读红蓝攻防：技能与策略16追踪用户身份

1. 身份是新的边界

1.1. Verizon的“2021 Data Breach Investigation Report

• 1.1.1. 凭据仍然是攻击者寻求的最广泛的数据范例
  
• 1.1.2. 61%的数据泄露是由凭据泄露引起
  

1.2. 必须加强对个人身份的保护，这也是业界一致认为身份是新边界的原因

• 1.2.1. 因为创建新凭据时，大多数情况下该凭据仅由用户名和密码组成
  
• 1.2.2. 多因素身份验证越来越受欢迎，但它仍然不是用于验证用户身份的默认方法
  
• 1.2.3. 有许多遗留系统完全依赖用户名和密码才能正常工作
  

1.3. 企业用户

• 1.3.1. 试图进入企业网络的黑客，盼望在悄无声气的情况下进行渗透
  
• 1.3.2. 最好的方法之一是使用有效的凭据进行身份验证，并使其成为网络的一部门
  

1.4. 家庭用户

• 1.4.1. 许多银行特洛伊木马，如Dridex系列，仍在被频仍使用，因为它们的目标是用户的银行凭据，而钱就在那里
  

1.5. 家庭用户通常也是企业用户，他们使用自己的设备来消费企业数据

• 1.5.1. 当越来越多的人在家里用自己的设备工作时，这已经成为一个更大的问题
  
• 1.5.2. 用户个人应用步伐的身份驻留在同一台设备上，该设备使用用户的公司凭据来访问公司相关数据
  
• 1.5.3. 当用户为不同的任务处理多个凭据时的问题是，他们大概对这些不同的服务使用相同的密码
  

1.6. 现实是没有人是安全的，任何人都大概成为攻击目标，即使是政界的人

• 1.6.1. 最薄弱的环节仍然是用户，这意味着这不是一个“防弹”系统
  

1.7. 被盗凭据的问题不仅与使用这些凭据来访问特权信息有关，还大概导致黑客使用它们进行有针对性的鱼叉式网络钓鱼活动
1.8. 租用属于其他人的恶意控制代码

• 1.8.1. 攻击持续时间为3600秒（1小时）​、冷却时间为5～10分钟的5万个僵尸设备的价格为每两周3000～4000美元
  

1.9. 短信是双因素认证过程的一部门
1.10. 身份空间中的另一个风险是滥用特权凭据

• 1.10.1. 许多构造仍然在以与过去十年相同的模式运行，即盘算机的所有者在他们自己的盘算机上具有管理员权限
  
  
  
  • 1.10.1.1. 这是完全错误的
    
  
  
• 1.10.2. 在有太多具有管理权限的用户的环境中，受到危害的风险会增加
  
• 1.10.3. 如果攻击者可以或许破坏对资源具有管理访问权限的凭据，那么这大概会成为重大违规行为
  

1.11. 凭据和主动化

• 1.11.1. 主动化和CI/CD管道的一个日益增长的毛病百出的实践是：在环境变量中存储凭据和秘密
  
• 1.11.2. CI/CD管道是一种主动化大量操作的优秀方式，但它们也答应攻击者以秘密模式执行操作，因为整个过程几乎没有人工交互，而且一旦该过程的一部门被劫持，所造成的危害也更大
  
• 1.11.3. CI/CD是左移策略的一部门，整个左移策略的计划需要考虑安全
  
  
  
  • 1.11.3.1. 开发过程的所有阶段都必须是安全的
    
  
  

2. 危害用户身份的策略

2.1. 身份在黑客如何访问系统并执行其任务（在大多数情况下是访问特权数据或劫持数据）中起着重要作用
2.2. 红队负责负担对手角色或观点，以挑战和改善构造的安全态势，他们必须相识所有风险，以及如何在攻击练习中使用它们
2.3. 红队将研究公司的不同对手

• 2.3.1. 进行自我评估，相识公司拥有什么范例的信息，以及谁会从获取这些信息中受益
  

2.4. 红队将研究这些对手发起的最常见的攻击

• 2.4.1. 一个很好的策略是使用MITRE ATT&CK框架来相识用于破坏凭据的技能，以及哪些攻击者正在使用这些技能
  

2.5. 再次从研究开始，但是这次要明白这些攻击是如何执行的，以及执行的顺序等
2.6. 确保他们的对手角色源于现实

• 2.6.1. 如果红队练习的方式与构造在真实攻击情况下大概遇到的情况有所不同，那么这种练习实际上没有什么意义
  
• 2.6.2. 红队必须反映这种经常在黑客构造中观察到的锲而不舍的精神：尽管最初会失败，但他们的任务仍要继续
  
• 2.6.3. 红队需要制定一些策略来获取用户凭据，并在网络内继续攻击，直到任务完成
  

2.7. 在大多数情况下，红队的任务是获取特权信息

• 2.7.1. 大多数针对凭据的攻击都涉及攻击者打算如何计划访问网络和获取凭据
  

2.8. 获得网络访问权限

• 2.8.1. 规划过程的一部门是获取用户凭据，并相识如何从外部（外部互联网）访问内部网络
  
• 2.8.2. 最成功的攻击之一仍然是旧的网络钓鱼电子邮件技能
  
  
  
  • 2.8.2.1. 使用社会工程技能来诱使最终用户执行特定的操作
    
  • 2.8.2.2. 业余爱好
    
  • 2.8.2.3. 通常收支的地方
    
  • 2.8.2.4. 经常访问的网站
    
  • 2.8.2.5. 目的是经心制作一封与上述主题有关的电子邮件
    
  
  

2.9. 网络凭据

• 2.9.1. 如果能在侦察过程中发现未打补丁，且大概会导致凭据被使用的毛病，那么这大概是最轻易获取凭据的方法
  
• 2.9.2. 在Hernan Ochoa发布Pass-The-Hash Toolkit之后，一种流行的攻击就是散列通报(Pass-The-Hash)攻击
  
  
  
  • 2.9.2.1. 需要相识一个密码有一个散列，这个散列是密码自己的直接、单向、数学推导，只有当用户更改密码时才会改变
    
  • 2.9.2.2. 根据身份验证的执行方式，可以向操作系统提供口令散列而不是明文密码作为用户身份的证明
    
  • 2.9.2.3. 一旦攻击者获得这个散列，他们就可以用它来冒充用户（受害者）的身份，并在网络内继续他们的攻击
    
  
  
• 2.9.3. 横向移动对于在环境中危害更多的机器非常有用，并且它还可以用于在系统之间跳转以获取更多有代价的信息
  
• 2.9.4. 任务是获取敏感数据，有时你不需要移动到服务器来获取这些数据
  

2.10. 入侵用户身份
2.11. 暴力攻击

• 2.11.1. 监控系统的准确性
  
  
  
  • 2.11.1.1. 由于暴力破解大概会产生噪声，所以预期的防御安全控制可以或许在活动发生时捕捉到它
    
  • 2.11.1.2. 如果没有抓住它，则阐明防御策略有严肃的问题
    
  
  
• 2.11.2. 密码策略的强度
  
  
  
  • 2.11.2.1. 如果密码策略薄弱，那么这种攻击就有大概获得许多凭据
    
  
  
• 2.11.3. 暴力破解可以被视为一种破坏凭据的嘈杂方法，但它仍在许多情况下被使用
  
  
  
  • 2.11.3.1. 永远不要因为太在意新方式而忽略旧的攻击方式
    
  
  

2.12. 社会工程学

• 2.12.1. 攻击者来自互联网并获得对系统的访问权以执行攻击
  
• 2.12.2. 一种方法是将用户的活动导向恶意网站，以获取用户的身份
  
• 2.12.3. 另一种常用的方法是发送钓鱼电子邮件，在本地盘算机上安装恶意软件
  

2.13. 散列通报

• 2.13.1. 要成功执行散列通报攻击，你必须获得对Windows系统具有管理权限的账户的访问权限
  
  
  
  • 2.13.1.1. 安全账户管理(Security Accounts Manager，SAM)数据库
    
  • 2.13.1.2. 本地安全授权子系统(Local Security Authority Subsystem，LSASS)进程内存
    
  • 2.13.1.3. 域活动目录数据库（仅限域控制器）
    
  • 2.13.1.4. 凭据管理器(Credential Manager，CredMan)存储
    
  • 2.13.1.5. 注册表中本地安全机构(Local Security Authority，LSA)的秘密
    
  
  
• 2.13.2. 你可以访问cmd.exe，并从那里使用下令start PowerShell-NoExit启动PowerShell
  
• 2.13.3. 启动PowerShell的原因是想从GitHub下载Mimikatz
  
• 2.13.4. 肯定要从Sysinternals下载PsExec工具，因为你以后会用到它
  
• 2.13.5. 在PowerShell控制台中，使用下令expand-archive -path从mimikatz_trunk.zip中提取内容
  
• 2.13.6. PowerShell Empire的凭据模块
  
  
  
  • 2.13.6.1. 它嵌入了Mimikatz实用步伐，这使得它更易于使用
    
  
  

2.14. 通过移动设备窃取身份信息

• 2.14.1. 当公司答应使用自带设备(Bring Your Own Device，BYOD)时，它们大概更轻易面临凭据偷窃的风险
  
• 2.14.2. 办理此问题的唯一方法是相识自带设备方案带来的不同风险
  
• 2.14.3. Android Intent劫持，它可以对自己进行注册以接收其他应用步伐的Intent，包罗开放认证倡议(Open Authentication，Oath)授权码
  
• 2.14.4. 另一种旧技能是构建恶意应用步伐并发布到供应商的商店，然后这款应用步伐会将自己注册为键盘设备
  

2.15. 红队可以使用云基础办法作为攻击目标

• 2.15.1. Andres Riancho开发的Nimbostratus工具是使用亚马逊云基础办法的绝佳资源
  
• 2.15.2. 对虚拟机管理步伐（VMware或Hyper-V）进行攻击
  
  
  
  • 2.15.2.1. Power Memory
    
  
  

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。

继续阅读请点击广告