LAME:通过SSL加密通信进行横向渗透的新技术

简单来说,“LAME”技巧便是使用受相信的SSL证书,在内部收集中建立加密通信信道的一项技巧

本文主要评论争论一项用于红队的被称之为“LAME”的新横向渗透技巧及其缓解步伐在今年的8月份,Deloitte Greece道德黑客团队成员vangelos Mourikis和Nikos Karouzos,在都柏林举办的实践社区(CoP)峰会上,确定并展示了该项技巧

简介

在渗透测试或红蓝抗衡时代,我们都邑尽统统努力得到对目标内网的远程造访,并在情况范围内提升权限,建立持久通信信道持续监控,并赓续扩大年夜战果直至实现规划目标

为了建立一个隐蔽持久的通信信道,红队每每会采纳许多横向渗透技巧而平日他们的做法是建立基于TCP/IP通信协议的信道(如DNS,SMB和HTTP),模拟预期的收集流量和用户行径,从而维持不被发明但这些协议都应用未加密的通信,是以我们可以经由过程一些收集监控对象,NIDS/HIDS等来轻松识别这些流量别的,就算你应用了带有自署名证书的加密通道(例如HTTPS),也同样会触发入侵检测/监控系统的警报,由于它是中心人(MiTM)进击的一种非经常见的进击序言

更新后的杀毒软件可以轻松识别这些技巧,并应用了最新的启迪式引擎,它们能够关联和阻拦这些类型的通信信道

图1 – 未加密的通信信道(HTTP):

图2 – 考试测验应用自署名SSL证书,履行payload会孕育发生许多差错消息,并为入侵检测/监视系统留下大年夜量痕迹:

“LAME”技巧

那么,假如我们可以应用受相信的SSL证书在内网中进行横向渗透结果又会若何呢?

事实

1.域名系统(DNS)

域实现和规范 RFC 1035(1987年11月)指出“主文件中A行的RDATA部分是一个Internet地址,表示为四个十进制数字用点分隔,且没有任何嵌入空格(例如,“10.2.0.52″ 或 “192.0.5.6″)”

私有IP地址分配稍后先容(RFC 1918 – 私有Internet地址分配,1996年2月),未指定与公共DNS记录分配给私有IP地址有关的任何安然斟酌事变

虽然许多出版物提出了不合建议,但仍旧可以将公共域名的A记录分配给私有(内部)IP地址

2. SSL 证书

证书揭橥机构(RFC 6125)履行的SSL证书的验证和署名,在很大年夜程度上依附于对响应DNS名称的反省为了前进效率,署名证书不会被绑定到响应的IP地址上,是以底层架构中的变动并不会影响证书的有效性以是,我们可以为解析到私有(内部)IP地址的公共DNS名称揭橥受相信的SSL证书

筹备

出于观点验证(PoC)的目的,我们应用了像Cloudflare和LetsEncrypt这类的免费办事

为了履行LAME技巧,我们还必要进行以下操作:

应用LetsEncrypt的DNS验证措施,为internal.dotelite.gr揭橥SSL证书

应用CloudFlare将DNS A记录internal.dotelite.gr分配给内部IP地址:192.168.72.141

图3 – 公共DNS名称的受相信SSL证书解析到内部IP地址上:

履行

图4 – 以下是“LAME”技巧的履行流程图:

红队已在IP地址192.168.72.141上,支配了一个敕令和节制(CNC)办事器,并应用署名的SSL证书为internal.dotelite.gr设置设置设备摆设摆设了一个HTTPS办事器

在受害者机械(192.168.72.140)上获取远程代码履行后,红队建立了一个加密的通信信道应用PowerShell oneliner,受害者将经历以下历程并终极连接到internal.dotelite.gr:

1.受害者在内部DNS办事器上,哀求internal.dotelite.gr的DNS记录

2.内部DNS办事器将DNS记录哀求转发到Internet上的根DNS办事器

3.公共DNS办事器(例如CloudFlare)应用指向内部IP 192.168.72.141的DNS记录进行相应

4.内部DNS办事器接管上述DNS记录

5.DNS记录存储在内部DNS办事器的缓存中,并且可以在内网中供给多个类似的哀求

6.DNS记录被转发给受害者

7.受害者将应用受相信的SSL证书与进击者的内部IP 192.168.72.141建立加密通信信道

图5 – PowerShell oneliner“LAME”技巧(Step 0):

图6 – 将internal.dotelite.gr子域解析到IP 192.168.72.141的DNS解析流量(Steps 1-6):

图7 – TLS通信(Step 7):

图8 – 内网中功能齐备的加密通信信道(Step 7):

[1] [2]下一页

图9 – 上述敕令履行的收集流量(Step 7):

总结

得到解析为内部IP地址的公共DNS名称的受相信SSL证书并非弗成能一旦获取,我们则可以将其用于在内部收集中建立加密通信信道这不仅可以让我们的通信信道加倍隐蔽,还可以赞助我们躲过入侵检测/监控系统

此外,LAME技巧还可用于APT中结合端口转发和代理,红队可以在内部收集得到初始容身点后在目标情况中创建多个隐蔽枢纽点,并经由过程Internet上的外部CNC办事器进行节制

缓解步伐

因为通信的加密性和互换SSL证书的有效性,导致这种横向渗透技巧难以被检测发明而阻拦内部收集中主机之间的HTTPS流量,则可能会导致合法办事的可用性问题,是以彷佛并不是一个可行的办理规划我们的建议是在内部收集中强制应用集中式DNS办事器,并为所有哀求的DNS条款创建特定的监控用例阐发已解析的DNS记录,并进一步查询造访分配给内部IP地址的潜在可疑条款此外,我们建议增强主机级其余监控功能,以便及时的识别可能具有相同结果的替代进击路径(例如,监控本地“etc/hosts”文件的变更)

更新(04/09/2018):除了上述建议之外,你还可以在内部集中式DNS办事器中启用反重绑定保护(例如–stop-dns-rebind ,dnsmasq中的–rebind-domain-ok选项)

上一页[1] [2]

赞(0) 打赏
分享到: 更多 (0)
免责申明:本站所有资料均来自于网络,版权归原创者所有!本站不提供任何保证,不保证真实性,并不承担任何法律责任

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

阿里云优惠网 更专业 更优惠

阿里云优惠券阿里云大礼包