紅藍對抗中的近源滲入前言近源滲入是這兩年常被安全業內人員談起的熱門話題。不同于其它虛無縹緲的安全概念，近源滲入涉及到的無線安全、物理安全、社會工程學都十分容易落地實踐，許多公司內部的攻防對抗演習也都出現了看上去“很過分”的近源滲入攻擊手法，給防守方團體上了生動的一課。的時候，筆者和朋友們就推出了漫畫《黑客特戰隊·近源滲入》和出版書《黑客大揭秘：近源滲入測試》。作為近源滲入概念的主力“炒作者”之一，這篇文章和大家聊聊我對近源滲入的理解。01什么是紅藍對抗紅藍對抗原本是一種軍事概念，指在部隊模擬對抗時，專門成立一種扮演假想敵的部隊（藍軍）與我方正面部隊（紅軍）進行對抗性演習。在信息安全領域中的紅藍對抗也是類似的思路，一方扮演黑客，另一方扮演防守者進行網絡安全攻防演習。在演習過程中，藍軍模擬真實的攻擊來評定公司現有防守體系的安全能力，紅軍對發現的問題做出對應的優化整治。通過周期性的紅藍對抗攻防演習，持續性地提高公司在攻擊防護、威脅檢測、應急響應方面的能力。需要注意，國外流行使用RedTeam（紅隊）代表攻擊方，BlueTeam（藍隊）代表防守方。02什么是近源滲入在《黑客大揭秘：近源滲入測試》書中，筆者將近源滲入定義為“指測試人員靠近或位于測試目的建筑內部，運用各類無線通信技術、物理接口和智能設備進行滲入測試的辦法總稱”。用通俗的話來講，就是通過喬裝、社工等方式實地物理侵入公司辦公區域，通過其內部多個潛在攻擊面（如Wi-Fi網絡、RFID門禁、暴露的有線網口、USB接口等）獲得“戰果”，最后以隱秘的方式將評定成果帶出上報，由此證明公司安全防護存在漏洞。能夠直觀地感覺到，近源滲入與傳統滲入測試的重要區別體現在對“邊界”的理解上。在通過外網網絡入口入侵公司這條路上，將面對防火墻、入侵檢測等重重防御方法，攻擊門檻逐步變高。而在近源滲入的場景中，由于測試人員位于目的公司附近甚至建筑內部，這些地方往往存在大量被公司無視的安全盲點。我們能夠根據目的的網絡狀態、現場環境、物理位置等因素靈活地更換滲入測試方式，這也更靠近滲入測試的本質。03近源滲入的測試目的如果做完整的攻擊面分析，近源滲入能夠涉及到的測試對象會非常多，涉及WiFi、藍牙、RFID、ZigBee、蜂窩、Ethernet等等各類物聯網通信技術甚至涉及智能設備的嵌入式安全。在本文中，筆者將挑選其中較為通用且容易在紅藍對抗中實施的近源滲入技術進行探討。3.1無線滲入在過去很長一段時間里，由于沒有明顯的競爭對手，人們普遍把無線安全用作Wi-Fi安全的同義詞，把無線網絡等同于Wi-Fi，下文中筆者將延續使用此習慣。3月，由于某公司內部存在開放的無線網絡，造成超級計算機“XX一號”的某節點被攻擊，大量敏感信息疑遭泄露。5月，某航站樓Wi-Fi提供商的服務器安全設施局限性和代碼漏洞，造成服務器中的顧客隱私數據被泄露。，某手機售后中心因Wi-Fi安全缺點造成內網被攻擊者入侵。4月，富士康前員工秘密橋接無線網絡侵入蘋果公司的網絡，為別人提供“改機、解鎖”服務。，國內某安全研究員在新加坡參加安全會議，在入住酒店期間通過酒店無線網絡入侵內部系統，并發表博客介紹入侵過程。如今，無線網絡已經事實上成為了公司移動化辦公的重要基礎設施，但由于普遍缺少有效的管理，布署與使用人員的安全意識和專業知識的局限性，造成AP分布混亂，設備安全性脆弱，無線網絡也越來越多地成為黑客入侵公司內網的突破口。正由于如此，筆者在《近源滲入測試》一書中花了大量筆墨用于描述基于無線網絡的安全攻防，無線網絡是現在近源滲入中的重要測試手段。在筆者之前的工作中，曾對軍工、能源、金融、政企、電信等多個類型的行業客戶做過大量的無線滲入測試服務，發現各單位對無線安全的建設都處在相對含糊和單薄的階段，重要反映在三塊：1.不懂得內部有多少無線熱點公司內部存在的熱點，從“與否由AP下發”和“使用目的”的角度，可分為下列幾類：官方下發熱點正式熱點：有規劃搭建的長久熱點事件類熱點：支持業務項目的中短期熱點歷史遺留熱點：不再使用卻未下線的熱點非官方熱點鄰居熱點：全部未接入到內部網絡的熱點業務熱點：業務部門報備審批后自行建立的熱點員工私建熱點：在辦公機上通過無線網卡分享出的熱點。惡意熱點：用于攻擊客戶端的釣魚熱點2.不懂得黑客具體的攻擊手法從無線攻擊的目的來看，能夠分為三類：繞過無線認證，獲取無線網絡訪問權限攻擊無線終端，竊取敏感信息破壞無線基礎設施這些目的可能會同時出現，例如先攻擊無線終端獲取憑據，再使用憑據連入網絡。針對對應的目的，黑客會采用對應具體的攻擊手法。3.不懂得如何做無線防護在不懂得前兩點的前提下，就不可能做得好防護。理解內部存在哪些無線熱點其實就是在梳理暴露的攻擊面，如果對此沒有清晰的認識，在這種基礎上做的無線安全防護就猶如“馬其諾防線”同樣，一打就穿。筆者曾受邀對一種大型金融公司做無線安全檢測，由于行業的敏感性同時他們高層領導對無線網絡不安全有蘇醒的認識，于是采用了不布署任何無線網絡的方略。初看下，連無線網絡都沒布署，自然就不見面對無線威脅。而事實是，筆者在該公司移動端開發團體所在區域，發現了一種由mac辦公機共享出來的私建熱點，破解密碼連上網絡后，就擁有了辦公機同樣的訪問權限，直通內網。這樣一種簡樸的私建熱點就把想象中“無懈可擊”的無線防護方略打破了。從無線攻擊的目的來思考，會發現獲取無線網絡訪問權限僅是其目的之一。我懂得現在的公司級AP基本都自帶了釣魚熱點防護功效，那員工到公共場合使用怎么防釣魚熱點呢。移動化辦公是不可逆的浪潮，我們就得假設員工一定會在釣魚熱點環境下辦公，基于這樣的假設提出的防護方略才干扛得住真實攻擊。對于另外一種目的“破壞無線基礎設施”能夠想象這樣一種場景：由于移動化辦公的普及，大家都習慣使用筆記本設備來干活，假設在核心時期攻擊者在目的團體工位偷偷放置一種無差別全阻斷的盒子進行Wi-FiDeauth攻擊，讓受害者的運行能力在短時間內極具減少。那么與否能結合AP日志建立一套及時發現Wi-FiDeauth攻擊，物理定位，現場排查可疑人員/設備的機制？在極端狀況下，這些筆記本與否能夠快速通過網線接入網絡？公司無線安全體系建設是一種包含技術與管理的龐大話題，為了但是于偏離主題這里僅作舉例不再近一步展開。即使這部分內容是以防守方視角寫的，但理解到防守方的痛點與難點后，可覺得攻擊測試方向指明道路。“道”清晰了，“器”和“術”的積累只是時間問題。3.2HID攻擊HID（humaninterfacedevice）指鍵盤、鼠標與游戲標桿等這類用于為計算機提供數據輸入的人機交互設備。攻擊者能夠將特殊的USB設備模擬成為鍵盤，一旦連接上計算機就執行預定的惡意操作，這便是HID攻擊。在過去十年間，出現了Teensy、USBRubberDucker、BadUSB、BashBunny、WHID等等不同形式、各具特色的HID攻擊設備，它們通過DEFCON、BlackHat等安全會議和新聞媒體向外宣傳，無論是業內、業外都對這種攻擊手法含有一定理解和防備意識。筆者將介紹兩種較為有隱蔽性的HID攻擊手段，以貼近在真實環境下的攻擊場景。1.運用Android設備執行HID攻擊這種方式的優勢是顯而易見的，能夠便捷地在手機上切換和修改攻擊指令，自帶電源免去了從插入到發動攻擊前這段不短的初始化時間，極大挺高了攻擊隱蔽性。固然，這對Android設備有一定的規定，需要root同時內核要打入USBHID補丁。筆者喜歡使用KaliLinuxNethunter來布署該攻擊工具。NetHunter是一種基于Android的開源滲入測試平臺，由KaliLinux社區與OffensiveSecurity共同創立，系統中包含大量KaliLinux中的滲入測試工具，還支持802.11幀注入、HID攻擊、MANA惡意熱點攻擊等。運用其中的DuckHunterHID工具，編寫好USBRubberDucky格式的腳本后，將該Android設備與目的計算機相連，隨即便會模擬成鍵盤進行輸入。從插入電腦到惡意操作執行完所需時間但是幾秒，這能夠協助你給那些離開工位不鎖屏的同事好好上一課。2.USBNinja前面把Android手機改造成了HID攻擊設備，而USBNinja更加過分，偽裝成一條數據線。它擁有與普通數據線一致的外觀，并且能夠像正常數據線同樣進行充電和傳輸數據。而一旦接受到遙控器或手機APP的指令時，它就會執行預設好的攻擊指令，模擬鍵盤輸入或鼠標點擊進行攻擊。在近來更新的USBNinjaPro版本中進行了近一步加強，全部配備過程可在手機APP上進行，同時擁有更快的USB2.0打字速度、自毀模式去除固件、自動檢測大寫鎖定、支持BLE5.0等新功效，還增加了鍵盤、鼠標等新外形。Pro版的USBNinja數據線售價為468元，即使價格較貴，還是推薦藍軍同窗們最少購置一套以用作向老板們進行風險演示或員工安全意識教育的工具。我們可能會懷疑U盤、懷疑手機，但實在很難對一根能充電的數據線產生懷疑。3.3LockPickingLockPicking指開鎖的藝術。在DEFCON大會上一向就有一種LockPickingVillage展區來教參會者開鎖技巧，盡管撬鎖經常被與犯罪聯系起來，但開鎖技巧也能夠被當做一項有用的生活技巧來學習，更或者僅僅作為一種愛好。在全球大多數的都市中，只要不將它用作犯罪目的，學習開鎖技術都是可行且正當的。，在筆者和小伙伴們組織的DC010深圳站沙龍上，便將LockPickingVillage第一次引進到國內，現在已經成為DEFCONGROUP國內各本地化社區的熱門演示項目。LockPickingVillage的目的在于讓我們理解到不同鎖類的安全性，方便在此后的生活中挑選購置安全性更高的鎖具。之因此在這里提到鎖具安全，是由于筆者在多個公司內部看到太多敏感區域的門鎖僅使用了A級或B級的鎖芯，這兩種安全等級的鎖芯極易被撬開。例如筆者曾在某一公司內發現，全部樓層的弱電井門使用的都是A級鎖，運用單勾形式的便攜工具即可輕松打開，而門后便是多臺交換機和服務器設備，風險可想而知。3.4物理潛入這里的潛入是指在未授權狀況下進入目的區域，同樣是個與CyberSecurity無關卻很有趣的話題。考慮到話題敏感性，下列內容讀者請認為是虛構，如有雷同純屬巧合。電影《平原上的夏洛克》中，主角需要進入某高檔社區跟蹤目的，社區有較為嚴格的出入門禁管理，門禁卡每刷一次只能進一人無法尾隨。于是主角想方法弄來了一套外賣服裝，以送外賣名義讓保安幫開門進入了社區。XX市科學技術館，由于正值暑期高峰進入場館需要提前預約，與否今天沒法進入了呢。我發現在場館一側是一座與之相連的辦公樓，我走進辦公樓時沒遭到任何阻攔。步入轉角處的電梯來到3樓，走到辦公樓與場館相連的走道。交界處站著安保人員，我整頓了一下表情，大方地走了過去。果然安保人員并沒有阻攔我，他們的任務是避免觀眾進入辦公區，而反向就默認放行了。如此，我便進入了場館。XX市XX洞景點，作為該市的出名網紅免費景點，每到節假日都需要排長長的隊伍才干進入。這時有黃牛走過來，悄悄吆喝道“正常得排1個小時，100元走VIP通道，5分鐘就能進去”。由于帶著朋友，為避免無意義的排隊我交了錢。他帶著我七拐八繞，還不到5分鐘就進去了，但是這時我反映過來這所謂的VIP通道不就是消防通道嗎。XX國XX安全會議，門票換算成RMB特別昂貴，在一樓處是檢票口，工作人員審核后才干乘坐扶梯上二樓會議區。作為演講者的我即使擁有一張票，但隨行的小伙伴就沒法進入了。這時我們發現角落有一部貨梯，乘坐到二樓推開消防安全門便直接進入了人來人往的會場區。即使沒有觀眾胸卡，但會場里邊已經沒人做檢查了。這些案例都反映出一種共同點，正門是嚴格審核的區域，但對于人工通道、消防通道、貨梯、地下車庫等“隱藏入口”，往往就處在安保單薄區域。對于近源滲入人員，能越近一步地進入目的內部，意味著發現問題的可能性越大。04近源滲入的將來發展近源滲入并不是一種新出現的概念，以前也有“抵近攻擊”、“物理滲入”等說法，但相比于10年前，近源滲入的測試對象增加了更多無線通信方面的技術。這是由于隨著物聯網（IoT）的蓬勃發展，公司內部出現了多個形式的智能設備，如藍牙鍵盤鼠標、無線打印機、智能照明、智能攝像頭、智能電視、智能音箱等等，這個名單在持續增加。甚至在電梯、自動售貨機、中央空調或其它基礎設施中，也配套使用了物聯網技術，它們通過Wi-Fi、藍牙、ZigBee、NFC或其它無線技術進行通信。對于公司而言，物聯網設備的特性給公司帶來了嚴重的安全挑戰。各式各樣的設備外觀，配備各式各樣的傳感器組件，采用不同的無線通信技術，運行于不同的操作系統和CPU架構中。它們大部分都沒有固定的安全配備，沒有顧客交互界面，也無法安裝安全軟件或代理方便于管控。傳統的安全實踐，如防火墻、反惡意軟件或其它安全解決方案在面臨來自物聯網的安全威脅時是不夠的，IT管理人員甚至只能發現公司內40%的設備，像員工帶來的智能設備等都處在公司管理視野的盲區，更無從談起如何保護它們，而它們可能已經通過某種形式接入了公司內網。對于潛在的攻擊者來說，以這些物聯網設備作為滲入切入點是十分含有想象空間的：，Bastille的研究團體公布了一種有關無線鼠標、無線鍵盤的漏洞披露，攻擊者能夠嗅探并劫持來自無線鍵鼠的操作指令；，騰訊BladeTeam運用無人機滲入智能樓宇，遠程控制辦公樓中的照明、空調、插座和電動窗簾等智能設備；，東京電氣通信大學副專家TakeshiSugawara等研究者發表了一種運用激光劫持智能音箱的攻擊方式，研究者以特定頻率變化激