针对薄弱“壁垒”击破渗透安全防护仍需加固

2019年5月,XXX收到了关于公安部召开的“护网2019”网络攻方演习活动的通知,XXX领导层即刻举行了会议进行探讨,决定成立护网行动小组前往北京参加此次“战”。XXX护网行动小组做了充分的前期准备,在网络攻防演习期间中充当攻击方进行网络攻防演习,希望通过此次演习能够提升各行业安全防御能力与机制。

一、前期备战篇

活动伊始,收到主办方的比赛通知,得知此次演习活动中给我们的攻击目标为十个。作为攻击队的我们体会到了和平时工作的不同,平时在渗透测试的过程中可能只是对某一个点进行测试,而此次攻防演习模式则是针对各个层面进行测试。攻击期间,为检测攻击团队的实际攻击能力,部分攻击目标可能 会提前退出,并加入新的攻击目标,为此我们便要考虑如何在短时间 内快速拿到目标系统,另外,演习规则是拿到给定的目标系统或主办方认可的其他重要目标系统才能取得高分,为此我们着重考虑更容易被拿下的重要目标。由于时间紧迫,前期根据团队成员各自的优势进行了分工,有对每个目标企业信息进行查找的:如企业关系,关联公司,以及所有存在关系的域名及备案信息,并且对搜集到的域名信息进行指纹探测。有对开放的托管平台、Github、码云等平台、泄露的账号密码、以及公开邮箱进行搜集;剩下的则对前期武器库,内网各个操作系统提权工具,内网渗透工具作准备。

二、目标战术篇

由于之前对每个目标的信息都进行了搜集,查找分析中我们发现科工行业某集团官网站点地图里的单位涉及业务繁杂,几乎遍布全国各地,如果对这上百个目标系统逐个攻击显然是不现实的,为了实现攻击效果最大化,我们尽快寻找到了防护较弱的分公司系统进行攻
击,这种分公司安全建设能力较差,防御能力相对薄弱,也更容易攻击。
历经一段时间的搜索后最终利用谷歌浏览器使用关键词进行搜索时发现,科工行业某集团某省分公司门禁闸机后台登录系统未设置防暴力破解防护,于是我们通过密码暴破成功获取到了该网站后台管理系统。进入管理后台后,我们继续寻找漏洞点从而寻求更大突破,看能否获取主机权限,在经过一番搜寻发现此后台在微信公众号管理处发现任意文件上传漏洞,最终通过该漏洞成功获取到该主机的权限。
在获取权限的同时为防止被管理员发现,修复漏洞,失去权限,于是在服务器里面添加后门,做了权限保持。但当前情况下我们不满足只拿到一台服务器,为了扩大战果搜寻目标系统,我们首先对该主机的网站配置文件进行查找分析,发现了三台内网其他主机的数据库配置文件,成功获取到了数据库账号密码。于是我们用拿到的主机权限对其数据库进行连接,获取了这几个数据库里面的所有账号和密码。接着又去找内网的其他主机,使用命令查看到内网多台主机都与此主机通讯过,于是我们以这一台主机为跳板,代理转发端口到本地攻攻击机上,使用扫描工具对内网主机进行扫描,该网段主机相对较多,但如果进行全端口扫描,那么可能效率会特别低,为了确保效率,我们主要对web服务进行攻击,同时查看能否通过弱口令直接登录到内网主机。于是我们主要对80,8080,443,3389端口这几个页面,进行扫描。
扫完这个网段后,又继续搜查看能否找到堡垒机,如果攻下它就又可以当作跳板,获取到大量的内网主机的控制权,但这次没能找到。于是我们尝试从3389这个端口入手,通过团队的默契配合找到了开放3389的机器,使用弱口令尝试登录,最终成功登录了内网的一台服务器。
最终团队成员对搜集到的与该公司有关的IP、域名、端口、用户信息等资产进行了梳理,利用之前获取的数据库敏感信息,对该分公司信息管理系统,开票系统,餐饮系统进行撞库,最终取到了它们的后台管理系统,拿到了项目管理系统和开票系统的主机权限。

三、结束总结篇

对某省分公司的的渗透已告一段落,在攻击的过程中,从漏洞扫描,端口扫描,漏洞攻击,以及在内网中进行扫描横向移动中,并没有发现防守方展开任何动作,因此给出三点建议,其一,经测试后建议定期对员工进行安全意识培训,不使用默认口令、不使用弱口令、不同系统不用相同密码;其二,定期实时检查内网主机,设备日志定期查看,其三,系统在上线之前做好系统测评。如果是在真实环境中,恶意攻击者对该系统发起攻击,后果将难以想象。
在数字化时代,网络安全事关国家安全和国家发展,事关广大人民群众的切实利益,XXX作为中国领先的数字化安全服务提供商,聚建立了以数字身份认证为核心,焦云计算、大数据、人工智能等技术,致力于为公安、军队、金融通信、电力等行业用户提供基于无边界、零信任、自适应安全框架的”云、网、端、边”数字化安全解决方案。未来,XXX将公安部的大力指导下,努力共同营造一个安全可靠的网络空间。

移动APP存在安全盲区,或成敏感数据泄露源头

2019年6月,公安部举办了“护网2019”网络攻防演习活动。国内领先的数字化安全服务提供商——XXX作为攻击方参加了此次演习活动,在5月得知我司作为参战方后迅速组织公司网络渗透攻击精英队员组成备战小组,通过在攻防演习中采取多种攻击手段,发现防守方各种安全隐患,这充分说明我国部分单位网站及重要信息系统存在网络安全风险。因而本次网络安全攻防演习在锻炼攻防双方技术能力的同时,亦体现了演习在对提升我国网络安全防护能力方面具有重大意义。

一、依托大数据,以移动App为突破口

演习备战阶段,我司作为深耕移动安全领域多年的安全厂商,充分发挥自身在移动安全领域的优势,通过对全国互联网780万移动应用的分析和检测,发现截至2019年一季度,共截获高危风险应用1,293,354个,高危应用占比高达17.76%;以此我们确立了本次演习将以移动APP作为突破口,通过流量分析、逻辑分析、逆向破解分析等技术手段,重点纵深攻击暴露在安全产品防护之外的移动APP服务端,进而横向攻击关联web系统,伺机寻求侵入内网的机会。
目标选取阶段,通过综合考量分析指挥部下发的攻击目标,依托我司多年建立的全网移动应用库,发现两家单位下属单位众多,并且各单位都存在自主搭建、互相独立的信息数据管理系统,移动APP数量众多,且开发方式、所使用技术都不相同,未进行统一监管管理,存在风险几率较高,更容易寻求突破点。我们遂选取此两家单位作为重点攻击目标。
信息收集阶段,从我司的数据库中批量导出目标单位的APP及其分析报表数据,按照以下几个原则选取重点攻击目标:
1)APP上线时间早,更新频率低。
2)移动端没有使用商用加固产品(代码混淆、加密等),容易逆向破解。
3)数据通信未加密,身份认证策略简单。
4)移动端较早使用商用安全加固产品的,选取IOS端作为攻击目标。
同时按照由粗到精,所有目标批量盲打,发现问题后重点分析突破的思想进行渗透测试。

二、批量盲打,重点突破

我们通过批量盲打,发现某政务保障单位的移动APP登录接口可进行批量爆破;我们通过进一步针对此APP进行逆向破解分析、流量劫持分析,发现此APP还存在管理后台暴露的问题。同时,进一步分析发现,此APP管理后台存在高危越权漏洞,只需要输入任意账号密码,点击登录按钮,通过前端修改返回包中的状态码,即可成功登录管理员账号;同时,此管理后台可批量模糊查询获取数十万APP用户数据,可获得数据包括身份证号码、电话号码、姓名、用户名等。
从管理后台拿到APP用户信息数据后,我们再次对APP发起攻击。通过互联网搜索发现,此APP的默认原始密码为弱口令,我们以此为爆破字典进行尝试批量登录爆破,登录成功率约为5%。如再结合已获取的身份证号码、电话号码、姓名等数据构建爆破字典,成功率将更高,为防止影响生产系统,本次测试并未使用此攻击方式。此APP 登录成功后,可直接查看用户账户余额,消费明细等,并可进行部分业务办理,危害较高。按照原先制定的以APP为突破口,突破后横向移动的原则,我们选择此单位另外两个关联web系统作为目标,使用移动APP的账号数据进行撞库攻击,两个web系统均可登录成功。针对此web系统,在进一步尝试上传木马攻击时,由于安防产品对抗经验不足,未能成功突破,此次攻击测试至此结束。

三、新平台,老漏洞 移动 APP存在通用漏洞

通过再次盲打,我们发现目标下属另一单位移动APP修改密码接口存在Web框架Struct2通用漏洞st-009、st-016。我们使用漏洞利用工具,可直接远程执行代码,以管理员权限任意读取服务器文件;进一步,通过此漏洞可以上传木马文件,通过远程连接木马程序并翻阅服务器配置文件,发现配置文件中明文存储的数据库明文账号和密码,并尝试连接数据库成功。
通过查询数据库,发现数据库中存有余约50万条APP用户数据,包括用户名、密码(MD5)、身份证号码、账号余额、消费明细等。进一步的通过MD5 Hash爆破的方式获得大量APP账号密码,并在移动APP端登录成功。再一次选取关联web系统进行横向撞库攻击,攻击成功,所有获得的账号密码均可登录成功。
同时,通过已上传的木马进行横向内网扫面发现,此服务器可联通数十台开通oracle数据库端口的其他服务器,且此服务器疑似通过远程桌面工具管理其他数据库服务器,然而,同样受限队伍“免杀”能力缺失,未能成功登录此服务器,至此,针对此目标的渗透攻击结束。

四、针对演习的分析总结及建议

至此针对此部级单位的演习攻击已告一段落,此次演习攻击主要以移动App为突破点,通过逆向破解分析、流量劫持分析等手段攻击App服务端,获取关键数据。主要总结为以下几类问题:
1.移动APP防护较弱,身份认证策略、风险防范策略普遍落后于web端,数据泄露问题较严重;由于缺乏统一审计标准,依然存在一些较老的漏洞,如本次发现的Strucs2类09、12、16漏洞。
2.移动平台App发布混乱,如省、市、县等各级行政单位各自开发发布各自的移动App,缺乏统一管理,风险威胁大。
3.微信公众号、小程序,作为新兴平台,且审计标准滞后,存在SQL注入等利用简单、危害大的问题较多。
同时,针对移动安全问题,提出两点建议:
1.移动APP、公众号、小程序等需纳入审计标准范围。
2.移动APP、公众号、小程序需统一监管、管理。五、最后的话
习近平总书记在全国网络安全和信息化工作会议上指出,没有网络安全就没有国家安全,就没有经济社会稳定运行,因而,我们要树立整除网络安全观,不断加强信息基础设施网络安全防护,XXX作为国内领先的数字化安全服务提供商,定将响应国家号召建设网络强国、夯实网络安全基础,树立科学网络安全观,加强核心技术的研发与创新,在日益激烈的网络空间安全博弈中奋营造一个更安全更美好的网络空间。