2010年起,Google、SONY、RSA等诸多大型企业遭受APT渗透攻击,对机密资料的保护和内部控制越来越受到人们的重视。本文以攻击者的角度,分析企业内网安全的入侵突破点,希望能给大家带来启发,更好的做好内网防控。一个企业,可以是不同行业,他们所包含的机密数据,隐蔽数据,功能控制,和对整个旗下的可信任域都是极为重要的安全方向。对于初具规模的企业来说,内部沟通需要邮件,即时沟通需要im软件,需要有域控,需要有核心交换机,有几个指定内外网交换出口,或连通IDC的内网通道,这些,对于互联网企业来说都是必不可少的,但是完善的同时也存在着一些安全隐患。
0×01 邮件与IM安全
或许邮件地址的方法简单,通俗一些,可以看招聘所留下的邮箱,可以看网站上的联系我们等等。而利用邮件作为入手点,也是大部分想渗透到企业内网的hacker们的必备工具之一。邮件中,可以包含可执行文件,可以放木马,可以放挂马链接,也可以做钓鱼。总之第一步就是诱惑其种马。%关注,企业内网安全,第一处,邮件安全%
其次,获得相关企业的im软件,沟通内部人员,以获得信任,同样可以发送一些木马之类的,这一步主要是诱导。
%关注,企业内网安全,第二处,即时通讯%以上这两种方法可以不费吹灰之力,只要马做的好,信息写的诱惑一些,就可以搞定内网的某些机器。
0×02 办公网安全
当获得内网机的权限后,便可以用其来做跳板,代理,或直接命令操控都可以。%关注,内网办公平台办公网安全%办公网的机器,一般都是由域来控制的,而获得了域控管理员的账号密码,那便是获得了内网所有加入域的机器的权限,而在没获得域控的前提下,可以看看内网的共享,内网的弱口令,内网的一些测试服务器(这种服务器一般都是无密码或账号密码一样或者是弱口令)如果是以太网,可以进行内网的一些账号密码嗅探,但是如果有IPS等设备,很容易被监控到。另外在,办公网的机器上,会存有一些常用服务器的账号密码,如果是明文那么就很容易得到相应的信息及权限%关注,服务器密码及机密数据的保存%,得到这些,对整个内网及IDC的渗透便会更近一步。如果,弄到了核心交换机的账号密码,那么便是掌握了整个内网的命脉,如果是恶意行为,一个病毒便可以弄瘫全网。
0×03 web安全
除此之外,可以有另一种思路,便是我们经常所讨论的,web安全,因为web应用所在的IDC一般会有内网专用的运维通道,如果没有,也可以从运维的来源ip找到企业的出口ip,如开放了某些协议,对其DDOS,影响也会很大。Web的渗透这块就不用说了,各种方法,提权,其实在去渗透C段的时候,可以观察其登陆的来源IP,可能有意向不到的结果。%关注,web安全%
0×04 子公司间的策略控制
有些公司的总公司安全做的很好,但是他们疏忽了子公司,因为总-子会有内网连通,子公司的安全性比较薄弱,容易入侵,这样渗透总公司便更加容易。%关注,与子公司之间的策略及控制%当得到了一个企业的一定网络权限,也许就会掌握这个企业的命脉,机密资料,人员信息,网站的控制。举个例子,如金融行业,股票操盘等数据对其极为重要,如泄露或许会使一大部分人盈利,自己也会损失惨重。传媒行业,可以屏蔽信息,修改舆论,获得内部新闻资料及相关人士的信息。另外,还有游戏行业,搜索引擎,等等等等。都需要来关注内网的安全。
0×05 总结
其实,对于内网的渗透,要一步一步来,不能着急,不要产生过大的数据量。而对于其安全来说,要完善监控,完善策略,加强管理,得到重视。企业安全,需要得到重视,如果一旦被攻破,那么将会损失惨重,如果遇到有目的,且恶意的攻击渗透,那么这将会是一场腥风血雨。