“无声之盾” - 美国版实网攻防演习
执行摘要
2023年初,网络安全和基础设施安全局(CISA)对15个联邦民用行政部门(FCEB)组织进行了"无声之盾"(SILENTSHIELD)红队评估。在"无声之盾"评估中,红队首先在不通知被评估组织的情况下,长期模拟国家级网络行动。团队模仿复杂威胁行为体的技术、工艺和行为,衡量潜在的驻留时间,从而对组织的安全状况进行真实评估。然后,红队与该组织的防御人员、系统管理员和其他技术人员直接合作,解决评估期间发现的优势和劣势。红队的目标是帮助组织改进其检测、响应和狩猎能力,尤其是狩猎未知威胁的能力。
FCEB指的是联邦民用行政部门(Federal Civilian Executive Branch),是美国联邦政府的一部分,包括除国防部、情报机构和邮政服务等以外的行政部门。具体来说,FCEB包括以下15个部门:
1. 农业部 (Department of Agriculture)
2. 商务部 (Department of Commerce)
3. 教育部 (Department of Education)
4. 能源部 (Department of Energy)
5. 卫生与公众服务部 (Department of Health and Human Services)
6. 国土安全部 (Department of Homeland Security)
7. 住房和城市发展部 (Department of Housing and Urban Development)
8. 内政部 (Department of the Interior)
9. 司法部 (Department of Justice)
10. 劳工部 (Department of Labor)
11. 国务院 (Department of State)
12. 交通部 (Department of Transportation)
13. 财政部 (Department of the Treasury)
14. 退伍军人事务部 (Department of Veterans Affairs)
15. 环境保护署 (Environmental Protection Agency)
CISA与被评估组织协调,发布这份网络安全建议(CSA),详细介绍了红队的活动和战术、技术与程序(TTP)、相关的网络防御活动以及经验教训,为网络防御人员提供了改进组织检测能力和网络安全态势的建议。
在第一阶段,无声之盾团队利用受害者Solaris系统中未修补Web服务器的已知漏洞获得了初始访问权限。虽然该团队完全入侵了Solaris系统,但由于缺少凭据,无法进入Windows网络。与此同时,该团队通过网络钓鱼获得了Windows网络的访问权限。然后,他们发现了未受保护的管理员凭据,从而能够在整个Windows环境中自由移动,最终获得了域控制器的完全访问权限和零层(Tier 0)资产的访问权限。接着,该团队发现该组织与多个外部合作伙伴组织存在信任关系,并能够利用这一点进一步侵入一个外部组织。在第一阶段,网络防御人员始终没有发现红队的活动。
红队的发现凸显了纵深防御和使用多样化防护层的重要性。只有通过分析所有数据源,包括基于主机的日志、内部网络日志、外部(出口)网络日志和身份验证日志,该组织才能充分了解入侵的程度。
红队的调查结果还证明了使用与工具无关的、基于行为的威胁指标(IOC)的价值,以及对网络行为和系统采取"允许名单"方法而不是"拒绝名单"方法的重要性,后者通常会产生难以管理的大量噪音。红队的发现为网络防御人员提供了以下经验,说明如何降低风险和应对风险:
经验教训:被评估组织在预防和检测恶意活动方面的控制措施不够。
经验教训:该组织没有有效或高效地收集、保留和分析日志。
经验教训:官僚主义的流程和权力下放的团队阻碍了该组织网络防御人员的工作。
经验教训:"已知恶意"检测方法阻碍了对其他TTP的检测。
为了降低类似恶意网络活动的风险,CISA鼓励组织采取本建议"缓解措施"部分提出的建议,包括以下措施:
应用纵深防御原则,使用多层安全保护,确保全面分析和检测可能的入侵。
使用强大的网络分段来阻碍横向移动。
建立网络流量、应用程序执行和账户身份验证的基线。利用这些基线来实施"允许名单"而不是拒绝已知的恶意IOC。确保监控和检测工具及程序主要基于行为而非以IOC为中心。
CISA认识到,不安全的软件导致了这些问题,因此敦促软件制造商采用"安全设计"原则,落实本建议"缓解措施"部分提出的建议,包括下列措施,以加强客户网络防御,降低域受损的可能性:
消除默认密码。
免费提供日志记录。
与安全信息和事件管理(SIEM)及安全编排、自动化和响应(SOAR)提供商以及客户合作,了解响应团队如何使用日志来调查事件。
引言
CISA有权在联邦信息系统中搜寻和识别威胁和漏洞,无需事先通知或得到机构授权(参见《美国法典》第44编第3553章(b)(7)条)。本次评估的目标组织是一个大型美国FCEB组织。CISA在2023年的约8个月时间里进行了无声之盾评估,其中3个月是技术合作阶段:
对手模拟阶段:团队首先模拟复杂的国家级行为体,模拟已知的初始访问和后渗透TTPs。团队的目标是入侵被评估组织的域并识别通往其他网络的攻击路径。在完成初始目标后,团队改进了部署的工具和技术,以模仿更广泛、通常不太复杂的威胁行为体,从而引起网络防御者的注意。CISA红队成员没有清理或删除系统日志,使防御者能够调查所有痕迹,识别入侵的全部范围。
合作阶段:无声之盾团队定期与高级管理人员和技术人员会面,讨论该组织网络防御能力方面的问题。在此阶段,该团队:
提出新的基于行为和与工具无关的检测方法,以发现对手模拟阶段使用的其他TTPs。他们还根据当前CISA的优先事项和公开指南评估了该组织的改进情况。
对现有检测步骤进行故障排除,展示某些TTPs是如何规避基于IOC的检测的。
澄清CISA红队活动中的事件,指出意外的网络/应用行为或真正的对手可能存在于网络中。
注意:在这个阶段,团队的目标是提高该组织基于对手行为(即TTPs)而非依赖已知IOC来检测恶意活动的能力。
本建议由CISA与被评估组织共同起草,详细介绍了红队的活动和TTPs、相关的网络防御活动以及经验教训,为网络防御人员提供了改进其组织防御能力的建议。本建议还为软件制造商提供了建议,以加强其客户网络防御,降低域受损的可能性。
技术细节
在对手模拟阶段,红队通过利用未修补Web服务器中的已知漏洞获得了该组织Solaris系统的初始访问权限。他们通过网络钓鱼单独访问了Windows环境,并能够入侵整个域及其父域。有关本次评估的时间表,请参见图1;有关团队活动和TTPs的详细信息,请参阅以下部分。
图1:无声之盾评估时间表
对手模拟阶段
Solaris系统的渗透
侦察、初始访问和命令与控制
CISA红队使用开源工具和第三方服务来探测该组织面向互联网的攻击面[T1594]。这包括对常见端口进行非侵入式端口扫描和DNS枚举[T1590.002]。这些工作发现该组织的Web服务器存在CVE-2022-21587漏洞,这是Oracle Web Applications Desktop Integrator中的一个未经身份验证的远程代码执行(RCE)漏洞。在三个月的时间里,被评估组织未能修补这个漏洞,红队利用它获得了初始访问权限。
利用此漏洞可以在处理来自面向公众的Web服务器的传入请求的后端应用服务器(服务器1)上执行代码。红队利用这一漏洞上传并运行了一个安全的Python远程访问工具(RAT)。由于应用服务器通过TCP 80和443端口完全连接到外部互联网,RAT实现了持续的命令与控制(C2)通信[T1071.001]。
注意:获得访问权限后,该团队立即通知了该组织的可信代理未修补的设备,但该组织花了两周多的时间来应用可用的补丁。此外,该组织没有对受影响的服务器进行彻底调查,否则就会发现IOC,并应该启动完整的事件响应。在团队获得访问权限大约两周后,该漏洞的利用代码被公开发布到一个流行的开源漏洞利用框架中。CISA发现该漏洞被不明第三方利用。CISA于2023年2月2日将此CVE添加到其已知漏洞利用目录中。
凭据访问、命令与控制和权限提升
一旦进入服务器1,红队就探测主机的文件和文件夹结构[T1005],并发现几个旧的、全局可访问的.tar备份文件,其中包括/etc/shadow文件的可读副本,该文件包含一个特权服务账户(账户1)的哈希值。团队使用常见的单词表快速破解了该账户的弱密码[T1110.002]。然后,他们建立了一个TCP 80端口上的出站SSH连接,并使用反向隧道SSH回到服务器1,在那里他们被提示重置账户1的过期密码[T1571]。团队发现该账户在一些容器中启用,但很长一段时间没有被主动使用;团队将此账户的密码更改为强密码。
团队发现账户1是一个具有sudo/root权限的本地管理员账户,并使用它进行横向移动(见下一节)。
横向移动和持久化
Solaris系统中的服务器没有使用集中认证,但拥有大多数统一的本地账户和权限[T1078.002]。这使红队能够通过SSH使用账户1在大部分网络中移动[T1021.004]。
一些服务器允许外部互联网访问,团队在其中一些主机上部署了RAT以实现C2通信。他们部署了几种不同的RAT来实现网络流量特征的多样化,混淆磁盘和内存中的特征。这些工具通过有效的HTTPS消息与红队转发器通信,还通过非标准端口(80和443)上的SSH通信[T1571]。大部分流量没有被防火墙阻止,该组织缺乏能够检测常见端口上协议不匹配的应用层防火墙。
然后,团队横向移动到多个服务器,包括不允许互联网访问的高价值资产。使用反向SSH隧道,团队进入环境,并使用SOCKS代理[T1090]在网络中前进。他们将植入程序配置为绑定到随机高端口的TCP绑定监听器,以便直接连接这些主机,而无需创建新的SSH登录事件。
在其他内部主机上,团队对每台主机进行数据挖掘,寻找敏感信息和凭据。他们获得了个人身份信息(PII)、影子文件、可破解的密码短语保护的管理员SSH密钥以及用户的.bash_history中的纯文本密码[T1552.003]。这些数据挖掘出的凭据为整个网络提供了进一步的非特权访问途径。团队还使用SSH隧道远程挂载网络文件系统(NFS)共享,通过欺骗uid和gid值来访问所有文件和文件夹。
为了防止重启或其他中断,团队主要使用cron实用程序[T1053.003]以及at实用程序[T1053.002]在主机上通过安排任务来实现持久化,以便融入环境。此外,SSH私钥可提供对内部跳板主机的持久访问,即使密码被轮换,也能继续启用访问。
全面入侵Solaris系统
尽管账户1允许团队横向移动到大部分Solaris系统,但该账户并未提供对网络中所有主机的特权访问,因为有些主机已更改了密码(从而通过该账户拒绝特权访问)。然而,团队使用last命令分析了最近的用户登录,并识别出一个网络安全设备扫描服务账户(账户2),该账户定期使用基于密码的身份验证登录到内部主机。作为定期漏洞扫描的一部分,账户2会通过SSH连接到每个主机,并使用相对路径而不是绝对路径/usr/local/bin/sudo运行sudo。本地路径产生了一个路径劫持漏洞,使红队能够劫持执行流并捕获该账户的密码[T1574.007]。
获取的密码授予了对整个Solaris系统的无限制特权访问。
Windows域的渗透
虽然对Solaris系统的入侵让红队能够持续数月访问敏感系统(包括Web应用程序和数据库),但这并未立即导致企业Windows环境的沦陷。进入Windows域后,红队发现了几个密码较弱的服务账户。攻击者很可能通过长时间的密码喷洒攻击或利用从外部获得的凭据(如暗网凭据转储)来继续Solaris的攻击路径。
红队通过其他访问途径渗透了Windows域,并最终证明,在获得Windows凭据后,可以在两个域之间进行未被发现的横向移动。
侦察和初始访问
在尝试从Solaris横向移动到Windows的同时,红队对该组织进行了开源信息收集。他们收集了员工姓名[T1589.003],并根据目标的电子邮件命名方案推断出电子邮件地址。在确定姓名、电子邮件和职务后,团队选择了几个经常与公众互动的钓鱼目标[T1591.004]。其中一名用户触发了一个钓鱼载荷,为红队提供了对一个工作站的初始访问权限。
然后,团队将一个简单的初始访问RAT放置在工作站的一个用户可写文件夹中,并通过添加注册表启动项获得了用户级持久性,该启动项通过HTTPS回调到红队转发器。团队评估了主机上运行的杀毒软件(AV)和端点检测与响应(EDR)系统,并使用植入程序将一个更强大的成熟RAT直接注入内存,该RAT指向另一个转发器。即使红队植入程序中的一个错误导致一个下午持续产生8GB的网络流量,被评估组织的工具也未能将C2流量归类为异常。
凭据访问和权限提升
内部网络信息可供无特权的域内用户自由获取,红队使用在.NET中重写的dsquery.exe的自定义版本和来自被钓鱼用户工作站的Beacon对象文件(BOF)ldapsearch查询了数百兆字节的Active Directory(AD)数据。然后,团队对大量内部文件服务器进行数据挖掘,寻找可访问的共享[T1083]。团队在一个开放的IT管理共享上发现了一个前员工留下的密码文件,其中包含几个特权服务账户的明文用户名和密码。利用收集的LDAP信息,团队发现其中一个账户(账户3)拥有系统中心操作管理器(SCOM)管理员权限和父域的域管理员权限。他们发现另一个账户(账户4)也拥有该域中大多数服务器的管理权限。这两个账户的密码已有八年未更新,也未在组织的身份管理(IDM)系统中注册。
横向移动和持久化
红队使用有效账户和/或令牌以不同的技术进行横向移动。这些技术包括计划任务操控、服务创建和应用程序域劫持[T1574.014]。在使用凭据方面,组织网络中实施的IDM阻碍了红队使用常见的凭据操纵技术,如哈希传递[T1550.002]和票据传递[T1550.003]。红队找到了规避IDM的方法,包括使用未在IDM中注册的某些账户的明文密码创建真实的网络登录会话[T1134.003],以及模拟当前登录用户的令牌来利用有效会话[T1134.001]。
红队定制了载荷以融入网络环境,没有重复使用文件名或文件哈希等IoC,尤其是对于持久化的植入程序。远程查询目录列表、计划任务、服务和正在运行的进程提供了红队掩饰成合法活动[T1036.004]所需的信息。
团队使用从工作站横向移动到SCOM服务器的账户3的数据挖掘凭据。在那里,使用账户4,团队以"系统中心配置管理器"(SCCM)服务器为目标,因为它是网络中有利的观察点。SCCM服务器上已有登录的服务器管理员,他们的用户名遵循一种可预测的命名模式(将管理角色和特权级别相关联),使团队能够确定用于横向移动到其他主机的账户。
团队以组织频繁使用的特权管理员账户的跳板服务器为目标。红队操作人员使用从SCCM服务器窃取的管理员凭据,入侵了该组织的一台服务器管理员跳板主机。他们了解到,该组织将一些(但不是全部)账户按角色分离到单独的跳板服务器上(例如,工作站管理员和服务器管理员有单独的跳转点,但服务器管理员和域管理员有时共享相同的跳板主机)。一旦域管理员登录,红队就窃取管理员的会话令牌,横向移动到域控制器,在那里他们通过DCSync获取了整个域的凭据[T1003.006],实现了完全的域控制。
在入侵域之后,团队确认了对包括多个高价值资产(HVA)和Tier 0资产在内的敏感服务器的访问权限。尽管这些服务器的敏感性和关键功能,但被访问的服务器似乎都没有任何明显的额外保护或网络访问限制。对这些关键系统的远程管理和访问应限于来自特定网络区域和/或工作站的指定基于角色的账户。通过这些访问载体限制提供隔离,可以防止它们受到威胁,并大大减少相关的噪音,使防御者更容易识别异常行为。
横向渗透到外部可信合作伙伴
团队通过LDAP检查了该组织与其他组织域的信任关系[T1482],发现其与多个外部FCEB合作伙伴组织相连,随后用其中一个关系进行横向移动。
团队从合作伙伴域控制器1(PARTNER DC 1)提取LDAP信息,并对该域进行了Kerberoasting攻击,得到了一个有效的服务账户,该账户的弱密码被快速破解,但由于该账户缺乏适当的权限,团队无法使用该账户进行横向移动。然而,合作伙伴1(PARTNER 1)与第二个合作伙伴的域控制器(PARTNER DC 2)存在信任关系。使用获得的合作伙伴1凭据,红队发现合作伙伴2也有一个可进行kerberoasting的高权限管理服务账户,其密码被破解,使团队能够从原始受害者网络横向移动到合作伙伴2的主机。
这些跨组织的攻击路径很少在常规评估或审计中被发现或测试,因为涉及网络所有权、法律协议和/或供应商的不透明性。然而,它们仍然是高级持续性威胁(APT)行为体的重要访问载体。
对可信合作伙伴域访问权限的实验包括修改源域控制器上的本地系统防火墙规则,以允许特定的源IP和目标IP。该组织的基于主机的监控系统未能识别红队添加和删除防火墙例外的行为。
防御规避技术
Solaris系统
由于缺乏应用程序白名单,红队经常伪装成合法软件以避免被组织的网络防御人员发现[T1036]。此外,默认情况下,Solaris中通过lastcomm命令进行的命令审计只捕获正在运行的程序——完整文件路径和任何命令行参数都不会被记录。例如:
真实文件:/opt/splunkforwarder/bin/splunkd
恶意副本:/opt/splunkforwarder/splunkd
命令审计日志:splunkd
团队还隐藏了常见的工件以掩盖其操作活动,包括修改文件时间戳[T1070.006]以及使用touch和chmod/chown命令更改权限[T1222.002],以便与环境中的其他文件融为一体。
Windows域
团队使用各种账户、后门和C2信道(具有不同的网络特征)来混淆活动[T1027]。
账户使用、后门和C2信道的多样化进一步掩盖了红队在域中的活动。移动到新主机时使用各种账户以降低被发现的风险。在获取凭据时,团队为每个角色(如服务器管理员、工作站管理员、域管理员、服务账户)选择了几个备份账户,以防预期账户被锁定、禁用或标记为泄露。
为强调与工具无关/基于行为的检测的价值,红队部署了七种以上不同的植入程序,以模仿真实世界威胁行为体对开源、商业现货(COTS)和定制RAT的多样化使用。每个植入程序都具有不同的主机和网络特征,以规避开箱即用的EDR检测,每个植入程序在磁盘和内存中都有独特的工件。团队还通过使用专有加载器和信标对象文件(BOF)规避了EDR/AV,这些文件可以直接调用API并允许自我注入.NET可执行文件以运行其他功能。
所有部署的工具都有不同的网络C2信道特征。一些信标代理通过HTTPS连接到红队拥有的合法域。其他则使用域前置[T1090.004]来利用常见的内容分发网络(CDN)功能。发送到红队不拥有的公共网站的出站流量具有一个主机头,该主机头告诉CDN提供商它应该将流量重定向到红队控制的IP地址。内部枢轴使用445端口上的SMB和临时高端口上的TCP绑定侦听器。团队对二者进行了定制,以模仿域中已经存在的命名管道和网络连接,从而规避检测。
合作阶段
评估进行到第五个月时,红队正式通知该组织的安全运营中心(SOC)正在进行的活动,并开始与SOC领导层直接接触。此时,该组织尚未提交澄清请求,似乎也没有积极调查CISA无声之盾评估活动。
在此阶段,CISA避免提供TTPs或IoC(如具体的主机、文件名或C2域),以便该组织能够开发和测试自己的检测指标。团队每周与该组织的高级技术人员、SOC和系统管理员进行讨论,这促使他们在已知技术的响应时间以及发现以前未知的TTPs的基于行为的检测方面取得了可衡量的进展。具体而言,红队与该组织合作,帮助他们综合以下数据源来确定红队入侵的程度:
EDR警报;
YARA扫描;
C2域名和技术;
内部枢轴主机;
用于横向移动的管理员账户;
内存转储,显示了传递凭据的企图;
电子邮件日志记录了通过网络钓鱼的初次入侵。
每个网络威胁行为体都有一套独特的TTPs。尽管如此,几乎所有攻击者都会执行以下基本步骤:
命令执行(初始访问和横向移动);
建立C2信道并渗透数据;
建立持久性;
提升权限;
使用和滥用凭据。
所有TTPs都有相应的工件,但并非所有IoC都是同等重要的。过度关注一组特定的IoC可以捕获已知的威胁,但会阻碍识别采用不同TTPs的未知攻击者的努力。
在此阶段讨论的主要主题改进了该组织基于行为的检测能力,包括日志收集、取证分析、依赖IoC进行检测、监控和调查管理以及Sysmon错误配置。
日志收集
被评估组织的日志无效且不充分,网络防御人员没有使用日志主动检测异常行为。在红队的协助下,该组织发现了由硬件故障、备份有限、网络带宽以及有限的日志收集和保留策略(仅60-90天)导致的日志问题。在其他情况下,关键数据被捕获但未被分析,因为工件被转移到冷存储中。
组织的网络防御人员在尝试获取新的取证数据时发现了程序性和其他障碍。例如,受影响的服务器无法下线进行镜像,因为没有在不影响组织运营的情况下这样做的流程。此外,通过数据包捕获获取取证数据的尝试直接发生在受损的Solaris和Windows主机上,红队观察到正在收集的数据,因此有机会中断收集、篡改证据文件并更好地适应和规避他们的防御。
取证分析
防御人员没有通过DNS监控C2出口流量。他们认为他们的母公司正在监控其DNS流量,因此他们没有必要收集和监控日志进行分析。
法医分析师盲目地相信文件和持久性机制的时间戳,却没有意识到它们已被篡改。持久性机制(如计划任务)中添加的虚假时间导致防御者误判入侵的时间线。红队操作员经常使用本地touch -r命令或植入物的timestomp命令调整文件和文件夹的最后修改时间戳,以伪装ls -la输出中捕获的最后修改时间戳。在适当的取证调查过程中,ls -lu或ls -lc发现的次要文件时间戳将揭示异常文件属性,以及更可靠的异常。
依赖已知IoC
红队在对手模拟阶段使用了多样化的TTPs,以反映网络威胁行为体绕过传统的已知恶意检测策略的能力。网络防御者没有检测到红队的大部分活动。例如:
在识别红队载荷后,网络防御者编写了定制的YARA规则,对红队加载程序的特定行为进行签名,发现了几个类似的载荷,但未能捕获其他六个C2框架中的任何一个。
组织网络防御者使用定制和开源检测规则的组合(例如CommandLine=kerberoast*或名为bloodhound.zip的文件),但未检测到红队的kerberoasting活动。
常规监控和调查管理
与SOC领导的对话揭示了几个程序性问题,导致对红队入侵和活动的分析缓慢或不完整。例如:
虽然EDR产品检测并隔离了红队的几个工具,包括初始网络钓鱼载荷,但该组织的日常程序并不总是包括对EDR警报的审查。红队与该组织合作,确保对EDR警报的快速响应成为网络防御者日常工作流程的基本组成部分。这使SOC人员能够识别新的横向移动企图。
Solaris网络所有者发现几个防火墙无意中被错误配置或禁用。该组织的技术团队直接与红队合作修复错误,重新组织和重新验证网络拓扑。
网络防御者的操作安全性差,提醒红队进行调查。例如:
在一个例子中,在收到明显来自沙盒环境的传入信标后,载荷没有从原始文件重命名,使红队能够立即识别他们访问受到多大程度的审查。组织必须确保沙盒环境安全可靠,并经过彻底的沙盒处理。
红队观察到系统管理员正在审查与红队Solaris载荷相关的取证工件——搜索文件、对出站C2流量运行数据包捕获以及端口扫描C2转发器。团队成员只需用新的转发器和文件路径重新安装持久性,就可以绕过非正式调查。
IT团队与SOC团队是分离的,后者对系统管理员长达数周的异常网络行为调查一无所知。
虽然该组织将其大部分威胁搜索和事件响应隔离在一个单独的域中,但工作人员仍然使用受感染的企业域账户来传达活跃调查和评估的细节。
Sysmon错误配置
红队就该组织的Sysmon配置与该组织进行了富有成效的交流,红队在整个评估过程中滥用了该配置。红队发现了几个错误配置:
部署团队将规则集(存储为.xml文件)推送到全局可读的C:\Windows目录。没有任何规则可以捕获从磁盘或注册表读取配置的攻击者。因此,CISA红队获得了显式文件路径来安全地放置他们的载荷。
规则针对单个特定工具的IoC,而不是某种技术(例如,sc.exe而不是服务创建事件)。
例外过于宽松(例如,排除C:\Program Files (x86)\Google\Update\*中任何位置的所有Image条目)。
经验教训和主要发现
红队注意到了与被评估组织网络安全相关的以下经验教训和主要发现。这些具体发现促成了红队在整个组织网络中获得持久访问的能力。有关如何解决这些发现的建议,请参见"缓解措施"部分。
经验教训:被评估组织在预防和检测恶意活动方面的控制措施不够。
发现1:该组织的外围网络与其内部网络之间的防火墙保护不够,未能限制出站流量。该组织的大多数主机,包括域控制器,都可以连接到广泛的AWS EC2范围的互联网,允许红队在不触发IDS/IPS响应的情况下发出出站Web请求。这些成功的连接揭示了缺乏能够检测常见端口上协议不匹配的应用层防火墙。
发现2:被评估组织的网络分段不足。网络分段的缺乏使红队能够在Solaris和Windows域内部和外部移动。这还使他们能够收集大量关于该组织及其系统的数据。内部服务器几乎可以访问任何其他域主机,无论类型(服务器与工作站)、用途(用户笔记本电脑、文件服务器、IDM服务器等)或物理位置如何。在不同部分的网络之间使用网络地址转换(NAT)进一步混淆了数据流,阻碍了事件响应。
发现3:该组织与多个合作伙伴组织存在信任关系,再加上薄弱的凭据和网络连接,使红队能够渗透并横向移动到合作伙伴域控制器。这凸显了盲目允许第三方网络连接的风险,以及定期监控特权访问和可传递的可信凭据的重要性。
发现4:该组织的防御人员没有充分隔离其防御调查活动。组织应始终在已知受感染的域之外传递可疑事件的信息,而不是在其中传递。虽然防御系统被分流到另一个具有正确(单向)信任关系的域,但红队通过同一个先前受感染的IDM服务器识别出了该域的可能攻击载体。一些分析师还从连接互联网的沙盒中对可疑植入物进行动态分析,使红队了解正在调查的特定文件和主机。
发现5:网络防御者不熟悉其IDM解决方案的复杂性。CISA红队发现了未在IDM中注册的账户,并成功使用这些账户和现有用户访问令牌绕过IDM。该设备在其主动配置中未针对常见的凭据操纵技术进行全面测试,也未监控任何异常行为警报。
发现6:该组织有一些基于角色的主机分段,但还不够精细。该组织使用明确定义的角色(服务器管理员和域管理员),但没有将账户充分隔离到自己的服务器或系统,从而实现权限提升。
经验教训:该组织没有有效或高效地收集、保留和分析日志。
发现7:由于收集、存储和处理日志的问题,防御分析师没有获得所需信息。其他策略收集了太多无用数据,产生了噪音,拖慢了调查速度。
发现8:网络防御者的日常程序并不总是包括分析EDR警报,安装的工具只为隔离文件提供30天的保留期。因此,调查人员无法及时获取可能导致更早发现红队活动的信息。
发现9:法医分析师信任可能被攻击者修改的主机工件。特别是文件时间戳和数据包捕获,在没有考虑恶意篡改可能性的情况下被仔细检查。
经验教训:官僚主义的沟通和权力下放的团队阻碍了该组织网络防御人员的工作。
发现10:该组织的技术人员分散在权力下放的团队中。孤立的团队结构意味着IT、安全和其他技术团队在工具方面缺乏一致性,为防御者创造了太多噪音,难以梳理。
发现11:SOC团队缺乏通过分散的IT团队快速更新或部署规则集的能力。该组织将单个工具(如Sysmon)的责任分散到多个团体,阻碍了防御态势的及时性和维护。
发现12:该组织的取证团队编写了一份事件响应报告,记录了红队对Solaris系统的初始利用。然而,该报告范围有限,没有充分记录红队扩大和持续的能力。红队第一阶段使用公开已知的TTPs取得的成功,说明了所有Solaris主机以及Windows环境面临的业务风险。此外,该组织的内部报告只关注易受攻击的服务器,没有考虑网络威胁行为体在Solaris系统中扩张和持续的能力。
Solaris管理员对红队的调查没有出现在报告或SOC澄清中。管理员对异常和可能恶意活动的询问,特别是在确认相邻主机入侵的调查过程中,应该在报告中作为横向移动的证据加以考虑。
经验教训:"已知恶意"检测方法阻碍了对其他TTPs的检测。
发现13:防御者过度关注特定的IoC,如文件属性、特定C2框架或C2域名。该组织的网络防御者最初没有采用与工具无关的检测方法,导致他们准确识别红队的一些工具,但对入侵的全部范围视而不见。他们习惯于捕获使用特定TTPs的内部红队;引入具有新TTPs的新"威胁行为体"几乎规避了所有检测。
发现14:检测规则可以从受感染的系统看到,使红队能够根据硬编码规则和例外规避检测。
发现15:对管理工具的限制不够。技术人员缺乏标准化的管理工具集,使管理员、CISA红队或攻击者都可以使用所有远程管理协议。这也为防御者创造了过多的噪音,无法有效地筛选出预期行为与异常行为。
发现16:对软件的跟踪不足。在整个域中,似乎没有软件安装的审批或跟踪过程,防止防御分析师识别红队放置的异常软件。经批准的软件的综合清单有助于防御者识别异常行为,并促进应用程序允许列表的部署。
发现的优势
被评估组织立即计划并解决了多个已发现的问题,包括:
Windows服务账户:该组织去除了30%以上被认为不必要的服务账户。目前正在努力更改服务账户密码并应用DoD推荐的STIG合规性(自本报告发布以来,已更改了85%以上)。
IDM:该组织正在研究如何改进其IDM实施,并应用额外的安全警报和预防措施以防止可能的凭据滥用。他们计划在零层资产前实施额外的基于身份的监控能力。
出口:该组织实施了新的流程来检测和阻止服务器异常流出网络到互联网。
基于主机的解决方案:该组织使用了反病毒软件的其他功能,如信誉分数,以查找所有可执行文件类型的异常值,以识别异常实例。
主机:在发现众多无法修复的问题和错误配置后,该组织停用了服务器集群并从头重建。
Solaris凭据:该组织更改了密码,删除了SSH密钥,限制了权限,并删除了不必要的账户。
负责"无声之盾"(SILENTSHIELD)红队评估的CISA红队副队长:Chris Truncer(@christruncer),此人之前是专门做渗透和红队的公司FortyNorth的首席执行官。
推荐阅读
闲谈
**
威胁情报**
1.威胁情报 - 最危险的网络安全工作
2.威胁情报专栏 | 威胁情报这十年(前传)
3.网络威胁情报的未来
4.情报内生?| 利用威胁情报平台落地网空杀伤链的七种方法
5.威胁情报专栏 | 特别策划 - 网空杀伤链
**
APT**
**
入侵分析与红队攻防**
**
天御智库**
