最后更新于2024年8月9日星期五20:25:16 GMT
这是一个关于网络分段的故事,以及看似微不足道的错误配置可能对您的组织产生的影响.
这就是其中一个场合.
这个特殊的渗透测试要求基于目标的评估,重点关注入侵后的活动——客户端试图发现内部系统对攻击者的横向移动有多脆弱. 其中一个目标是试图破坏客户的Amazon Web 服务 (AWS)基础设施,另一个目标是访问和利用发现的包含敏感或关键操作数据的任何系统 .
内部环境的域在一个半小时内被破坏,使用常见的攻击媒介:响者网络中毒以获取低级网络凭据,然后利用Active 导演y证书服务(ADCS) web注册漏洞升级为“域管理员”组的成员. 同时对网络中的多个设备执行凭据填充攻击,以确定哪些先前被攻破的用户帐户可以访问, 注意到由于缺乏分段和访问控制策略,测试设备可能会访问包含用户设备的子网. 众所周知,这些配置为网络提供了额外的安全层,通过防止攻击者移动到网络中的敏感资源,可以帮助减轻折衷后的损害 .
在最初试图访问公司机密的Google Suite资源时, 发现所有请求都被重定向到所需的多因素身份验证(MFA)请求. 另外, 远程桌面协议(RDP)服务已得到妥善保护, 阻止来自攻击设备网络的会话.
用户环境中的设备是通过使用一套通用的测试工具来访问的,这些工具可以帮助渗透测试人员测试Windows环境,并连接到凭据受损的设备, Impacket. 使用套件中提供的' wmiexec '脚本来探索已知软件架构师机器的文件系统, 发现了一个隐藏的AWS文件夹. 该文件夹包含凭证文件,其中包含最近经过身份验证且当前处于活动状态的AWS会话. 通过测试攻击机的凭据,有两个发现:
- 该帐户是测试和开发AWS环境的管理员
- 此会话已通过MFA进行了身份验证
使用名为“aws_consoler”的工具, 生成一个会话以允许对AWS控制台进行管理访问. 默认情况下,AWS中的MFA会话在一小时内到期, 这个会话执行的第一个操作是创建一个用户帐户. 新帐户提供了对环境的持久访问,而无需依赖于正在获取的另一个会话凭据文件. 在探索部署在AWS中的虚拟机时, 注意到内部环境和AWS环境之间似乎没有对RDP进行网络过滤.
AWS中的浏览器内RDP会话为单独网络上的服务器提供了EC2实例上的图形用户界面, 然后允许建立到用户设备的RDP链. 在连接到用户设备时, 激活多个机密资源的经过身份验证的会话, 包括事件监控系统和GitLab, 被发现. 进一步的列举揭示了一些会激起任何测试人员兴趣的东西:访问公司的秘密库. 这允许访问名称中带有“Security”的设备. 这无疑是一个没有测试人员愿意放弃的机会.
在对机器进行成功身份验证后, 最重要的东西被发现了:校园里所有摄像头的无限制监控, 不受限制地访问文件共享, 和, 最重要的是, 进入徽章打印系统. 通过摄像头, 可以分析数据中心的任何潜在物理漏洞,这些漏洞可能允许对服务器进行物理访问. 在文件共享中, 发现了多个详细描述物理安全的文件,这些文件的粒度如此之大,以至于可以确定哪些房间在营业时间后没有上锁. 还发现了一个文件,其中包含每个员工的门pin码和报警码,以及网络运营中心(NOC)物理密钥保险箱的密码.
这样一来,要想畅通无阻地进入该设施,只需要一项信息:徽章. 探索徽章印刷系统, 在徽章创建中使用的算法被发现是Wieg和 26位. 这使得创建适当的访问标识成为一项简单的任务,因为已经获得了在系统中创建一个访问标识所需的所有数据:模拟用户的设施代码和标识id. 这两条信息都存在于系统中,供用户免费访问整个设施和数据中心. 使用所有获得的数据, 代码的十六进制值, 在徽章创建过程中将哪些内容写入卡片, 合成和卡创建使用流行的Proxmark徽章创建工具. 在列举的过程中,还获得了徽章上使用的图片, 允许创建的徽章是用户自己的卡的高质量复制品.
有了这些,我们就有了卡、门牌和报警密码. 这些都是潜入校园而不被发现、不受限制所需要的东西——这是恶意行为者的梦想. 添加对NOC密钥安全的访问,这将导致对数据中心的访问,作为蛋糕上的樱桃. 所有这些都来自一个没有得到适当保护的门控制和徽章系统设备,以及缺乏适当的分割和访问控制.
渗透测试人员通常从内部网络访问作为物理破坏的结果的角度进行物理评估, 然而, 这些配置表明,有可能利用从内部漏洞获得的信息破坏该设施, 完全扭转局势. 这种访问对于依赖于24/7业务连续性的公司来说可能是毁灭性的, 特别是对于在其校园中使用和维护运营技术(OT)的客户. 网络漏洞可能导致攻击者出售“王国的钥匙”,这将导致更多潜在的物理和网络漏洞. 检讨你的内部环境, 确保对关键安全设备进行适当的保护和分段, 并确保对敏感文件和文件有充分的保护.
