黑客传说-全-
黑客传说(全)
原文:
zh.annas-archive.org/md5/1d2399cb9bb9b8b0d4ac516510e4e80f译者:飞龙
前言
这是一个黑客的故事,他在尝试渗透一家离岸服务提供商时,几乎遇到了自己的劲敌——面对机器学习、行为分析、人工智能、微软的安全套件和一个专门的 SOC 团队。大多数黑客工具在如此敌对的环境下都会失败。那么,当面临如此装备精良的对手时,黑客该怎么办呢?
在《如何像...一样黑客》系列的新一卷中,我们逐步介绍了绕过下一代安全厂商的技巧和技术。这些技术包括无管理权限的 PowerShell、C#反射、DKIM 签名、Kerberoasting 等……
第一部分:起点
你不是在控制风暴,也不是迷失在其中。你就是风暴。
山姆·哈里斯
第一章:1 弯曲但永不折断
每个成功的黑客攻击背后,都有一个强大的黑客基础设施。你可能是一个夺旗高手,或者是最优秀的 ARM 逆向工程师,但如果你不为你的黑客活动建立一个安全的避风港,你终究会被抓住。也许不是立刻,也许不是两个月后,但那个无情的倒计时终会追上你。
一个合适的黑客基础设施,首先是确保匿名性和安全性的一套实践和系统。如果事情出错了,它将是你的免死金牌。我们将从建立这个基础设施开始我们的旅程。
基础设施...
第二章:2 活埋
现在我们已经妥善设置好黑客基础设施,接下来让我们讨论一下这次黑客演习的目标。我们的目标是 G&S 信托,这是一家专注于离岸运营的专业公司。它帮助世界上最富有的 1%的人在全球不同地区创建空壳公司,以优化他们的资产配置和收入来源。你我可能直白地称之为避税,但它却被用一整句模糊的金融术语表达,看起来像是一个无害的周日爱好。
各位系好安全带——我们即将开始一段黑客之旅,目的地包括塞舌尔、塞浦路斯、香港等地……
第三章:3 投掷曲线球
在我们能够对 Strat Jumbo 进行网络钓鱼之前,我们需要更多地了解这家公司。我们将查看其面向用户的互联网存在,并挖掘一些隐藏的子域名。一次快速的谷歌搜索显示,Strat Jumbo Inc. 是一家位于伦敦的公司,拥有约 800 名员工,主要是后端程序员,分布在 10 个国家。这是一家拥有足够潜在目标的公司,如果我们开展网络钓鱼活动,应该能确保显著的投资回报。我们已经可以想象出针对这样一个群体的诱人钓饵:一个新的 Chrome 扩展,一个关于 C#与 Java 的公司调查,新的功能的测试版访问权限,等等。
盗取...
第四章:4 完善钩子
现在是时候打造我们的完美钓鱼邮件,并收集潜在受害者名单了。首先,我们需要为邮件选择一个有说服力的域名。我们知道,刚注册的域名是反垃圾邮件工具的一个红旗信号。如果我们因为担心它会被垃圾邮件过滤器标记为可疑而无法注册一个新域名,那我们该如何获取一个呢?一个可行的解决方案就是简单地回收一个旧域名。
回收域名
网站 expireddomains.net/ 不出所料,列出了可以获取的过期域名。你需要创建一个账户才能访问这些结果。我们在这里需要达到一个微妙的平衡:我们想要...
第二部分 首次深入
如果你正在经历地狱,继续前进。
温斯顿·丘吉尔
第五章:5 监狱风云
在我们的钓鱼攻击活动开始仅 24 小时后,我们获得了 35 个密码。这相当于 35 颗子弹,意味着我们可以潜在地冒充 35 名员工。出于好奇心,我们的钓鱼邮件甚至可能欺骗了一些精通技术的销售人员和 IT 管理员。考虑到我们最终的目标是将后门植入 Strat Accounting 的代码中,任何有权限写入该代码库的人都是我们的直接目标,无论他们是 IT 支持人员、质量保证工程师、程序员,还是当然,IT 管理员。
我们知道,大多数钓鱼攻击的受害者很可能是程序员,这得益于我们定向的电子邮件;然而,我们无法完全确定他们的身份...
第六章:6 突破与被突破!
虽然第五章结尾的解决方案确实提供了一个有效的绕过 AppLocker 和受限语言模式的方式,但每次启动一个命令时重新构建项目显然不太实际。为了解决这个问题,我们将提升之前的构建代码,加入一个类似 PowerShell 的控制台,能够交互式执行命令并显示输出。然后我们可以用它来执行 PowerView 脚本以及其他侦察命令,并收集大量新信息。
安装我们的 PowerShell
你可以在微软官网找到 PowerShell 控制台的基本框架(“Host06 示例”,...
第七章:7 了解你的敌人
一般来说,人类的大脑倾向于通过迅速将注意力转向更平凡和愉快的想法,来驱散负面情绪。然而,当不情愿地面对一个严峻且不愉快的现实时,它会突然将所有可能想到的负面结果一股脑地吐出来,将你淹没在绝望和痛苦中。在一次黑客攻击尝试中被当场抓获,会引发一系列让人惊慌的场景,从特警队的夜间突袭到一生都要在监狱度过,每年只能通过玻璃窗与家人见面。
但让我们冷静一下。正是因为这些阴郁的情境,我们才花时间...
第三部分 回到竞技场
死神对我们所有人微笑,我们能做的就是回以微笑。
马库斯·奥勒留(在《角斗士》中)
第八章:8 通过日志和火焰
我们最新的黑客攻击尝试失败了,但我们并没有完全回到起点。我们现在对 Strat Jumbo 的安全性有了更深入的了解,这非常宝贵。我们越了解那些精心设置的陷阱,就越能更好地避开它们,因此我们现在将看看还能从 QRadar 和 Microsoft ATA 这两个主要对手那里挖掘到什么信息。
我们永远无法完全模拟 Strat Jumbo 系统的所有活动,我们只能猜测 QRadar 被配置或训练来监控哪些可疑行为。击败这个黑箱捕食者的策略很可能包括……
第九章:俄罗斯轮盘
每当你觉得自己陷入死胡同时,总是要回头查看你的侦察结果。在那堆数据中,总能找到一些东西重新激发你的创造力。
我们已经掌握了大量信息,但付出了很大的代价。这次我们需要更加小心,免得再次被踢出网络。我们知道 ATA 和 QRadar 在监视。当处理 ATA 或任何其他行为分析工具时,最好尽可能与正常流量融合;在这种情况下,这意味着 Windows Active Directory 流量。
伪装
AD 森林中的所有机器...
第十章:10 最终自由
在上一章中,我们进行了仔细的网络侦察,识别出了 Citrix 数据库,甚至成功抓取并破解了服务账户 sqlexpress 的密码。在 Strat Jumbo 防御网络那充满阴暗的世界中,这一重大发现带来的激动之情,让我们迫不及待地想要使用新获取的凭证来测试我们对 Citrix 数据库的访问权限。
但是,别急!在随机服务器上开启一个新的互动会话——无论是 RDP 还是 NTLM——必须小心谨慎,特别是在 ATA 潜伏的情况下。有小概率可能会有一些管理员定期发起连接到数据库……
第十一章:11 击败机器
在 Mimikatz 在我们的目标服务器上运行且未受到挑战后,几个小时过去了,我们发现已经收集了大约 25 个账户的凭证。考虑到受限的被攻破资产集,这个数字相当不错。我们根据第六章中的侦察结果,将这些被攻破的用户账户映射到各自的用户组,但我们仍然没有来自TYRION、TYWIN或BAELISH组的任何用户。为了完成这个图景,我们必须进一步探索。在我们凝视着 Citrix 仪表盘时,我们注意到了一些可能带来更多财富的东西……
探索虚拟桌面
在可以访问的三台机器之上……
第十二章:12 完善后门
现在我们终于获得了每个开发小组的有效开发者凭证,我们正在寻找任何能够帮助我们了解 Strat Jumbo 项目管理结构的信息。这将引导我们找到 Strat Accounting 的源代码,并植入后门,希望能够直接进入 G&S Trust 的网络。
我们在 Citrix 会话中切换程序员账户,直到找到一个已填充个人资料的账户,比如有个人文件夹、Firefox 书签、Firefox 历史记录等。现在,我们正在寻找说明如何操作的 Wiki 文件或文档……
第四部分 救赎
跪下祈祷“愿你的旨意成就”
我转身,看到一道光透过门射进来,门大开着
迈克·波特诺伊(梦想剧院),《玻璃监狱》
第十三章:13 寻找数据
自从我们将那段额外的代码注入到 Strat Accounting 的下一个版本中,已经过去三周了。如果一切按计划进行,某个时候 G&S Trust 将在其机器上运行这个后门版本,从而让我们访问其最深的秘密:离岸公司名单、虚假的名义人、隐藏的资产,还有更多。
我们时不时登录开发者的远程 Citrix 会话,检查项目的进展情况,但像大多数开发项目一样,新版本的发布已经延迟了几天。
我们检查了几行代码,仍然深深埋藏在项目的本地代码中。尽管初始化...
第十四章:14 奖金
我们现在拥有一个顶级域名管理员账户,形式为admin.gloria。是时候揭开 G&S Trust 一直隐藏在我们眼中的秘密了:它逃税客户的身份。这是最终的目标,大家。
转移目标
我们在同一 Cyprus 服务器GS-CS-01上创建了一个新的提升权限代理,这次使用admin.gloria账户。我们还利用第十三章中使用的相同持久性方案,种下了另一个反向 Shell 二进制文件,以防我们丧失在 Sarah 电脑上的管理员权限。
网络本质上是扁平化的,因此通过使用 Gloria 的账户,我们可以访问任何位于五个地理位置中的任何系统……
浙公网安备 33010602011771号