开展专业的红蓝演练Part.22：演练视角优劣及反向红队演练链路

安全评估的目的是减少组织的总体风险，每一个视角都有其自身的价值。所有这些方法应该组合在一起产生一种有效的安全评估策略，该策略应尽可能覆盖组织的攻击面，并识别尽可能多的威胁。这样，组织就可以最大限度地降低风险。在试图编写一份全面的安全评估报告时，并不是所有的初始视角都适用于任何情况。因此，必须超越每种攻击面和风险评估的价值，并深入研究每种攻击面和风险评估的其他优点和缺点。这使得评估人员不仅知道哪些视角是最需要的，而且还知道哪些视角在任何给定的评估场景中是最可行的。

引入风险

在演练之前的任何安全性评估中，必须完成建立演练范围和ROE这一极其重要的步骤。在开始评估组织的安全性之前，有严格的流程来遵循演练将如何执行的细节。不同的初始视角在理解和同意演练的范围和规则方面呈现出不同的复杂性。演练范围和ROE用于帮助组织确定演练可能引入的可接受的风险水平。 这种风险表现在两个方面。首先，安全评估可能会通过评估活动攻击重要的设备或服务，从而给组织带来风险。第二，评估者从给定的角度进行评估所需的访问可能会增加总体攻击面或其严重程度。

外部视角与风险引入

最初由外部视角评估的攻击面是由专门在互联网上提供的设备和服务组成的。这意味着设备和服务会遭受攻击以及面临大量的流量。然而，尝试执行网络扫描和漏洞利用所带来的额外压力仍然会使设备崩溃。尽管风险很低，但必须考虑到这一风险来源，因为失去一个面向互联网的服务可能会影响组织的外部和内部用户。因为评估人员不需要建立内部访问来从外部视角进行评估，所以执行此类评估不会增加额外的攻击面。

DMZ视角和风险引入

与外部视角类似，DMZ视角最初侧重于用于基于互联网流量的设备和服务。评估导致的潜在停机所造成的风险同样很低。评估人员访问DMZ中的设备时不应带来额外风险，因为DMZ的目的是将某些设备从网络的其余部分分割开来。由于DMZ评估视角从DMZ中的横向位置而不是从互联网上测试设备，因此尝试执行网络扫描和漏洞利用产生意外后果的可能性稍大一些。设备可能没有准备好处理这种横向通信，这可能会导致问题出现。这一视角要求在非军事区（DMZ）内建立一个存在点，从该点开始评估。尽管这使得评估人员能够深入组织的一个层次，但风险仍然可以忽略不计。交给评估人员的访问由于其在非军事区的性质与内部网络隔离，因此由于其初始评估向量的额外攻击面，因此不会造成额外风险。

内部视角和风险引入

从内部视角进行的评估能够立即与不面向互联网的设备和服务交互。这些设备不太可能应对大量扫描或攻击尝试，因此从这个视角评估设备存在一定的风险。与外部用户相比，此处的拒绝服务更可能导致内部用户缺乏可用性。此外，此评估导致的停机更有可能影响组织功能。内部视角也增加了攻击面。随着一个组织授予必要的访问权限，或者恶意软件的成功引入，评估人员从这个视角将其他访问方式引入到一个组织中。

关键视角和风险引入

与其他初始视角相比，关键视角代表了组织运作能力的高风险水平。开展此类评估的初始原因主要是那些被确定为对组织存在能力极其关键的风险项。评估对此类设备造成的任何问题都可能损害组织正常运作的能力。攻击面增加所造成的风险也相对较高。与内部视角一样，关键视角要求组织引入访问向量来开始评估。此访问向量添加到组织中的攻击面更危险，因为它直接指向高危风险项。评估员使用的访问向量造成的损害对组织来说是极其危险的。在进行此类评估时应格外小心。

前面我介绍了 CAPTR 团队利用的关键初始演练视角以及已经在使用中的已建立视角。对这些初始演练视角如何影响进攻性安全评估的过程和结果进行了深入分析。读者现在应该对初始化视角以及与关键初始化视角相关的好处有了更深入的了解。

反向红队

通过 CAPTR 团队所使用的特定范围的方法论选择目标，并使用关键视角确定最合适的演练起点，即可开始执行评估。反向红队演练链路是一种从关键视角进行评估的独特方式，它创建了一种报告机制，使用反向风险关系为此类业务提供极高的成本效益。下文将解释反向演练链路的过程，以及它可以产生的好处和结果的表示。

反向红队演练链路

反向红队演练链路是利用从初始范围项目中被动收集的本地情报来定义攻击者可能使用的访问向量并适当扩展CAPTR团队范围的过程。为了提高高风险漏洞利用和访问路径的效率，反向红队演练链路将重点放在围绕给定机器的可识别通信通道上，而不是围绕整个网络。这种方法为了精确目标的选择和评估而牺牲了评估的目标数量。

本地评估

在假定APT最终可以在入侵过程中实现这样的上下文的情况下，使用提升的权限对作用域关键对象进行局部评估。在CAPTR团队演练窗口开始时，将评估那些允许攻击者影响泄露对象的机密性、完整性或可用性的本地权限提升漏洞和本地错误配置漏洞。此外，该本地上下文用于识别潜在的远程访问向量，例如代码执行漏洞或糟糕的身份验证配置。通过访问本地存储的数据和操作系统功能，CAPTR团队评估人员可以有效识别攻击者可用于初始范围项目的访问向量，而无需对潜在风险执行盲目的网络扫描和漏洞利用。 强调此方法优点的最佳方法是通过使用下图所示网络的简单示例。CAPTR团队以结果为导向的范围界定表明，Linux文件服务器对组织构成了致命的危害，将从访问服务器的关键初始角度进行评估。

CAPTR团队评估方向性

在运行多个态势感知命令后，评估人员使用本地可用的本机操作系统命令来确定组织中被视为致命危害对象的机器的大部分信息。 评估人员了解到Linux服务器使用的内核版本已过时，易受本地权限提升漏洞的攻击。在组织中的这样一台关键机器上从非特权用户过渡到超级用户的能力构成了极其危险的风险。如果其他评估模型没有完全且成功地破坏网络中的设备，导致并包括这台可能深入目标组织的机器，那么这种风险也将不会在其他评估模型中被发现。CAPTR团队立即评估了该高风险项，在建立态势感知的最初几分钟内，就发现了一个关键的可报告风险项，甚至没有进行外部漏洞利用和扩展评估。

初始态势感知命令通知评估人员，有三台机器与高风险机器通信。有一台计算机，可能是管理员，正在使用SSH远程访问和管理该计算机。此信息可在文件系统中找到。与SSH协议相关的日志和文件位于计算机上的用户目录中，执行 history 系统命令的结果中可以看到用户的活动信息，很明显是网络管理员的典型活动。如果没有CAPTR团队中使用的本地特权视角，这些信息可能永远不会被发现，如果已经被发现，这意味着典型的红队评估将远程对多个设备执行漏洞利用，并将运行存在潜在危险的内核级权限提升exp，以便获得与 CAPTR 团队在开始时所使用的方法看到的相同信息的权限。

评估人员通过在本机执行操作系统命令查看已建立连接的网络信息表明还存在其他两个通信对象。一个是访问Linux服务器托管的80端口上的只读web文件共享，另一个是访问21端口上的文件传输服务器。进一步检查后，评估人员确定文件传输服务器用于将文件放在Linux服务器上，供其他用户查看和下载。通过进一步的本地情报收集，评估人员还发现，文件传输能力不限于特定位置，如web文件共享目录，远程文件传输可能会覆盖通过机器调度机制以超级用户权限执行的多个未受保护的脚本。 目前，尚未进行任何漏洞利用，我们在不到一天的评估时间内已经有以下极有价值的发现可以报告：

◼使用内核漏洞提升本地权限

◼作为超级用户执行远程代码

  -作为超级用户执行的可写调度作业的权限配置不当

  -无约束的文件传输服务器

本地情报分析

评估还确定了致命风险项的三个一级通信对象。确定这些目标后，CAPTR团队继续进行分析，以确定评估这些主机的顺序。这种优先顺序对报告也很有价值，稍后将在确定哪些环节最危险时进行报告。这些风险链由来源、目的地、通信方法和权限构成。设备之间可能有多个风险链。例如，如果管理员的计算机可以通过SSH（作为管理用户）或文件传输（作为非特权用户）访问关键主机（下图中的Server），这意味着攻击者需要在该第一层通信上获得较少的特权才能攻击关键主机。在继续完成这个示例的过程中，我提供了一些简单的优先顺序和评估决策点。在现实生活中，每种场景都会对任何攻击性安全评估施加其独特的属性，评估人员的决定可能会以不同的方式推进演练。该场景需要先澄清评估流程，但与流程本身不同的是，所包含的风险决策应作为示例而不是指导，因为它们可能因组织而异。 回到我们的例子。通过对演练范围内致命危害项高危主机的本地评估我们可以确定的风险链如下：

10.0.0.2上的超级用户可以使用SSH协议作为超级用户访问10.0.0.1

10.0.0.3上的非特权用户可以使用FTP作为非特权用户访问10.0.0.1

10.0.0.4上的非特权用户可以使用HTTP作为非特权用户访问10.0.0.1（见下图）

通信链路

第一个风险链构成了攻击关键主机Server的最大风险，因为它提供了超级用户对关键主机Server的即时交互访问。任何能够破坏该第一层通信的攻击者都会对Linux服务器造成严重威胁。FTP风险链排第二，因为它提供了非特权访问。但是，它还允许将文件移动到服务器，并且，根据我们对存在的已识别本地权限提升漏洞的了解，这是一条潜在的但更复杂的远程交互路径。HTTP风险链是最后一个，因为它允许非特权用户从特权主机下载数据，是只读的，需要利用额外的漏洞才能攻击关键主机Server。

全系列文章请查看：https://www.4hou.com/member/dwVJ