華為安全大咖談 | 論道攻防第4期：內(nèi)網(wǎng)穿透之“借刀傷人”

本文以三十六計(jì)勝戰(zhàn)計(jì)“借刀殺人”為切入點(diǎn)，深入剖析攻擊者在攻入內(nèi)網(wǎng)后，以受感染主機(jī)為跳板，通過(guò)代理轉(zhuǎn)發(fā)的方式悄然劫掠，攻擊其他內(nèi)網(wǎng)主機(jī)的技術(shù)手段。

“古人臨陣出奇，攻人不意，斯亦相變之法乎。”借刀殺人是奇襲之術(shù)中的獨(dú)特一環(huán)，即審時(shí)度勢(shì)，洞悉對(duì)手特點(diǎn)，借力打力，在不知不覺(jué)中達(dá)成制勝目標(biāo)。

在網(wǎng)絡(luò)安全領(lǐng)域，橫向滲透攻擊是一種針對(duì)企業(yè)內(nèi)部網(wǎng)絡(luò)的重要攻擊手段。攻擊者首先越過(guò)網(wǎng)絡(luò)外部防御層，入侵一個(gè)內(nèi)網(wǎng)主機(jī)。然后，在網(wǎng)絡(luò)中水平擴(kuò)散，攻擊其他主機(jī)以獲取更高權(quán)限和更多敏感信息。其中，后滲透代理攻擊是橫向滲透攻擊的關(guān)鍵環(huán)節(jié)。攻擊者利用受感染主機(jī)作為代理，轉(zhuǎn)發(fā)攻擊流量，實(shí)現(xiàn)橫向滲透目標(biāo)。近年來(lái)，隨著復(fù)雜、隱蔽的后滲透代理工具不斷發(fā)展和企業(yè)數(shù)字化轉(zhuǎn)型加速，后滲透代理攻擊呈現(xiàn)出增長(zhǎng)趨勢(shì)。

本文將以常用的代理工具frp為例，詳細(xì)描述攻擊者如何利用SOCKS協(xié)議，在單級(jí)和多級(jí)代理場(chǎng)景下，通過(guò)“借”代理主機(jī)之力，入侵內(nèi)網(wǎng)中的其他主機(jī)，實(shí)現(xiàn)后滲透代理攻擊。

SOCKS協(xié)議是一種常用的會(huì)話層代理協(xié)議，它位于TCP/IP協(xié)議棧之上。在使用TCP/IP協(xié)議進(jìn)行通信的客戶端和目標(biāo)服務(wù)器之間，SOCKS協(xié)議扮演著中介的角色，負(fù)責(zé)將客戶端發(fā)出的請(qǐng)求轉(zhuǎn)發(fā)給目標(biāo)服務(wù)器。

三方之間的通信過(guò)程如下圖所示?？蛻舳撕痛矸?wù)器之間建立SOCKS通信，代理服務(wù)器與目標(biāo)服務(wù)器之前建立TCP/IP連接，代理服務(wù)器作為中介，使客戶端和目標(biāo)服務(wù)器之間建立連接。

下面我們以單級(jí)代理攻擊為例進(jìn)行說(shuō)明。攻擊者首先攻陷了代理主機(jī)（如圖中的WEB服務(wù)器），由于該服務(wù)器擁有內(nèi)網(wǎng)IP，攻擊者將其作為跳板，對(duì)內(nèi)網(wǎng)中的其他目標(biāo)主機(jī)（如圖中的內(nèi)網(wǎng)主機(jī)1）進(jìn)行探測(cè)和掃描，并與之建立連接。這種通過(guò)一次代理就能與內(nèi)部主機(jī)建立連接的過(guò)程被稱(chēng)為單級(jí)代理攻擊。

在實(shí)際網(wǎng)絡(luò)環(huán)境中，為了保障安全，企業(yè)通常會(huì)采用網(wǎng)絡(luò)隔離的方式，將重要數(shù)據(jù)隱藏在更深層次的內(nèi)部網(wǎng)絡(luò)中。這樣一來(lái)，僅通過(guò)一級(jí)代理就無(wú)法連接到承載數(shù)據(jù)的內(nèi)網(wǎng)主機(jī)。然而，如下圖所示，在這種情況下，攻擊者仍然可以利用已被感染的內(nèi)網(wǎng)主機(jī)1作為二級(jí)跳板，入侵內(nèi)網(wǎng)主機(jī)2。隨后，以類(lèi)似方式入侵內(nèi)網(wǎng)主機(jī)3，實(shí)現(xiàn)對(duì)更深層次網(wǎng)絡(luò)的代理功能。這種攻擊方式被稱(chēng)為多級(jí)代理攻擊。

目前市面上常見(jiàn)的后滲透代理工具包括frp、Earthworm、Termite、Cobalt Strike、sSocks、xSocks和Metasploit Framework等。與其他工具相比，frp具有輕量級(jí)、代理速度快和及時(shí)更新等優(yōu)點(diǎn)。它支持TCPUDP和HTTPHTTPS等協(xié)議，并且為廣大攻擊者所用。在接下來(lái)的內(nèi)容中，本文將以frp工具為例，詳細(xì)講解后滲透代理的攻防過(guò)程。

frp工具包括frp服務(wù)端程序和frp客戶端程序。下面是單級(jí)代理連接的示意圖。攻擊者在其用于實(shí)施攻擊的虛擬專(zhuān)用服務(wù)器（Virtual Private Server，VPS）上安裝了frp服務(wù)端程序，并在受感染的內(nèi)網(wǎng)主機(jī)上安裝了frp客戶端程序。如圖所示，攻擊者通過(guò)四個(gè)步驟實(shí)現(xiàn)了上述目標(biāo)。

華為網(wǎng)絡(luò)流量智能檢測(cè)方案利用龐大的簽名庫(kù)，能夠?qū)χ髁鞯暮鬂B透代理工具進(jìn)行檢測(cè)。在2022年的攻防演練中，它成功檢測(cè)出了多起frp代理流量。下圖展示了通過(guò)簽名方法進(jìn)行取證的示例。

為了隱藏代理工具的特征，frp提供了使用TLS協(xié)議對(duì)代理流量?jī)?nèi)容進(jìn)行加密的功能。下圖展示了加密前和加密后的通信流量。

在加密前，流量中包含了version、hostname、os和arch等字符串。這些字符串被用于工具特征簽名。但是，在經(jīng)過(guò)加密后，上述字符串被轉(zhuǎn)換成了無(wú)規(guī)則字符。此時(shí)，在加密后的流量中已經(jīng)看不到工具的簽名特征了。攻擊者可以通過(guò)使用加密來(lái)躲避前文所述基于簽名庫(kù)的檢測(cè)方法。

華為網(wǎng)絡(luò)流量智能檢測(cè)方案能夠通過(guò)結(jié)合報(bào)文包長(zhǎng)度序列等流量特征和人工智能檢測(cè)算法，實(shí)現(xiàn)對(duì)加密后滲透代理流量的檢測(cè)。其檢測(cè)框架圖如下所示。

該方案采用了基于時(shí)間動(dòng)態(tài)規(guī)整的時(shí)序序列匹配算法，能夠?qū)υ邪L(zhǎng)序列進(jìn)行轉(zhuǎn)換。這樣一來(lái)，即使現(xiàn)網(wǎng)流量中增加或刪除了某些包長(zhǎng)，系統(tǒng)仍然能夠檢測(cè)到后滲透代理工具流量。在2022年某大型國(guó)企的攻防演練中，華為網(wǎng)絡(luò)流量智能檢測(cè)方案獨(dú)家發(fā)現(xiàn)了加密的frp后滲透代理流量。下圖展示了針對(duì)加密frp流量的取證示例。

為了防范風(fēng)險(xiǎn)，我們應(yīng)該未雨綢繆。針對(duì)后滲透代理攻擊，企業(yè)用戶可以部署漏洞掃描工具，并及時(shí)更新漏洞庫(kù)，以提前識(shí)別漏洞風(fēng)險(xiǎn)并對(duì)主機(jī)進(jìn)行安全強(qiáng)化。此外，還應(yīng)該雙管齊下地保護(hù)網(wǎng)絡(luò)安全。例如，可以安裝網(wǎng)絡(luò)流量分析設(shè)備，如華為Hisec Insight安全態(tài)勢(shì)感知系統(tǒng)。該系統(tǒng)擁有龐大的惡意流量簽名庫(kù)，能夠覆蓋主流的后滲透代理工具，并結(jié)合人工智能檢測(cè)算法引擎，高效識(shí)別明密文代理流量，讓“借刀”的攻擊者無(wú)處遁形。