本篇文章為大家展示了通過(guò)SSL加密通信進(jìn)行橫向滲透的LAME技術(shù)怎么用，內(nèi)容簡(jiǎn)明扼要并且容易理解，絕對(duì)能使你眼前一亮，通過(guò)這篇文章的詳細(xì)介紹希望你能有所收獲。

成都創(chuàng)新互聯(lián)專注于文縣網(wǎng)站建設(shè)服務(wù)及定制，我們擁有豐富的企業(yè)做網(wǎng)站經(jīng)驗(yàn)。 熱誠(chéng)為您提供文縣營(yíng)銷型網(wǎng)站建設(shè)，文縣網(wǎng)站制作、文縣網(wǎng)頁(yè)設(shè)計(jì)、文縣網(wǎng)站官網(wǎng)定制、微信平臺(tái)小程序開(kāi)發(fā)服務(wù)，打造文縣網(wǎng)絡(luò)公司原創(chuàng)品牌,更為您提供文縣網(wǎng)站排名全網(wǎng)營(yíng)銷落地服務(wù)。

這里主要討論一項(xiàng)用于紅隊(duì)的被稱之為“LAME”的新橫向滲透技術(shù)及其緩解措施。“LAME”技術(shù)就是利用受信任的ssl證書(shū)，在內(nèi)部網(wǎng)絡(luò)中建立加密通信信道的一項(xiàng)技術(shù)。在今年的8月份，Deloitte Greece道德黑客團(tuán)隊(duì)成員vangelos Mourikis和Nikos Karouzos，在都柏林舉辦的實(shí)踐社區(qū)（CoP）峰會(huì)上，確定并展示了該項(xiàng)技術(shù)。

簡(jiǎn)介

在滲透測(cè)試或紅藍(lán)對(duì)抗期間，我們都會(huì)盡一切努力獲得對(duì)目標(biāo)內(nèi)網(wǎng)的遠(yuǎn)程訪問(wèn)，并在環(huán)境范圍內(nèi)提升權(quán)限，建立持久通信信道持續(xù)監(jiān)控，并不斷擴(kuò)大戰(zhàn)果直至實(shí)現(xiàn)方案目標(biāo)。

為了建立一個(gè)隱蔽持久的通信信道，紅隊(duì)往往會(huì)采用許多橫向滲透技術(shù)。而通常他們的做法是建立基于TCP/IP通信協(xié)議的信道（如DNS，SMB和HTTP），模擬預(yù)期的網(wǎng)絡(luò)流量和用戶行為，從而保持不被發(fā)現(xiàn)。但這些協(xié)議都使用未加密的通信，因此我們可以通過(guò)一些網(wǎng)絡(luò)監(jiān)控工具，NIDS/HIDS等來(lái)輕松識(shí)別這些流量。另外，就算你使用了帶有自簽名證書(shū)的加密通道（例如HTTPS），也同樣會(huì)觸發(fā)入侵檢測(cè)/監(jiān)控系統(tǒng)的警報(bào)，因?yàn)樗侵虚g人（MiTM）攻擊的一種非常常見(jiàn)的攻擊媒介。

更新后的殺毒軟件可以輕松識(shí)別這些技術(shù)，并使用了最新的啟發(fā)式引擎，它們能夠關(guān)聯(lián)和阻止這些類型的通信信道。

圖1- 未加密的通信信道（HTTP）：

圖2- 嘗試使用自簽名SSL證書(shū)，執(zhí)行payload會(huì)產(chǎn)生許多錯(cuò)誤消息，并為入侵檢測(cè)/監(jiān)視系統(tǒng)留下大量痕跡：

“LAME”技術(shù)

那么，如果我們可以使用受信任的SSL證書(shū)在內(nèi)網(wǎng)中進(jìn)行橫向滲透結(jié)果又會(huì)如何呢？

事實(shí)

1.域名系統(tǒng)（DNS）

域?qū)崿F(xiàn)和規(guī)范 RFC 1035（1987年11月）指出“主文件中A行的RDATA部分是一個(gè)Internet地址，表示為四個(gè)十進(jìn)制數(shù)字用點(diǎn)分隔，且沒(méi)有任何嵌入空格（例如，“10.2.0.52" 或 "192.0.5.6"）?！?/p>

私有IP地址分配稍后介紹（RFC 1918 - 私有Internet地址分配，1996年2月），未指定與公共DNS記錄分配給私有IP地址有關(guān)的任何安全考慮事項(xiàng)。

雖然許多出版物提出了不同建議，但仍然可以將公共域名的A記錄分配給私有（內(nèi)部）IP地址。

2. SSL 證書(shū)

證書(shū)頒發(fā)機(jī)構(gòu)（RFC 6125）執(zhí)行的SSL證書(shū)的驗(yàn)證和簽名，在很大程度上依賴于對(duì)相應(yīng)DNS名稱的檢查。為了提高效率，簽名證書(shū)不會(huì)被綁定到相應(yīng)的IP地址上，因此底層架構(gòu)中的更改并不會(huì)影響證書(shū)的有效性。所以，我們可以為解析到私有（內(nèi)部）IP地址的公共DNS名稱頒發(fā)受信任的SSL證書(shū)。

準(zhǔn)備

出于概念驗(yàn)證（PoC）的目的，我們使用了像Cloudflare和LetsEncrypt這類的免費(fèi)服務(wù)。

為了執(zhí)行LAME技術(shù)，我們還需要進(jìn)行以下操作：

使用LetsEncrypt的DNS驗(yàn)證方法，為internal.dotelite.gr頒發(fā)SSL證書(shū)。

使用CloudFlare將DNS A記錄internal.dotelite.gr分配給內(nèi)部IP地址：192.168.72.141。

圖3- 公共DNS名稱的受信任SSL證書(shū)解析到內(nèi)部IP地址上：

執(zhí)行

圖4- 以下是“LAME”技術(shù)的執(zhí)行流程圖：

紅隊(duì)已在IP地址192.168.72.141上，部署了一個(gè)命令和控制（CNC）服務(wù)器，并使用簽名的SSL證書(shū)為internal.dotelite.gr配置了一個(gè)HTTPS服務(wù)器。

在受害者機(jī)器（192.168.72.140）上獲取遠(yuǎn)程代碼執(zhí)行后，紅隊(duì)建立了一個(gè)加密的通信信道。使用PowerShell oneliner，受害者將經(jīng)歷以下過(guò)程并最終連接到internal.dotelite.gr：

1.受害者在內(nèi)部DNS服務(wù)器上，請(qǐng)求internal.dotelite.gr的DNS記錄。

2.內(nèi)部DNS服務(wù)器將DNS記錄請(qǐng)求轉(zhuǎn)發(fā)到Internet上的根DNS服務(wù)器。

3.公共DNS服務(wù)器（例如CloudFlare）使用指向內(nèi)部IP 192.168.72.141的DNS記錄進(jìn)行響應(yīng)。

4.內(nèi)部DNS服務(wù)器接收上述DNS記錄。

5.DNS記錄存儲(chǔ)在內(nèi)部DNS服務(wù)器的緩存中，并且可以在內(nèi)網(wǎng)中提供多個(gè)類似的請(qǐng)求。

6.DNS記錄被轉(zhuǎn)發(fā)給受害者。

7.受害者將使用受信任的SSL證書(shū)與攻擊者的內(nèi)部IP 192.168.72.141建立加密通信信道。

圖5- PowerShell oneliner“LAME”技術(shù)（Step 0）：

圖6- 將internal.dotelite.gr子域解析到IP 192.168.72.141的DNS解析流量（Steps 1-6）：

圖7- TLS通信（Step 7）：

圖8- 內(nèi)網(wǎng)中功能齊全的加密通信信道（Step 7）：

圖9- 上述命令執(zhí)行的網(wǎng)絡(luò)流量（Step 7）：

獲得解析為內(nèi)部IP地址的公共DNS名稱的受信任SSL證書(shū)并非不可能。一旦獲取，我們則可以將其用于在內(nèi)部網(wǎng)絡(luò)中建立加密通信信道。這不僅可以讓我們的通信信道更加隱蔽，還可以幫助我們躲過(guò)入侵檢測(cè)/監(jiān)控系統(tǒng)。

此外，LAME技術(shù)還可用于APT中。結(jié)合端口轉(zhuǎn)發(fā)和代理，紅隊(duì)可以在內(nèi)部網(wǎng)絡(luò)獲得初始立足點(diǎn)后在目標(biāo)環(huán)境中創(chuàng)建多個(gè)隱蔽樞紐點(diǎn)，并通過(guò)Internet上的外部CNC服務(wù)器進(jìn)行控制。

緩解措施

由于通信的加密性和交換SSL證書(shū)的有效性，導(dǎo)致這種橫向滲透技術(shù)難以被檢測(cè)發(fā)現(xiàn)。而阻止內(nèi)部網(wǎng)絡(luò)中主機(jī)之間的HTTPS流量，則可能會(huì)導(dǎo)致合法服務(wù)的可用性問(wèn)題，因此似乎并不是一個(gè)可行的解決方案。我們的建議是在內(nèi)部網(wǎng)絡(luò)中強(qiáng)制使用集中式DNS服務(wù)器，并為所有請(qǐng)求的DNS條目創(chuàng)建特定的監(jiān)控用例。分析已解析的DNS記錄，并進(jìn)一步調(diào)查分配給內(nèi)部IP地址的潛在可疑條目。此外，我們建議增強(qiáng)主機(jī)級(jí)別的監(jiān)控功能，以便及時(shí)的識(shí)別可能具有相同結(jié)果的替代攻擊路徑(例如，監(jiān)控本地“etc/hosts”文件的變化)。

除了上述建議之外，你還可以在內(nèi)部集中式DNS服務(wù)器中啟用反重綁定保護(hù)（例如--stop-dns-rebind ，dnsmasq中的--rebind-domain-ok選項(xiàng)）。

上述內(nèi)容就是通過(guò)SSL加密通信進(jìn)行橫向滲透的LAME技術(shù)怎么用，你們學(xué)到知識(shí)或技能了嗎？如果還想學(xué)到更多技能或者豐富自己的知識(shí)儲(chǔ)備，歡迎關(guān)注創(chuàng)新互聯(lián)行業(yè)資訊頻道。