ATT&CK視角下的紅藍對抗實戰(zhàn)指南
定 價:159 元
叢書名:網(wǎng)絡(luò)空間安全技術(shù)叢書
內(nèi)容簡介這是一本能同時幫助紅隊和藍隊建立完整攻擊和防御知識體系的著作,也是一本既能指導(dǎo)企業(yè)建設(shè)和完善網(wǎng)絡(luò)安全防御系統(tǒng),又能打造安全工程師個人安全能力護城河的著作。全書以ATT&CK框架模型為基座,系統(tǒng)、詳細(xì)地講解了信息收集、隧道穿透、權(quán)限提升、憑據(jù)獲取、橫向滲透、持久化6大階段所涉及的技術(shù)原理、攻擊手段和防御策略。既能讓紅隊理解攻擊的本質(zhì)、掌握實戰(zhàn)化的攻擊手段,又能讓藍隊看透紅隊的攻擊思路,從而構(gòu)建更為強大的防御體系。本書的宗旨是以攻促防、以戰(zhàn)訓(xùn)戰(zhàn),所以書中精心整理了大量來自實踐的攻防案例,每個案例都提供了詳細(xì)的思路、具體的步驟,以及實戰(zhàn)中的經(jīng)驗、技巧和注意事項,盡可能讓讀者感受到真實的攻防對抗氛圍。本書內(nèi)容豐富,講解又極為細(xì)致,所以篇幅巨大,具體包含如下7個方面的內(nèi)容。(1)Windows安全基礎(chǔ)詳細(xì)介紹Windows的安全認(rèn)證機制(NTLM認(rèn)證、Kerberos域認(rèn)證)、協(xié)議(LLMNR、NetBIOS、WPAD、LDAP)和域的基礎(chǔ)知識。(2)信息收集 詳細(xì)講解主機發(fā)現(xiàn)、Windows/Linux操作系統(tǒng)信息收集、組策略信息收集、域控相關(guān)信息收集、Exchange信息收集等各種信息收集手段。(3)隧道穿透全面、透徹講解隧道穿透技術(shù)基礎(chǔ)知識、利用多協(xié)議進行隧道穿透的方法、常見的隧道利用工具、以及檢測防護方法。(4)權(quán)限提升詳細(xì)講解內(nèi)核漏洞提權(quán)、錯配漏洞提權(quán)、第三方服務(wù)提權(quán)等紅藍對抗中常用的提權(quán)手法,既講解這些手法在實際場景中的利用過程,又提供針對性的防御手段。(5)憑據(jù)獲取從攻擊和防御兩個維度,詳細(xì)講解主要的憑證獲取手法,包括軟件憑證獲取、本地憑證獲取、域內(nèi)憑證等。(6)橫向移動全面分析利用任務(wù)計劃、遠(yuǎn)程服務(wù)、組策略、WSUS、SCCM、Psexec、WMI等系統(tǒng)應(yīng)用服務(wù)及協(xié)議進行橫向移動的原理與過程。(7)持久化既詳細(xì)講解紅隊常用的持久化手法,如Windows持久化、Linux持久化、Windows域權(quán)限維持等,又系統(tǒng)分析藍隊針對持久化攻擊的檢測和防御思路。
(1)作者資深:由360資深安全專家領(lǐng)銜,3位作者均在紅藍攻防領(lǐng)域有多年實戰(zhàn)經(jīng)驗,實戰(zhàn)演練成績卓著。(2)前瞻性強:基于ATT&CK框架,系統(tǒng)地講解了紅藍對抗的各個階段,為讀者提供了一條清晰的攻防路徑。(3)注重實戰(zhàn):結(jié)合真實攻防案例,內(nèi)容更加貼近實戰(zhàn),讓讀者在理論與實戰(zhàn)之間找到平衡。(4)雙重視角:既深入探討了紅隊的攻擊思路和手段,又為藍隊設(shè)計了一系列的防御策略。(5)大量技巧:無論是隧道穿透、權(quán)限提升還是憑據(jù)獲取,都為讀者提供了詳盡的技巧和方法,讓復(fù)雜的技術(shù)問題變得簡單易懂。(6)好評如潮:來自微軟、360、字節(jié)跳動、ChaMD5等企業(yè)和組織的15位安全專家高度評價并推薦。
Preface 前言為什么要寫這本書根據(jù)中國互聯(lián)網(wǎng)絡(luò)信息中心(CNNIC)發(fā)布的第51次《中國互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計報告》,截至2022年12月,我國網(wǎng)民規(guī)模為10.67億,互聯(lián)網(wǎng)普及率達75.6%。我國有潛力建設(shè)全球規(guī)模領(lǐng)先、應(yīng)用滲透領(lǐng)先的數(shù)字社會。在此背景下,網(wǎng)絡(luò)安全事關(guān)國家安全和經(jīng)濟社會穩(wěn)定,事關(guān)廣大人民群眾利益。當(dāng)前,全球新一輪科技革命和產(chǎn)業(yè)變革深入推進,信息技術(shù)的發(fā)展日新月異,國內(nèi)外的網(wǎng)絡(luò)安全形勢日趨嚴(yán)峻。2020~2023年,網(wǎng)絡(luò)安全攻擊持續(xù)增加,網(wǎng)絡(luò)攻擊威脅持續(xù)上升,各種網(wǎng)絡(luò)攻擊安全事件頻發(fā),網(wǎng)絡(luò)所面臨的安全威脅愈加多樣、復(fù)雜、棘手。在互聯(lián)互通的數(shù)字化鏈條中,任何一個漏洞或者隱患都有可能造成已有的安全防護網(wǎng)的破壞,給企業(yè)、機構(gòu)等帶來信息安全風(fēng)險甚至財產(chǎn)損失等。面對愈演愈烈的網(wǎng)絡(luò)安全威脅,紅藍攻防對抗就成了網(wǎng)絡(luò)安全從業(yè)者在新的網(wǎng)絡(luò)安全形勢下保障國家網(wǎng)絡(luò)安全、防患于未然的行之有效的辦法之一。本書即以為從業(yè)者講透紅藍對抗、助力行業(yè)水準(zhǔn)提升為目標(biāo)醞釀而出的。本書是一本針對安全領(lǐng)域的紅藍攻防對抗的專業(yè)書,既能作為安全從業(yè)者在紅藍攻防對抗活動中的指導(dǎo)用書,又能成為企業(yè)安全部門構(gòu)建縱深防御體系的參考指南。希望本書所分析、講述的紅藍雙方視角下的攻防對抗手法,能幫助各行業(yè)的網(wǎng)絡(luò)安全從業(yè)者增強實踐、知己知彼,從企業(yè)內(nèi)部構(gòu)建起安全防御體系。本書所講內(nèi)容僅限同行業(yè)者交流學(xué)習(xí),不支持非法用途。讀者對象企業(yè)網(wǎng)絡(luò)安全部門的研究人員。參加攻防對抗的紅隊與藍隊人員。企業(yè)IT運維人員。網(wǎng)絡(luò)安全相關(guān)專業(yè)的在校師生。其他對網(wǎng)絡(luò)安全感興趣的讀者。如何閱讀本書本書是業(yè)內(nèi)第一本基于ATT&CK攻防矩陣的專業(yè)領(lǐng)域圖書,為安全領(lǐng)域的從業(yè)者系統(tǒng)講解了紅隊視角下的安全防護體系的突破以及藍隊視角下的安全防護體系建設(shè)。本書一共分為7章,每章相互獨立,讀者可根據(jù)自身情況按需閱讀。 第1章詳細(xì)地介紹了紅藍對抗實戰(zhàn)中常用的Windows安全認(rèn)證機制和協(xié)議,以及關(guān)于域的基礎(chǔ)知識。第2章逐一介紹了主機發(fā)現(xiàn)、Windows/Linux主機信息收集、組策略信息收集、域信息收集、Exchange信息收集等多種信息收集手法。在實際內(nèi)網(wǎng)攻防對抗中,作為紅隊安全測試人員,我們只有對整個網(wǎng)絡(luò)進行全面的信息收集,才能在后續(xù)的對抗中游刃有余;而作為藍隊防守人員,我們只有深入了解潛在攻擊者可能會使用的信息收集手段,才能有效防御、嚴(yán)密防備,從而在攻防對抗中占據(jù)優(yōu)勢。第3章全面講解了隧道穿透技術(shù),同時融入大量內(nèi)網(wǎng)穿透實戰(zhàn)案例,為紅藍兩隊人員分別提供了常用攻擊手法和檢測防護措施。第4章主要分析了紅隊人員在實網(wǎng)攻防對抗中經(jīng)常使用的Windows與Linux系統(tǒng)的提權(quán)手法,如內(nèi)核漏洞提權(quán)、錯配提權(quán)、第三方服務(wù)提權(quán)等,同時為藍隊人員提供了防御提權(quán)攻擊和進行溯源分析的有效措施,使兩隊人員能夠在該環(huán)節(jié)的實戰(zhàn)中更得心應(yīng)手。第5章從軟件憑據(jù)獲取、本地憑據(jù)獲取、域內(nèi)憑據(jù)等多個維度剖析了紅隊人員在紅藍攻防對抗中經(jīng)常使用的憑據(jù)獲取手法。藍隊人員也能從中獲得相應(yīng)的檢測防護建議。第6章主要通過實戰(zhàn)來具體地剖析紅隊人員如何利用計劃任務(wù)、遠(yuǎn)程服務(wù)、組策略、WSUS、SCCM、PsExec、WMI等系統(tǒng)應(yīng)用服務(wù)及協(xié)議進行橫向滲透。本章內(nèi)容能引發(fā)安全領(lǐng)域從業(yè)者對內(nèi)網(wǎng)安全體系建設(shè)的更多思考。第7章主要分析了紅隊人員在持久化利用上經(jīng)常使用的手法,如Windows單機持久化、Linux單機持久化、Windows域權(quán)限維持等,并詳細(xì)講解了如何對這些持久化手法進行檢測和防御。通過本章內(nèi)容,讀者能夠掌握持久化利用的原理、實現(xiàn)過程以及相應(yīng)防御方式。勘誤和支持本書經(jīng)過幾番修改和自查,終得定稿。但我們的寫作時間和技術(shù)水平畢竟有限,書中難免有疏忽和不足的地方,懇請讀者批評指正。各位讀者可以通過郵箱2637745396@qq.com與我們聯(lián)系。如果你有更多的寶貴意見,也歡迎聯(lián)系我們。期待能得到你的支持與反饋。致謝志合者,不以山海為遠(yuǎn)。感謝五湖四海的友人們在我們迷茫的深夜給予我們鼓勵和支持。感謝劉思雨、王太愚、草老師、daiker、謝公子、王世超、于書振、李樹新、k8gege、何佳歡、3gstudent、klion、KLI、指尖浮生、李東東、成鵬理、韓昌信、史曉康、傅奎、郭英達、王祥剛、周鵬、肖輝、高玉慧、邵國飛、馬志偉、王海洋、徐香香、劉鑫、王新龍、路人王小明、汪汪汪、北極星、K1ey、Se7en、Xiaoli、PLZ、武宇航、張艷、王文矅、黨艷輝、楊秀璋、郭鎮(zhèn)鑫對本書的建議。與此同時,感謝我們自己的執(zhí)著,在無數(shù)個奮筆疾書的夜晚沒有放棄,堅持熱愛。
目錄 Contents 贊譽序一序二序三前言第1章 Windows安全基礎(chǔ)11.1 Windows認(rèn)證基礎(chǔ)知識11.1.1 Windows憑據(jù)11.1.2 Windows訪問控制模型21.1.3 令牌安全防御101.2 UAC131.2.1 UAC原理概述131.2.2 UAC級別定義131.2.3 UAC觸發(fā)條件151.2.4 UAC用戶登錄過程161.2.5 UAC虛擬化181.3 Windows安全認(rèn)證機制181.3.1 什么是認(rèn)證181.3.2 NTLM本地認(rèn)證191.3.3 NTLM網(wǎng)絡(luò)認(rèn)證221.3.4 Kerberos域認(rèn)證251.4 Windows常用協(xié)議281.4.1 LLMNR281.4.2 NetBIOS311.4.3 Windows WPAD341.5 Windows WMI詳解361.5.1 WMI簡介361.5.2 WQL361.5.3 WMI Client401.5.4 WMI遠(yuǎn)程交互411.5.5 WMI事件421.5.6 WMI攻擊451.5.7 WMI攻擊檢測461.6 域461.6.1 域的基礎(chǔ)概念461.6.2 組策略491.6.3 LDAP561.6.4 SPN591.7 本章小結(jié)65第2章 信息收集662.1 主機發(fā)現(xiàn)662.1.1 利用協(xié)議主動探測主機存活662.1.2 被動主機存活探測712.1.3 內(nèi)網(wǎng)多網(wǎng)卡主機發(fā)現(xiàn)762.2 Windows主機信息收集檢查清單782.3 Linux主機信息收集檢查清單812.4 組策略信息收集812.4.1 本地組策略收集812.4.2 域組策略收集812.4.3 組策略存儲收集832.4.4 組策略對象收集862.5 域信息收集902.5.1 域控制器收集902.5.2 域DNS信息枚舉922.5.3 SPN掃描962.5.4 域用戶名獲取982.5.5 域用戶定位1022.6 net session與net use利用1102.6.1 net session利用1102.6.2 net use利用1122.7 Sysmon檢測1172.8 域路徑收集分析1192.8.1 域分析之BloodHound1192.8.2 域分析之ShotHound1372.8.3 域分析之CornerShot1422.9 Exchange信息收集1462.9.1 Exchange常見接口1462.9.2 Exchange常見信息收集1462.9.3 Exchange攻擊面擴展收集 。ū┝ζ平猓1542.9.4 Exchange郵件列表導(dǎo)出1562.10 本章小結(jié)162第3章 隧道穿透1633.1 隧道穿透技術(shù)詳解1633.1.1 正向連接1633.1.2 反向連接1633.1.3 端口轉(zhuǎn)發(fā)1643.1.4 端口復(fù)用1653.1.5 內(nèi)網(wǎng)穿透1653.1.6 代理和隧道的區(qū)別1653.1.7 常見隧道轉(zhuǎn)發(fā)場景1653.1.8 常見隧道穿透分類1663.2 內(nèi)網(wǎng)探測協(xié)議出網(wǎng)1663.2.1 TCP/UDP探測出網(wǎng)1663.2.2 HTTP/HTTPS探測出網(wǎng)1693.2.3 ICMP探測出網(wǎng)1713.2.4 DNS探測出網(wǎng)1713.3 隧道利用方法1723.3.1 常規(guī)反彈1723.3.2 加密反彈1753.3.3 端口轉(zhuǎn)發(fā)1773.3.4 SOCKS隧道代理1803.4 利用多協(xié)議方式進行隧道穿透1823.4.1 利用ICMP進行隧道穿透1823.4.2 利用DNS協(xié)議進行隧道穿透1873.4.3 利用RDP進行隧道穿透1923.4.4 利用IPv6進行隧道穿透1953.4.5 利用GRE協(xié)議進行隧道穿透 1973.4.6 利用HTTP進行隧道穿透2003.4.7 利用SSH協(xié)議進行隧道穿透2103.5 常見的隧道穿透利用方式2153.5.1 通過EW進行隧道穿透2153.5.2 通過Venom進行隧道穿透2243.5.3 通過Termite進行隧道穿透2313.5.4 通過frp進行隧道穿透2363.5.5 通過NPS進行隧道穿透2443.5.6 通過ngrok進行內(nèi)網(wǎng)穿透2503.6 文件傳輸技術(shù)2523.6.1 Windows文件傳輸技巧詳解2523.6.2 Linux文件傳輸技巧詳解2613.7 檢測與防護2663.7.1 ICMP隧道流量檢測與防護2663.7.2 DNS隧道流量檢測與防護2673.7.3 HTTP隧道流量檢測與防護2673.7.4 RDP隧道流量檢測與防護2673.8 本章小結(jié)268第4章 權(quán)限提升2694.1 Windows用戶權(quán)限簡介2694.2 Windows單機權(quán)限提升2704.2.1 利用Windows內(nèi)核漏洞 進行提權(quán)2704.2.2 利用Windows錯配進行提權(quán)2734.2.3 DLL劫持2854.2.4 訪問令牌提權(quán)2944.2.5 獲取TrustedInstaller權(quán)限2984.3 利用第三方服務(wù)提權(quán)3004.3.1 利用MySQL UDF進行提權(quán)3004.3.2 利用SQL Server進行提權(quán)3044.3.3 利用Redis進行提權(quán)3094.4 利用符號鏈接進行提權(quán)3134.4.1 符號鏈接3134.4.2 符號鏈接提權(quán)的原理3144.4.3 CVE-2020-06683164.5 NTLM中繼3184.5.1 通過LLMNR/NBNS欺騙 獲取NTLM哈希3204.5.2 通過desktop.ini獲取哈希3234.5.3 自動生成有效載荷3254.5.4 中繼到SMB3264.6 Service提權(quán)至SYSTEM (土豆攻擊)3284.6.1 熱土豆3284.6.2 爛土豆3314.6.3 多汁土豆3334.6.4 甜土豆3344.7 Linux權(quán)限提升3344.7.1 Linux權(quán)限基礎(chǔ)3344.7.2 Linux本機信息收集3374.7.3 利用Linux漏洞進行提權(quán)3404.7.4 Linux錯配提權(quán)3424.8 Windows Print Spooler漏洞 詳解及防御3464.8.1 Windows Print Spooler簡介3464.8.2 CVE-2020-10483474.8.3 CVE-2020-13373504.9 繞過權(quán)限限制3514.9.1 繞過 UAC3514.9.2 繞過AppLocker3614.9.3 繞過AMSI3744.9.4 繞過Sysmon3834.9.5 繞過ETW3874.9.6 繞過PowerShell Ruler3914.10 本章小結(jié)405第5章 憑據(jù)獲取4065.1 Windows單機憑據(jù)獲取4065.1.1 憑據(jù)獲取的基礎(chǔ)知識4065.1.2 通過SAM文件獲取 Windows憑據(jù)4075.1.3 通過Lsass進程獲取 Windows憑據(jù)4135.1.4 繞過Lsass進程保護4195.1.5 釣魚獲取Windows憑據(jù)4305.2 域憑據(jù)獲取 4345.2.1 利用NTDS.DIT獲取 Windows域哈希4345.2.2 注入Lsass進程獲取域 用戶哈希4405.2.3 DCSync利用原理4415.2.4 利用LAPS獲取Windows域 憑據(jù)4495.2.5 利用備份組導(dǎo)出域憑據(jù)4505.3 系統(tǒng)內(nèi)軟件憑據(jù)獲取4555.3.1 收集瀏覽器密碼4555.3.2 使用開源程序獲取瀏覽器憑據(jù)4575.3.3 獲取常見的運維管理軟件密碼4585.4 獲取Windows哈希的技巧4615.4.1 利用藍屏轉(zhuǎn)儲機制獲取哈希4615.4.2 利用mstsc獲取RDP憑據(jù)4645.4.3 通過Hook獲取憑據(jù)4665.4.4 使用Physmem2profit遠(yuǎn)程 轉(zhuǎn)儲Lsass進程4695.5 Linux憑據(jù)獲取4705.5.1 Shadow文件詳解4705.5.2 利用Strace記錄密碼4725.6 憑據(jù)防御4735.7 本章小結(jié)473第6章 橫向滲透4746.1 常見的系統(tǒng)傳遞攻擊4746.1.1 哈希傳遞4746.1.2 票據(jù)傳遞4776.1.3 密鑰傳遞4826.1.4 證書傳遞4846.2 利用Windows計劃任務(wù)進行 橫向滲透4856.2.1 at命令4856.2.2 schtasks命令4876.3 利用遠(yuǎn)程服務(wù)進行橫向滲透4896.3.1 利用SC創(chuàng)建遠(yuǎn)程服務(wù)后進行 橫向滲透4896.3.2 利用SCShell進行橫向滲透4916.4 利用PsExec進行橫向滲透4926.4.1 利用PsExec獲取交互式會話4936.4.2 建立IPC$連接,獲取交互式 會話4946.5 利用WinRM進行橫向滲透4946.5.1 利用WinRS建立交互式會話4956.5.2 利用Invoke-Command遠(yuǎn)程 執(zhí)行命令4966.5.3 利用Enter-PSSession建立 交互式會話4976.6 利用WMI進行橫向滲透4996.6.1 利用WMIC進行信息收集5006.6.2 利用wmiexec.py獲取 交互式會話5036.6.3 利用wmiexec.vbs遠(yuǎn)程 執(zhí)行命令5036.6.4 利用WMIHACKER實現(xiàn) 命令回顯5046.7 利用DCOM進行橫向滲透5046.7.1 利用MMC20.Application 遠(yuǎn)程控制MMC5066.7.2 利用ShellWindows遠(yuǎn)程 執(zhí)行命令5086.7.3 利用Dcomexec.py獲得 半交互shell5096.7.4 其他DCOM組件5106.8 利用RDP進行橫向滲透5106.8.1 針對RDP的哈希傳遞5106.8.2 RDP會話劫持5126.8.3 使用SharpRDP進行橫向滲透5146.9 利用MSSQL數(shù)據(jù)庫進行橫向滲透5166.9.1 利用sp_oacreate執(zhí)行命令5166.9.2 利用CLR執(zhí)行命令5186.9.3 利用WarSQLKit擴展命令5236.10 利用組策略進行橫向滲透5246.10.1 本地組策略與域組策略的區(qū)別5246.10.2 使用組策略推送MSI5256.10.3 使用域組策略創(chuàng)建計劃任務(wù)5296.10.4 利用登錄腳本進行橫向滲透5346.11 利用WSUS進行橫向滲透5376.11.1 WSUS利用原理5376.11.2 WSUS橫向滲透5386.11.3 WSUS檢測及防護5426.12 利用SCCM進行橫向滲透5436.13 本章小結(jié)556第7章 持久化5577.1 Windows單機持久化5577.1.1 Windows RID劫持5577.1.2 利用計劃任務(wù)進行權(quán)限維持5627.1.3 利用Windows注冊表進行 權(quán)限維持5637.1.4 利用映像劫持進行權(quán)限維持5667.1.5 利用CLR劫持進行權(quán)限維持5697.1.6 利用Telemetry服務(wù)進行 權(quán)限維持5717.1.7 利用WMI進行權(quán)限維持5737.1.8 遠(yuǎn)程桌面服務(wù)影子攻擊5797.2 Windows域權(quán)限維持5837.2.1 黃金票據(jù)5837.2.2 白銀票據(jù)5897.2.3 黃金票據(jù)與白銀票據(jù)的區(qū)別5977.2.4 利用DSRM進行域權(quán)限維持5977.2.5 利用DCShadow進行域 權(quán)限維持6007.2.6 利用SID History進行域 權(quán)限維持6067.2.7 利用AdminSDHolder進行域 權(quán)限維持6097.2.8 注入Skeleton Key進行域 權(quán)限維持6137.3 Linux單機持久化6147.3.1 利用Linux SUID進行權(quán)限維持6147.3.2 利用Linux計劃任務(wù)進行 權(quán)限維持6157.3.3 利用Linux PAM創(chuàng)建后門6167.3.4 利用SSH公鑰免密登錄6227.3.5 利用Vim創(chuàng)建后門6237.3.6 Linux端口復(fù)用6257.3.7 利用Rootkit進行權(quán)限維持6277.4 持久化防御6327.5 本章小結(jié)632