统信息发现

文件权限修改隐藏用户隐藏窗口IFEO注入指标拦截系统时间发现从主机移除指标间接命令执行安装根证书InstallUtil程序LC_MAIN劫持……BITS任务 应用部署软件网络服务扫描

清除命令历史 登陆脚本PtHPtT目标数据收集访问令牌操作AppleScript消息

音频捕获自动化收集浏览器书签发现

二进制填充

分布式对象模型

剪贴板数据输入捕获可移动媒体复制SSH劫持 浏览器中间人共享Webroot 截屏污染共享内容 视频捕获第三方软件 ……Win管理员共享Win远程管理远程服务……自动化透传数据压缩数据加密存储库数据

透传的备用协议本地系统数据C2通道进行透传网络驱动器数据网络介质透传远程桌面协议可移动媒体数据物理介质透传远程文件复制

电子邮件收集 周期传输……代理传输文件和目录发现

绕过UAC

远程服务漏洞利用

数据整合

数据传输大小限制自定义协议影响消除常用端口 账户权限删除可移动媒体通信

数据销毁磁盘擦除终端拒绝服务数据编码 固件损坏数据混淆 拒绝系统恢复域前置 资源劫持备用信道 服务停止多段信道 数据传输操作多层加密 …………命令控制红队作战攻击重要步骤战术中用到的技术点工具改造与武器化初始访问初始接入策略代表攻击者用于在网络中取得初始立足点的(攻击)向量打点?初始访问:

打点薄弱防护系统，边缘业务关键集权系统同C段同ISP供应链......初始访问：钓鱼攻击载荷格式？投递方式？社工话术？利用方式？初始访问:

免杀宏VelvetSweatshop诱导白加黑执行@TA0002执行策略表示造成在本地或远程系统上执行由攻击者控制的代码的技术。该策略通常与初始接入一起使用，作为一旦获得访问就执行代码的手段，之后进行横向移动以扩展对网络上远程系统的访问。执行:LOLBINS/LOLBAS-Project/LOLBASlolbins可以是带有Microsoft签名的二进制文件，可以是Microsoft系统目录中二进制文件。可以是第三方认证签名程序。具有对APT或红队渗透方有用的功能。该程序除过正常的功能外，可以做意料之外的行为。（如：执行恶意代码、绕过UAC、下载文件、转储进程内存、逃避日志等）。执行:LOLBINS执行:LOLBINSSqldumper.exe

592(lsass.exe)HKCR\mscfile\shell\open\command-->evil.exerundll32.exeC:\windows\System32\comsvcs.dll,MiniDump(Get-Processlsass).id$env:TEMP\lsass-comsvcs.dmp

fullcsc.exewmic.exerundll32.exeexcel.exemshta.exeeventvwr.execmstp.exemsiexec.exesqldumper.exeat.exemmc.exe......持久化@TA0003持久化是指任何对系统的访问，操作或配置更改，使攻击者在该系统上持续地存在。攻击者通常需要通过中断来维持对系统的访问，例如系统重启，凭据丢失或其他需要远程访问工具重新启动或备用后门才能重新获得访问权限的故障。持久化注册表计划任务服务HijackWMI驱动......持久化：计划任务TaskScheduler

Interfaces任务计划程序接口,提供对Task

Scheduler中可用功能的编程访问ITaskService,TaskScheduler,

go-oleAtSchtaskTask

SchedulerAPI持久化：计划任务每天启动计划任务(Scripting)(C++)(XML)持久化：计划任务C#TaskSchedulerExecute-assembly特权提升@TA0004特权提升是允许攻击者在系统或网络上获得更高级别权限的结果。某些工具或操作需要更高级别的权限，并且在特定操作的许多场景很可能都是必需的。特权提升UAC(User

AccountControl)是从Windows

Vista开始出现的安全技术，它通过限制应用程序的执行权限来达到提升操作系统安全性的目的。hfiref0x在github上整理了各种UAC绕过技术的实现，并对每个方法进行编号。漏洞、DLL劫持、可信目录、Com组件接口、注册表等等/hfiref0x/UACME特权提升：UAC绕过CSMTPLUA{3E5FC7F9-9A51-4367-9063-A120244FBEC7}ICMLuaUtilShellExec特权提升：UAC绕过凭据访问@TA0006凭据访问表示造成访问或控制在企业环境中使用的系统，域或服务凭据的技术。攻击者可能会尝试从用户或管理员帐户（具有管理员访问权限的本地系统管理员或域用户）获取合法凭据，以便在网络中使用。凭据访问：MimikatzPE-loader/GhostPack/SafetyKatz/Flangvik/BetterSafetyKatzAssembly-load凭据访问：Mimikatz凭据访问：Mimikatz凭据访问：MimikatzLLVMYANSOllvm

树内模糊混淆ollvmMINGW凭据访问：Mimikatz凭据访问：Mimikatz凭据访问：Mimikatz披露@TA0007披露是包括允许攻击者获得有关系统和内部网络的知识的技术。披露：浏览器密码全称DataProtectionApplicationProgrammingInterface作为Windows系统的一个数据保护接口被广泛使用主要用于保护加密的数据，常见的应用如：EFS文件加密存储无线连接密码WindowsCredentialManagerInternetExplorerOutlookSkypeWindows

CardSpaceWindowsVaultGoogle

ChromeDpapi采用的加密类型为对称加密，所以只要找到了密钥，就能解开物理存储的加密信息了。披露：浏览器密码披露：浏览器密码/moonD4rk/HackBrowserData/DeEpinGh0st/Browser-cookie-steal/QAX-A-Team/BrowserGhost......披露：浏览器密码Master

Key

file：二进制文件，可使用用户登录密码对其解密，获得Master

KeyMaster

Key

：用于解密DPAPI

blob，使用用户登录密码、SID和16字节随机数加密后保存在MasterKeyfile中Preferred文件：位于Master

Key

file的同级目录，显示当前系统正在使用的MasterKey及其过期时间，默认90天有效期Win32

API

加密函数CryptProtectData

、解密函数

CryptUnprotectDataMimikatzsadump::secretssekurlsa::dpapiSharpDPAPI披露：浏览器密码披露：360安全浏览器密码/hayasec/360SafeBrowsergetpass披露：360安全浏览器密码/hayasec/360SafeBrowsergetpass横向移动（Lateral

Movement）包括使攻击者能够访问和控制网络和云上的远程系统的技术，但不一定包括在远程系统上执行的工具。横向移动技术允许攻击者收集系统信息而无需额外的工具，如远程访问工具。横向移动@TA0008横向移动当红队已经通过某些途径进入内网以后，已经通过一些方法获取到内网Windows服务器帐号密码以后，通过这些账与密码去远程控制更多目标服务器的一种行为。mimikatz.exe""privilege::debug""""logsekurlsa::logonpasswordsfull""exit>>

hash.txtnetuse\\\C$

pass

/user:administrator搜集一切有用的信息445、1433、3389、6379、1099……Schtasks、Psexec、Impacket、IPC、reg、SC……横向移动横向移动：漏洞利用Zerologon，MS17010，CVE-2019-1040…lsadump::zerologon/target:DC01.XXX.COM/account:DC01$

/exploitlsadump::dcsync/domain:XXX.COM/dc:DC01.XXX.COM/user:krbtgt/all/csv/authuser:DC01$

/authdomain:XXX/authpassword:/authntlmsekurlsa::pth/user:administrator/domain:XXX/r