本文将以深入浅出的方式对渗透该类犯罪站点时的一些注意事项作出讲解,希望能够对注焦于此的安全人员有所帮助。
本次带来的是对于新型网络犯罪的渗透研究,区别于常规的渗透测试任务,针对该类站点主要核心不在于找出尽可能多的安全隐患,更多的聚焦于数据这个概念。
值得注意的是,这里的数据更多时候指的是:代理身份、后台管理员身份、受害人信息、后台数据、 消费凭证等信息。总的来说,一切的数据提取都是为了更好的落实团伙人员的身份信息。
所以无论是获取权限后的水坑钓鱼,还是拿到数据库权限后提取信息,亦或者提取镜像数据的操作,都是建立在这个基础之上。以下即为一个常见的菠菜类站点,首先我们可以对该类站点的功能进行盘点。
首先从在线客服这里来讲,一般来讲菠菜诈骗类站点都使用 美洽客服系统较多,也因为其安全、部署便捷的缘故而被广大该类站点开发者所使用。
目前来讲,针对该客服系统感觉并没有什么漏洞,所以通常使用钓鱼的方式来突破客服口,而常常对于有一定规模的团伙,他们的客服跟财务通常是同一业务团队,所以在以往的渗透中发现,在其客服机上常常存在大量的受害人信息及下级代理信息,这里大家可以重点注意一下,以钓鱼的方式突破客服口往往有意想不到的收获,毕竟无论在哪里,人永远是最大的漏洞。对该类站点渗透经验丰富的师傅,可以通过客服样式直接判断,当然也可以通过前端代码匹配关键字进行更为精准的判断目标客服系统。往往该类菠菜站点都是以移动端APP作为主要方式使用,所以在快速渗透的过程中我们可以优先反编译审计一下目标APP中是否存在一些敏感信息,例如提取URL拓宽战线、获取AK/SK控制云服务器。往往在提取APP中敏感信息会有意外之喜,下图为一次渗透目标中提取到的一些敏感信息。
网上有不少敏感信息自动提取的工具,这里我用的比较多的是 ApkAnalyser,当然GA部门也有专门的设备用于提取,工作性质不同所能利用的资源也不尽相同。对于一些代码能力较强的师傅,也可以直接通过反编译APK包审计代码,寻找敏感信息,当然这里建立在APP没有加壳等防护手段的基础上。通常,对于需要重点注意的关键词如:Password、id、accessKeyId、Username、accessKeySecret、mysql、redis等等,这里根据攻击者对于 敏感性概念的认知做提取操作。如上图,为一次渗透目标中,通过APP反编译得知目标AK/SK凭证,并且得知OSS服务为aliyun厂商,地域香港。于是直接获取到OSS服务权限,并且通过阿里云API命令执行上线C2。当然,OSS对象存储也是我们需要注意的一个点,通常为了方便起见,会将受害人的信息上传到OSS服务。具体通过AK/SK对阿里云服务器进行命令操作的方式不再赘述,感兴趣的小伙伴可以自行查看下面链接使用。Aliyun API: http://api.aliyun.com/
△ 整个攻击过程大概如上图,简单的画了一下思维导图。
该案例也是较大规模一个菠菜目标,通过前期的信息收集及渗透工作,对菠菜站点的主站并没有拿下什么成果,但是在对客服系统的测试中,通过与其客服人员交流得知该菠菜..玩家均使用内部自研的聊天工具沟通(也是为了躲避GA部门的取证方式)。于是,我们将战线转至该聊天系统,在聊天系统下载页发现目标使用了Apche Shiro框架,于是很顺利的打了一波顺利拿下权限,但是该主机为tomcatuser权限较低,且发现没有其他的服务,仅提供下载作用,总之并没有特别的收获,于是继续拓宽战线。这里根据对目标页面的Title作为特征,快速提取了52条结果,并且经过存活性验证及渗透,共拿下20余台主机权限,当然有一个很有趣的小Tips,就是这些站点并不是一成不变的,有的页面在默认页不存在Shiro,但是访问特定的登录页面下就出现Shiro框架了,这也跟shiro配置路由原因有关。
在拿下的多台服务器后,打扫战场成果的时候,我们发现有几台服务器的权限为root。使用fscan对内网快速扫描了一下,发现内网IP中开放了不少mysql,redis,oracle等服务。该内网中使用大量的反向代理,有不少公网IP在拿下权限后指向的却是相同的内网服务器。其中,居然还部署了JumpServer堡垒机,不得不说,这个目标确实有点东西,通常堡垒机也是为了集中管理服务器准备的。但是很遗憾,通过之前爆出的JumpServer RCE漏洞并没有利用成功。继续对这些服务器上配置文件的审计,我们找到了通往Mysql/redis数据库的密码。这里通过密码复用,对内网中使用redis数据库的主机进行写入SSH KEY的方式获取权限,且均为root权限。继续使用获取到的mysql密码,顺利登录多台内网数据库,因为我是用冰蝎管理webshell权限的,所以使用的是它的数据库管理功能测试连通性的。这里我们需要把端口代理出去,其实这里没有什么难度,因为其内部防火墙规则对于一些端口进行了限制,所以我们仅能通过80等端口入网。这里我使用的是Neo-Regeorg正向代理的HTTP流量。但是速度有些慢,后面使用NPS监听端口为80同样可以。通过对数据库中进行取证,发现了主站客服系统、后台管理系统的登录密码,这里包括了该组织运营的其他菠菜站点后台管理,这也算是意外之喜了。而在线上取证基本完成的时候,本着仔细的态度,我又一次对拿下的权限进行盘点。惊喜的发现有一台主机为Windows Server主机,但是却无法写入内存马。这时通过certutil远程下载了github上的Webshell获取到了权限。通过对该服务器的分析审计后,我们不难看出,这是该团伙技术人员的运维机,上面存放了大量的服务器相关数据,利用上面的信息咱们又可以深层次的收割服务,提权。利用上面的SecureCRT管理的主机,读取了一波SecureCRT管理的密码,成功获取到菠菜站点主站权限,至此全线渗透完毕。之所以能拿下这台运维机,无疑有运气的成分,如果他们的技术人员不部署有相同存在漏洞的下载页服务,也不会发现该隐蔽的运维主机。至于真实的渗透,更多的讲究对于攻击的理解,以及知识面灵活的组合利用。实际攻击中确实没有上面讲的那么一帆风顺。这里笔者大体将整个渗透过程基本的还原了一下,有些其他的支线渗透细节没有提到,主要还是围绕最终拿到主站权限讲解的,并且将中间踩过的坑省略掉了,尽量让读者读起来舒服一点。相信多数工作业务目标为菠菜站点的小伙伴,都会被这样的一个问题困惑,那就是如何关联相同组织团伙的站点问题。是的,绝大多数情况下,由于菠菜类团伙的服务器站点有着 目标多、关联难、时效低等特点。常常我们在研判分析的时候,线索会被牵得到处跑。往往信息收集到的站点在几天之内就失效,转移服务器了。针对这样的问题,其实也有更高效的目标资产关联方式,在此之前我们引入以下概念。
行为:不同的群体,可能表现出基本的独有的特征,当我们能掌握到这个特征,那么我们就能尽可能识别出这个群体里的所有个体,而这些所谓的行为特征在网络空间测绘里表现出的是这个设备各个端口协议里的banner特征。这里可以看到匹配到6条IP结果,得知该6台服务器均使用了HTTPS协议,使用了Apache以及Nginx中间件,服务器厂商使用了 simcentric的服务器(新天域互联(Simcentric),是香港知名的大型互联网基础服务商和idc服务商),网站Title标题,以及更新时间(更新时间有助于快速确认目标服务最近的有效存活时间)。P.S.本文编写日期为2021/10/13 ,所以可以看到目标服务最近的有效存活时间距离为近三天。
这里进一步的对某台服务器的开放服务进行深一步盘点,从而为后面渗透做准备,往往对于这类站点,节俭的诈骗团伙会在一台服务器上部署多个站点,所以常常通过旁站获取服务器权限的案例屡试不爽。有时候渗透这类诈骗站点难度并不高,往往就是比拼的就是信息收集的全面性。当然对于财大气粗的菠菜团伙,可能就是另一套体系方式了,这块知识点下面会讲到,我们继续来看。
这里我们最常提取的特征像favicon图标hash码,HTTPS证书序列号,前端代码段,服务连接banner等。所以这里我们提取目标前端JS代码,这也是最为准确的方式,通过不同个体对于规则概念的理解,所编写指纹的匹配关联度、精准度都不同。这里我们提取url:'/addons/active/xxxxx/saveuser.html'作为指纹匹配
发现共匹配到116条结果,可以得知大部分为微软云以及Cloud Innovation Limited(香港)的服务器,并且多数在国内,这里Kunyu默认显示前20条结果。验证一下准确性,通过http访问该IP地址发现其前端页面代码中也存在同样的代码片段,并且其他部分与其完全一致,至此可以判断该站与最初的站点为同一模块。
当然也支持多因素查找,这里截取了两段前端代码,发现匹配结果为108条,多条件匹配下的精准度会更高!这里不仅可以是前端代码之间组合,也可以使用banner信息,端口信息,ISP等信息组合,根据大家对该组织特征的认知编写指纹即可,都可以有效的关联起涉案站点。总之,对于数据的认知很重要。
除了上面所述的方式关联,也可以通过网站上的favicon图标来作关联,这里以一个伪造政府网站的案例列举,他使用了国徽样式的图标作为网站favicon图标,但是因为该图标经过它们的修改,所以具有了唯一性,可以通过favicon图标精准的关联起全网所有使用该伪造图标的站点,共93条结果。
favicon图标样式如上,从更新时间也不难看出,该团伙人员从较早就已经开始做这块业务。并且服务器多数在国内,IDC不是主流大厂的云服务器(较难提取服务器镜像),中间件服务相同,说明国内应该有软件开发公司为其批量维护服务器。可以看到部分服务器还有使用HTTPS协议,那么我们可以使用上面提到的使用证书匹配进行深度关联信息。至此对该团伙伪造政府网站的相关服务器站点一网打尽。对于涉案站点数据的思考,其实更多的时候,我们想要梳理的是组织架构,人员关系,这才是核心问题。我始终认为,数据就在那里,他蕴含了很多的信息,至于我们能从不同的数据中得到什么信息,也取决于研判分析人员对于数据的认知,溯源的过程也就是对数据整合的过程,往往情报不是摆在那里的,而是经过缜密的分析以及情报关系之间的相互印证得到的,这也是考研溯源人员能力的关键所在。同样对于GA部门,网络空间测绘技术的运用也可以应用于关联某一团伙的服务器信息,进行封禁处理,总的来说,对于Kunyu应用在反诈工作的方面,我认为是很妥当的。在以往的渗透及研判分析过程中,通过Kunyu获取隐蔽资产拿下权限的情况非常多。也可以一目了然对测绘数据的信息进行盘点。我们应赋予数据以灵魂,而不仅仅只是认识数据,能用它做什么事儿,达到什么效果,取决于解决方案的认知高低。在获取服务器权限后,我们常常会通过水坑攻击的方式获取后台管理员尽可能多的信息,这里我在日常的工作中最常使用的方式就是,在管理员后台登录成功的位置插入一段XSS代码,当然这里也可以是类似于jsonp劫持的代码段,主要是用以获取管理员的个人信息。这里以其服务器代码中插入钓鱼代码也是因为一个 信任度的问题,试想一下对于一个不太懂安全的运维人员来讲,如果你发给他一个文件叫他点开,那么正常人一般是有所警惕,但是在其自己的网站弹出的窗口,那么就大概率会去向上信任。这也是水坑钓鱼的核心思想所在。所以,我也一直认为,社工的过程也是对 人这个因素的考量,之所以讲人才是最大的安全漏洞,也正因为这是我们不可预测的因素,我们无法判断一个人的思想,但是我们可以换位思考,带入角色去思考问题才是最佳的方式。也正是这种不可预测性,使我们在渗透中有了更多的可能性。而面对菠菜类站点进行水坑攻击,我们最在意的信息无非就是:设备信息、位置信息、社交..ID信息、登录IP、登录频率、登录时间等。
本段将从风起对 水坑钓鱼过程中,对于指纹概念的思考进行讲解,希望能引起读者的一点共鸣。
这种以XSS获取登录信息的方式无疑是最简单部署、高效的方式了,但是大家一定发现了。这种方法有着很致命的缺点就是得到的IP地址、设备信息,有着数量多、杂乱、不稳定的特点。试想一下,浏览器指纹信息,如果一台设备他在多个地方使用,且浏览器是交替使用的。那么我们就无可考证是否是同一台设备,仅能判断出移动设备的型号,而多数团伙的移动设备都是同一购买相同型号的老式手机,也具有一定的躲避追查的效果。至于电脑端的使用就无可考证了,仅能判断出操作系统信息。所以下面我们引入 高级指纹的概念。这里我们首先感谢一下 ruyueattention(狗安超)的技术支持,风起的头号铁杆小弟嘻嘻,感谢他 :)
△ 示例 Demo 页面
回显给用户的结果给如上,具体布局分为WebGl 3D图像部分、Canvas图像部分、GPU渲染部分、基础指纹部分、综合指纹部分。用户可对数据进行各个部分的分析处理。
