通過SSL加密通信進行橫向滲透的LAME技術(shù)怎么用

本篇文章為大家展示了通過SSL加密通信進行橫向滲透的LAME技術(shù)怎么用，內(nèi)容簡明扼要并且容易理解，絕對能使你眼前一亮，通過這篇文章的詳細介紹希望你能有所收獲。

成都創(chuàng)新互聯(lián)專注于文縣網(wǎng)站建設服務及定制，我們擁有豐富的企業(yè)做網(wǎng)站經(jīng)驗。 熱誠為您提供文縣營銷型網(wǎng)站建設，文縣網(wǎng)站制作、文縣網(wǎng)頁設計、文縣網(wǎng)站官網(wǎng)定制、微信平臺小程序開發(fā)服務，打造文縣網(wǎng)絡公司原創(chuàng)品牌,更為您提供文縣網(wǎng)站排名全網(wǎng)營銷落地服務。

這里主要討論一項用于紅隊的被稱之為“LAME”的新橫向滲透技術(shù)及其緩解措施?！癓AME”技術(shù)就是利用受信任的ssl證書，在內(nèi)部網(wǎng)絡中建立加密通信信道的一項技術(shù)。在今年的8月份，Deloitte Greece道德黑客團隊成員vangelos Mourikis和Nikos Karouzos，在都柏林舉辦的實踐社區(qū)（CoP）峰會上，確定并展示了該項技術(shù)。

簡介

在滲透測試或紅藍對抗期間，我們都會盡一切努力獲得對目標內(nèi)網(wǎng)的遠程訪問，并在環(huán)境范圍內(nèi)提升權(quán)限，建立持久通信信道持續(xù)監(jiān)控，并不斷擴大戰(zhàn)果直至實現(xiàn)方案目標。

為了建立一個隱蔽持久的通信信道，紅隊往往會采用許多橫向滲透技術(shù)。而通常他們的做法是建立基于TCP/IP通信協(xié)議的信道（如DNS，SMB和HTTP），模擬預期的網(wǎng)絡流量和用戶行為，從而保持不被發(fā)現(xiàn)。但這些協(xié)議都使用未加密的通信，因此我們可以通過一些網(wǎng)絡監(jiān)控工具，NIDS/HIDS等來輕松識別這些流量。另外，就算你使用了帶有自簽名證書的加密通道（例如HTTPS），也同樣會觸發(fā)入侵檢測/監(jiān)控系統(tǒng)的警報，因為它是中間人（MiTM）攻擊的一種非常常見的攻擊媒介。

更新后的殺毒軟件可以輕松識別這些技術(shù)，并使用了最新的啟發(fā)式引擎，它們能夠關(guān)聯(lián)和阻止這些類型的通信信道。

圖1- 未加密的通信信道（HTTP）：

圖2- 嘗試使用自簽名SSL證書，執(zhí)行payload會產(chǎn)生許多錯誤消息，并為入侵檢測/監(jiān)視系統(tǒng)留下大量痕跡：

“LAME”技術(shù)

那么，如果我們可以使用受信任的SSL證書在內(nèi)網(wǎng)中進行橫向滲透結(jié)果又會如何呢？

事實

1.域名系統(tǒng)（DNS）

域?qū)崿F(xiàn)和規(guī)范 RFC 1035（1987年11月）指出“主文件中A行的RDATA部分是一個Internet地址，表示為四個十進制數(shù)字用點分隔，且沒有任何嵌入空格（例如，“10.2.0.52" 或 "192.0.5.6"）?！?/p>

私有IP地址分配稍后介紹（RFC 1918 - 私有Internet地址分配，1996年2月），未指定與公共DNS記錄分配給私有IP地址有關(guān)的任何安全考慮事項。

雖然許多出版物提出了不同建議，但仍然可以將公共域名的A記錄分配給私有（內(nèi)部）IP地址。

2. SSL 證書

證書頒發(fā)機構(gòu)（RFC 6125）執(zhí)行的SSL證書的驗證和簽名，在很大程度上依賴于對相應DNS名稱的檢查。為了提高效率，簽名證書不會被綁定到相應的IP地址上，因此底層架構(gòu)中的更改并不會影響證書的有效性。所以，我們可以為解析到私有（內(nèi)部）IP地址的公共DNS名稱頒發(fā)受信任的SSL證書。

準備

出于概念驗證（PoC）的目的，我們使用了像Cloudflare和LetsEncrypt這類的免費服務。

為了執(zhí)行LAME技術(shù)，我們還需要進行以下操作：

使用LetsEncrypt的DNS驗證方法，為internal.dotelite.gr頒發(fā)SSL證書。

使用CloudFlare將DNS A記錄internal.dotelite.gr分配給內(nèi)部IP地址：192.168.72.141。

圖3- 公共DNS名稱的受信任SSL證書解析到內(nèi)部IP地址上：

執(zhí)行

圖4- 以下是“LAME”技術(shù)的執(zhí)行流程圖：

紅隊已在IP地址192.168.72.141上，部署了一個命令和控制（CNC）服務器，并使用簽名的SSL證書為internal.dotelite.gr配置了一個HTTPS服務器。

在受害者機器（192.168.72.140）上獲取遠程代碼執(zhí)行后，紅隊建立了一個加密的通信信道。使用PowerShell oneliner，受害者將經(jīng)歷以下過程并最終連接到internal.dotelite.gr：

1.受害者在內(nèi)部DNS服務器上，請求internal.dotelite.gr的DNS記錄。

2.內(nèi)部DNS服務器將DNS記錄請求轉(zhuǎn)發(fā)到Internet上的根DNS服務器。

3.公共DNS服務器（例如CloudFlare）使用指向內(nèi)部IP 192.168.72.141的DNS記錄進行響應。

4.內(nèi)部DNS服務器接收上述DNS記錄。

5.DNS記錄存儲在內(nèi)部DNS服務器的緩存中，并且可以在內(nèi)網(wǎng)中提供多個類似的請求。

6.DNS記錄被轉(zhuǎn)發(fā)給受害者。

7.受害者將使用受信任的SSL證書與攻擊者的內(nèi)部IP 192.168.72.141建立加密通信信道。

圖5- PowerShell oneliner“LAME”技術(shù)（Step 0）：

圖6- 將internal.dotelite.gr子域解析到IP 192.168.72.141的DNS解析流量（Steps 1-6）：

圖7- TLS通信（Step 7）：

圖8- 內(nèi)網(wǎng)中功能齊全的加密通信信道（Step 7）：

圖9- 上述命令執(zhí)行的網(wǎng)絡流量（Step 7）：

獲得解析為內(nèi)部IP地址的公共DNS名稱的受信任SSL證書并非不可能。一旦獲取，我們則可以將其用于在內(nèi)部網(wǎng)絡中建立加密通信信道。這不僅可以讓我們的通信信道更加隱蔽，還可以幫助我們躲過入侵檢測/監(jiān)控系統(tǒng)。

此外，LAME技術(shù)還可用于APT中。結(jié)合端口轉(zhuǎn)發(fā)和代理，紅隊可以在內(nèi)部網(wǎng)絡獲得初始立足點后在目標環(huán)境中創(chuàng)建多個隱蔽樞紐點，并通過Internet上的外部CNC服務器進行控制。

緩解措施

由于通信的加密性和交換SSL證書的有效性，導致這種橫向滲透技術(shù)難以被檢測發(fā)現(xiàn)。而阻止內(nèi)部網(wǎng)絡中主機之間的HTTPS流量，則可能會導致合法服務的可用性問題，因此似乎并不是一個可行的解決方案。我們的建議是在內(nèi)部網(wǎng)絡中強制使用集中式DNS服務器，并為所有請求的DNS條目創(chuàng)建特定的監(jiān)控用例。分析已解析的DNS記錄，并進一步調(diào)查分配給內(nèi)部IP地址的潛在可疑條目。此外，我們建議增強主機級別的監(jiān)控功能，以便及時的識別可能具有相同結(jié)果的替代攻擊路徑(例如，監(jiān)控本地“etc/hosts”文件的變化)。

除了上述建議之外，你還可以在內(nèi)部集中式DNS服務器中啟用反重綁定保護（例如--stop-dns-rebind ，dnsmasq中的--rebind-domain-ok選項）。

上述內(nèi)容就是通過SSL加密通信進行橫向滲透的LAME技術(shù)怎么用，你們學到知識或技能了嗎？如果還想學到更多技能或者豐富自己的知識儲備，歡迎關(guān)注創(chuàng)新互聯(lián)行業(yè)資訊頻道。

網(wǎng)頁題目：通過SSL加密通信進行橫向滲透的LAME技術(shù)怎么用
文章源于：http://bm7419.com/article38/iiphsp.html

成都網(wǎng)站建設公司_創(chuàng)新互聯(lián)，為您提供網(wǎng)站設計、外貿(mào)建站、定制開發(fā)、做網(wǎng)站、企業(yè)建站、App開發(fā)

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)