隨著企業(yè)組織的業(yè)務(wù)規(guī)模不斷擴(kuò)大，信息化運(yùn)用快速發(fā)展，業(yè)務(wù)與數(shù)據(jù)安全已經(jīng)被推上戰(zhàn)爭(zhēng)的高地，成為企業(yè)保護(hù)自身安全的重中之重，成為企業(yè)信息安全官在戰(zhàn)略計(jì)劃匯報(bào)中不得不謹(jǐn)慎對(duì)待的課題。

現(xiàn)階段，全球范圍內(nèi)的網(wǎng)絡(luò)空間對(duì)抗加劇，網(wǎng)絡(luò)軍事化特征明顯，信息安全正面臨嚴(yán)峻的挑戰(zhàn)，國(guó)家也愈發(fā)重視。今年網(wǎng)絡(luò)安全的紅藍(lán)對(duì)抗為人們安全觀念和意識(shí)的轉(zhuǎn)變帶來了契機(jī)，雖然企業(yè)安全防御技術(shù)爭(zhēng)論不休，但唯一不爭(zhēng)的共識(shí)是，企業(yè)能夠建立最好的安全防御體系的方式就是通過對(duì)抗演練來進(jìn)行檢驗(yàn)。

企業(yè)市場(chǎng)也不斷涌現(xiàn)紅藍(lán)對(duì)抗的建設(shè)需求，攻防演練得到企業(yè)的重視，攻擊視角能幫助防守團(tuán)隊(duì)找到防守視角的盲點(diǎn)，企業(yè)級(jí)滲透測(cè)試服務(wù)的采購也成為企業(yè)安全團(tuán)隊(duì)思考的問題。

滲透測(cè)試服務(wù)標(biāo)準(zhǔn)

企業(yè)級(jí)滲透測(cè)試服務(wù)，是工程化的項(xiàng)目服務(wù)，具有完整的管理流程和標(biāo)準(zhǔn)化服務(wù)。盡管滲透測(cè)試的方法各不相同，但依然有一些標(biāo)準(zhǔn)化的方法體系規(guī)范，而對(duì)于企業(yè)內(nèi)部安全部門在提供安全測(cè)試服務(wù)時(shí)，依然有可取之處。

PTES(Penetration Testing Execution Standard)滲透測(cè)試執(zhí)行標(biāo)準(zhǔn)是安全業(yè)界在滲透測(cè)試技術(shù)領(lǐng)域中開發(fā)的一個(gè)新標(biāo)準(zhǔn)，也是普遍應(yīng)用比較廣的事實(shí)標(biāo)準(zhǔn)，目標(biāo)是在對(duì)滲透測(cè)試進(jìn)行重新定義，新標(biāo)準(zhǔn)的核心理念是通過建立起進(jìn)行滲透測(cè)試所要求的基本準(zhǔn)則基線，來定義一次真正的滲透測(cè)試過程，已得到安全行業(yè)的廣泛認(rèn)同。

完成更好的滲透測(cè)試

高價(jià)值的滲透測(cè)試活動(dòng)涉及對(duì)現(xiàn)實(shí)世界中惡意攻擊者使用的技術(shù)進(jìn)行建模、發(fā)現(xiàn)漏洞，并在一定受控環(huán)境下，根據(jù)提前精心設(shè)計(jì)的參與規(guī)則和協(xié)定的范圍，以專業(yè)、安全的方式利用這些漏洞。此過程有助于確定業(yè)務(wù)風(fēng)險(xiǎn)和可能受到攻擊的潛在影響，所有這些都旨在幫助企業(yè)組織改善其安全現(xiàn)狀。

以下是安全專家總結(jié)的滲透測(cè)試某些階段的提示，以幫助您在日常工作中提供更高的業(yè)務(wù)價(jià)值?？梢猿蔀榘踩块T在內(nèi)部提供標(biāo)準(zhǔn)化服務(wù)建設(shè)時(shí)的成熟小建議，同時(shí)也可以作為組織尋求企業(yè)級(jí)滲透測(cè)試服務(wù)的標(biāo)準(zhǔn)化要求。

1. 前期交互：

• 前期溝通時(shí)使用話術(shù)模板來指導(dǎo)語音會(huì)話，以確定參與的范圍和規(guī)則。
• 對(duì)目標(biāo)系統(tǒng)(MSSP、云提供商、ISP、共享托管環(huán)境、邊界路由器、DNS服務(wù)器等)進(jìn)行獲取信息或進(jìn)行操作時(shí)，請(qǐng)確保您獲得了任何第三方的測(cè)試書面許可。
• 在與目標(biāo)系統(tǒng)方人員交流制定您的規(guī)則時(shí)討論同時(shí)使用黑盒與白盒測(cè)試，并指出白盒測(cè)試通常提供更詳細(xì)的結(jié)果、更安全，并提供更好的商業(yè)價(jià)值。
• 與目標(biāo)系統(tǒng)人員討論他們?cè)谄洵h(huán)境中具有的特殊敏感的信息(例如PII)，以及如何在不實(shí)際下載的情況下測(cè)試對(duì)其數(shù)據(jù)的訪問?？紤]嘗試使用植入通用的樣本記錄來演示您的訪問權(quán)限，而不是實(shí)際的敏感數(shù)據(jù)。
• 每天與目標(biāo)系統(tǒng)人員進(jìn)行電話匯報(bào)，交流意見和經(jīng)驗(yàn)教訓(xùn)。如果每天太頻繁，可以考慮每周打2-3次電話。(每周留出1-2小時(shí)參加各種CTF比賽，保持你的技能熟練程度。這些比賽包括各大CTF網(wǎng)站提供的免費(fèi)在線比賽或線下賽，以及其他類對(duì)抗比賽。)

2. 情報(bào)偵察：

• 仔細(xì)考慮與第三方服務(wù)器和搜索的所有交互(謹(jǐn)慎使用)，以確保您不會(huì)泄露有關(guān)目標(biāo)的敏感信息或使用他們導(dǎo)致的違反保密協(xié)議。您可能需要考慮使用Tor網(wǎng)絡(luò)來模糊隱匿您與目標(biāo)組織的關(guān)系。
• 使用谷歌語法搜尋目標(biāo)網(wǎng)站上常見的辦公類文件，例如(或filetype:)：

site:<TargetDomain> ext:doc |ext:docx | ext:xls | ext:xlsx | ext:pdf 

• 記得搜集社交網(wǎng)站，QQ、微信朋友圈、知乎、微博、支付寶生活圈、抖音，安全從業(yè)者尤其喜歡安全圈子論壇及Facebook、Twitter，甚至暗網(wǎng)論壇，了解目標(biāo)員工及其使用的技術(shù)。
• 使用Shodan的“net:”命令在目標(biāo)網(wǎng)絡(luò)地址范圍內(nèi)尋找不尋?；蛴腥さ脑O(shè)備。此外，使用唯一的頁腳信息(例如目標(biāo)web頁面上的常見版權(quán)通知)通過Shodan使用“html:”查找其他頁面(推薦FOFA和ZoomEye網(wǎng)絡(luò)空間搜索引擎)。
• 仔細(xì)檢查正在進(jìn)行測(cè)試范圍中包含的所有IP地址是否屬于目標(biāo)組織，并且無錯(cuò)誤。使用whois和traceroute檢查地址是否有意義并且實(shí)際上屬于目標(biāo)組織。
• 在公開的信息中，查找目標(biāo)企業(yè)的長(zhǎng)期以來的IT管理和信息安全管理員工，看看他們熟悉哪些技術(shù)，包括防火墻、開發(fā)環(huán)境等等。

3. 脆弱性分析：

• 掃描目標(biāo)時(shí)，運(yùn)行tcpdump之類的嗅探器，這樣可以持續(xù)驗(yàn)證掃描器是否仍在正常運(yùn)行。
• 雖然TCP 445之類的開放端口通常表示目標(biāo)為一臺(tái)Windows機(jī)器，但情況并非總是如此。目標(biāo)可以是Samba守護(hù)進(jìn)程，也可以是另一個(gè)基于smb的目標(biāo)。
• 通過研究如何手動(dòng)或通過Bash、PowerShell、Nmap腳本 (NSE)或其他腳本檢查問題，驗(yàn)證發(fā)現(xiàn)的漏洞。
• 將根據(jù)您已識(shí)別的漏洞來確定資產(chǎn)的重要程度，因?yàn)檫@有助于您分配優(yōu)先級(jí)并評(píng)估風(fēng)險(xiǎn)。
• 嘗試通過運(yùn)行不同的探測(cè)工具(Nmap、Masscan、Nessus、OpenVAS、PocSuite)來排除誤報(bào)，以確認(rèn)結(jié)果。
• 如果您本地正在使用虛擬機(jī)進(jìn)行遠(yuǎn)程攻擊，請(qǐng)將其配置為橋接網(wǎng)絡(luò)模式，以避免填充NAT表并確保反向shell連接可以成功返回給您。

4. 密碼攻擊：

• 根據(jù)其網(wǎng)站上的文字信息創(chuàng)建一個(gè)針對(duì)目標(biāo)組織微調(diào)的字典列表。
• 根據(jù)用戶的社交網(wǎng)絡(luò)檔案，創(chuàng)建一個(gè)針對(duì)用戶進(jìn)行微調(diào)的字典列表。
• 當(dāng)您使用字符規(guī)則成功破解密碼時(shí)，請(qǐng)將該密碼添加到字典中，以便對(duì)該滲透測(cè)試進(jìn)行進(jìn)一步的密碼攻擊。這樣，如果您遇到相同的密碼以不同的哈希格式出現(xiàn)，則無需等待單詞爆破才能重新發(fā)現(xiàn)該密碼。
• 記住，可以使用各種技術(shù)收集密碼，包括通用密碼、社工庫、自動(dòng)化猜測(cè)、破解、嗅探和擊鍵記錄。
• 對(duì)于密碼猜測(cè)，請(qǐng)始終考慮可能的帳戶鎖定策略，并試圖通過使用密碼噴射技術(shù)(大量帳戶和數(shù)量很少的密碼)來避免它。
• 一旦從目標(biāo)中獲取密碼哈希值，就啟動(dòng)密碼破解程序以嘗試破解確定此密碼。不要讓時(shí)間浪費(fèi)流逝，請(qǐng)立即開始破解你已經(jīng)得到的哈希。
• 有時(shí)您不需要密碼進(jìn)行身份驗(yàn)證，因?yàn)橹恍枋褂霉＜纯赏瓿晒ぷ?，例如針?duì)Windows和SMB目標(biāo)的傳遞哈希攻擊，以及存儲(chǔ)在某些網(wǎng)站的cookie中的密碼哈希值。
• 如果您的系統(tǒng)上有兼容的GPU，可考慮使用基于GPU的密碼破解工具，例如Hashcat，因?yàn)閷@得20-100倍的速度性能。

5. 滲透測(cè)試：

• 在創(chuàng)建逃避反惡意軟件的免殺payload時(shí)，請(qǐng)不要將惡意樣本提交到在線掃描站點(diǎn)(例如virustotal.com)以檢查能否成功免殺，因?yàn)檫@可能會(huì)在分發(fā)新簽名更新時(shí)破壞您的有效載荷(被反惡意軟件查殺)。
• 設(shè)置一個(gè)命令或腳本，在攻擊時(shí)每隔幾秒檢查一次目標(biāo)服務(wù)的可用性。這樣，如果目標(biāo)崩潰了，你會(huì)很快注意到并且可以聯(lián)系目標(biāo)系統(tǒng)人員一起嘗試重新啟動(dòng)它。
• 構(gòu)建有效載荷Payload，以便它們與您建立反向連接shell，從而增加您通過“僅允許出站連接”的防火墻的機(jī)會(huì)。
• 對(duì)于您的有效payload，請(qǐng)使用可能允許從目標(biāo)環(huán)境出站的協(xié)議，例如https(具有代理感知的有效載荷，如PowerShell Empire、Metasploit和Veil Framwork中可用的模塊)或DNS(如DNScat工具)。
• 為了降低Windows目標(biāo)系統(tǒng)和服務(wù)崩潰的幾率，一旦您獲得了管理員級(jí)別的憑證和SMB訪問權(quán)限，使用psexec或類似的Windows特性(WMIC, sc等)來讓它們運(yùn)行代碼，而不是緩沖區(qū)溢出或相關(guān)的漏洞。
• 如果您的漏洞利用失敗，請(qǐng)仔細(xì)閱讀您的利用工具的輸出信息，以查看錯(cuò)誤的位置。此外，運(yùn)行諸如tcpdump之類的嗅探器，以查看它在建立連接、發(fā)送exploit載荷以及加載stager和stage之間的差別。如果你的stager工作正常但你的stage無法加載，那么你的反病毒逃避策略可能失敗了(MSF的payload分single、stager、stage三種) 。

6. 后滲透：

(1) 當(dāng)您獲得對(duì)目標(biāo)計(jì)算機(jī)的訪問權(quán)限時(shí)，請(qǐng)不要過早使用它來掃描內(nèi)網(wǎng)更多目標(biāo)，因?yàn)檫@會(huì)使您過早被檢測(cè)到。相反，應(yīng)根據(jù)網(wǎng)絡(luò)活動(dòng)發(fā)現(xiàn)其他潛在目標(biāo)信息：

• DNS緩存(Windows): c:\>ipconfig /displaydns
• ARP緩存:arp -a
• 建立TCP連接:netstat -na
• 路由表:netstat -nr

(2) 當(dāng)您獲得對(duì)目標(biāo)的訪問權(quán)限時(shí)，如果計(jì)算機(jī)上安裝了嗅探器(如tcpdump或Wireshark的tshark工具)，則運(yùn)行它以查找網(wǎng)絡(luò)流量以識(shí)別其他可能的目標(biāo)計(jì)算機(jī)，以及包含敏感或有用信息的明文協(xié)議。

(3) 即使沒有目標(biāo)計(jì)算機(jī)上的root、system或admin權(quán)限，您仍然可以執(zhí)行非常有用的后滲透活動(dòng)，包括獲取用戶列表，確定已安裝(可能是易受攻擊)的軟件以及在系統(tǒng)中進(jìn)行操作。

(4) 當(dāng)你進(jìn)入Windows系統(tǒng)時(shí)，尋找端口445(SMB)和3389(RDP)的STABLISHED TCP連接，因?yàn)檫@些系統(tǒng)可能是很好的跳板機(jī)。使用如屬下列命令:

c:\> netstat -na | find “EST” | find“:445”  
c:\> netstat -na | find “EST” | find“:3389” 

(5) 雖然它們對(duì)管理人員演示效果非常有用，但對(duì)打開攝像頭并從受感染的目標(biāo)機(jī)器中捕獲音頻，要保持小心謹(jǐn)慎。只有獲得書面許可情況下才能進(jìn)行這種的侵入性訪問，并由您的法律團(tuán)隊(duì)進(jìn)行審核，以確保符合當(dāng)?shù)胤伞?/p>

7. 編寫報(bào)告：

(1) 通過IP地址(如果您擁有IPv4和IPv6)、域名(如果有)和MAC地址(特別是對(duì)于使用DHCP的受損客戶機(jī))識(shí)別目標(biāo)。

(2) 不要等到滲透測(cè)試結(jié)束才開始編寫報(bào)告。相反，在滲透測(cè)試進(jìn)行時(shí)隨時(shí)記錄編寫報(bào)告，每天留出時(shí)間寫一到三頁，你不但會(huì)寫出更好的報(bào)告，你的成果也會(huì)更好。

(3) 在你的報(bào)告中添加截圖，以清楚地說明調(diào)查結(jié)果。用箭頭和圓圈標(biāo)注截圖，指出插圖的重要點(diǎn)。

(4) 如果想要為您的修復(fù)建議增加額外的價(jià)值，請(qǐng)考慮增加操作人員可以采取的易于落地的步驟，以驗(yàn)證建議的修復(fù)是否到位，例如檢查補(bǔ)丁是否存在的命令。對(duì)于某些發(fā)現(xiàn)的問題，這可能很難做到，所以在這些情況下，建議重新測(cè)試給定的問題。

(5) 在報(bào)告的每個(gè)部分為適當(dāng)?shù)淖x者受眾撰寫不同結(jié)構(gòu)的報(bào)告：

• 執(zhí)行摘要應(yīng)該適用于分配資源的決策者
• 應(yīng)根據(jù)業(yè)務(wù)問題從技術(shù)角度撰寫調(diào)查結(jié)果
• 修復(fù)建議應(yīng)充分考慮到運(yùn)營(yíng)團(tuán)隊(duì)及其流程