WSUS MITM遠程攻擊實戰全過程詳解

新聞 06-07

網路攻擊（WPAD注入，HTTP / WSUS 中間人攻擊，SMBRelay攻擊等）是一個非常有用的攻擊向量，攻擊者可以使用此類攻擊嘗試以半定向的方式橫向擴散，收集證書或升級特權。目前已知的攻擊者使用此攻擊向量可以深入到網路中去，許多威脅/惡意軟體報告都引用了具有允許攻擊者以遠程方式執行這些攻擊的功能的工具。Duqu 2.0是一個很好的例子，可以在野外發現這樣的攻擊，而這個報道也是一個很好的案例研究。

感謝每天和我一起工作的Jeff Dimmock（@bluscreenofjeff）和Andy Robbins（@ _wald0）的演示和故事，這使得我變得更加熟悉這些技術。學習了Responder後，我把玩了更廣泛的功能，如MITMf，它將各種工具組合成一個武器化的平台，方便你集成到你的思路中。對於不熟悉這些工具的用戶，請查看以下參考鏈接。

在引用Duqu 2.0報告中的惡意和狡猾的APT操作者的情況下，行動者使用了專門為其工具包構建的一個模塊，並且不需要使用公共工具或外部腳本。不幸的是，很長一段時間內，已公開的MITM /中繼攻擊工具仍然需要你置身於本地區域網才能發起攻擊（無論如何...我歡迎你的意見）。2015年初，Kevin Robertson（@kevin_robertson）發布了 Inveigh，這是一款PowerShell網路攻擊工具，它使用原始套接字來實現一些有限的技術，包括LLMNR欺騙，MDNS欺騙和SMB中繼。Inveigh為許多有趣的攻擊鏈打開了大門，並允許我們以遠程方式更好地模擬使用這些向量的威脅。如果你關心為什麼我們效仿威脅，去別的地方...拉斐爾·莫格（Raphael Mudge）對這個話題有一些非常好的主意和想法。

WPAD攻擊

讓我們退後一步，先學習WSUS MITM攻擊的不同組件。Web代理自動發現（WPAD）是Microsoft Windows客戶端自動配置本地代理設置的協議。企業使用協議允許客戶端自動定位並使用正確的代理設置來排除不相關的企業網路。發現過程和配置如下：

1. 在DHCP協商期間是否獲得了代理配置？

2. 如果沒有，解析「wpad.domain.com」並從該伺服器獲取配置。

3. 如果我們沒有得到結果，則使用NetBIOS（NBT-NS）廣播來解析名稱「WPAD」

4. 如果找到伺服器，則使用uri「/wpad.dat（http：// /wpad.dat）從該伺服器請求資源，其中將包含代理的設置

由於在NBT-NS回復期間缺乏驗證（步驟3），請求的廣播域或本地子網中的任何客戶端都可以響應並聲稱「我就是WPAD伺服器」。然後，流氓WPAD伺服器就可以提供惡意配置文件來配置目標的代理設置。隨著有毒的WPAD設置，任何流氓主機都可以偽裝成代理伺服器，並攔截所有瀏覽流量進行篡改。這引入了許多不同的側向擴展向量：

HTTP MITM與iframe（HTA，漏洞利用，Java Applet等）

HTTP認證提示/社會工程

WSUS注入...

還有很多

WSUS MITM

Windows Server Update Services（WSUS）是一種允許公司從集中式Intranet位置，管理和部署更新或修補程序的系統。在 Blackhat USA 2015年，安全研究人員Paul Stone（@ pdjstone）和來自Context的 Alex Chapman 介紹了企業更新在網路上未加密的明顯問題。他們明確指出，沒有SSL，任何人都可以對更新過程進行中間人攻擊，以提供惡意的更新包。順便說一下，HTTP是WSUS默認使用的協議。但是有一個問題：更新二進位文件必須由Microsoft簽名。一個解決方案：SysInternals的PsExec允許攻擊者從已簽名的Windows二進位文件執行任意Windows命令。攻擊過程在會議上進行了演示，讓我非常感興趣。在我所參與的大部分工作中，這些輕微的錯誤配置使得我們的紅軍能夠訪問到我們需要的關鍵地形。

請閱讀他們的白皮書進行更多的研究或查看他們的工具 ...我不能在這短短的一篇文章中闡明。另外，為了更多關於為什麼非加密更新/軟體不好的研究，請查看Josh Pitt的（@midnite_runr）研究或後門工廠的一些工作。

把它放在一起

好的，所有我在這一點上所做的都是在思考有名的漏洞和攻擊策略。當你將工具放在一起並將其武器化在諸如Cobalt Strike的平台中時，就會提升攻擊力，從而可以在本地Intranet範圍之外進行MiTM攻擊。對於本節，我將假設我們已經從外部獲得了初始訪問加入域的主機的許可權。

*免責聲明：這是一個演示，顯然有大量的約束可以使操作員更改使用的方法或技術。關鍵是，這些看似先進的技術不僅限於國家贊助的攻擊者與定製工具，紅均可以有效地模仿對手並利用這些攻擊。

確定可能性

第一步是識別任何WSUS錯誤配置。在大多數RAT中，我們可以通過查詢註冊表來確定系統的WSUS設置。接下來我們可以查詢Internet Explorer的當前代理配置。如果WSUS的URL為「HTTP：// 」，瀏覽器設置為自動配置代理，那我們就可以繼續！

註冊/值：

HKLMSoftwarePoliciesMicrosoftWindowsWindowsUpdateWUServer

HKLMSoftwarePoliciesMicrosoftWindowsWindowsUpdateAUUseWUServer

HKCUSoftwareMicrosoftWindowsCurrentVersionInternet

SettingsConnectionsDefaultConnectionSettings（注意：如果第5個位元組為偶數，則在啟用WPAD的Internet Explorer中可能會自動檢測到代理）

WSUS設置

自動設置選擇（第5個位元組）

做完這些檢查，我們可以使用ARP來定位我們可能想要定位的子網上的另一個主機。

網路彎曲

在使用我們的代理作為WSUS代理的過程中出現了一個明顯的問題。幸運的是用Cobalt Strike的燈塔，我們有反向埠轉發的功能。在WPAD中毒攻擊期間，我們可以將受害者的瀏覽器指向我們的「代理」，這只是網路中的一個反向隧道，我們的C2伺服器。然後，使用SOCKS轉發隧道，我們可以將瀏覽流量推回到環境中，以接收除了篡改包之外的WSUS更新操作。

毒藥

一旦隧道準備好了，最後是攻擊的時候了。首先，我配置我的惡意有效載荷並啟動WSUSpectProxy。WSUSpectProxy接收在其payload.ini文件中定義的自定義負載（如下所示）。像研究人員在白皮書中推薦的那樣，我使用PsExec.exe和一個命令行參數。在我的情況下，我使用參數啟動powershell.exe運行「net user」和「net localgroup」來添加一個後門用戶「bob」。

現在是時候使用多個標誌來啟動Invoke-Inveigh來定義我們希望腳本使用的一些設置了：

-IP ：設置綁定原始套接字的IP

-NBNS Y：設置啟用NBNS欺騙

-LLMNR Y：設置啟用LLMNR欺騙

-HTTP Y：打開HTTP伺服器，以提供WPAD.dat文件

-SMB N：不要做任何類型的SMB中繼攻擊

-StatusOutput Y：設置啟用列印狀態輸出

-Tool 2：將設置配置為在某個工具中運行此設置。Empire的設置可以很好的和Cobalt Strike工作

-SpooferIPsReply ：目標或CSV目錄的IP列表

-WPADAuth匿名：不要彈出WPAD的信用框

-WPADIp

：運行rportfwd命令的中毒主機的IP