前面介紹了很多Web攻擊,今天來講講組合技吧
在真實世界(real-world)的惡意攻擊中,攻擊者只依靠單一的漏洞進行利用反而不常見,常常是組合各種攻擊達成最終目標,這也就是所謂的Chained Exploits,也可以用一個很簡單的方式表達 - 漏洞利用的組合技。
通常Chained Exploits十分複雜,也很難進行防禦,從(各種形式的)網路釣魚,例如subdomain takeover或一般的郵件、之前介紹過(或沒介紹到的)各種各樣的Web攻擊、資訊洩漏、無線網路、密碼破解、後門/勒索軟體安裝到各種形式的提權(privilege escalation)技巧
一個簡單的web範例是,透過LFI(或是info leak)存取web config,拿到某個網站管理者帳號密碼,在管理者頁面透過某個查詢動作進行SQL Injection並使用INTO OUTFILE
功能(或是任何可以觸發RCE的技巧/web漏洞,如SSRF)拿到RCE。
從這些漏洞來看,LFI 或 info leak 的威脅性還算可控,雖然有資料被竊取的風險,但並不是每個被攻擊的目標上都有敏感資訊 "直接" 存在於 Server 的目錄中(例如存在於間接連線的 DB 就會相對安全),也無法在這之上執行命令句或是送入其他攻擊程式,另外,Server常常也不是使用者方管理,也不太會存敏感訊息,也可能用雲端包裝的服務,例如Azure 的App Service。而在管理者頁面透過手段拿到的RCE,又因為需要先進行身分驗證,所以在一般沒有管理者權限的情況下無法利用。然而,搭配幾個不一樣的漏洞,就可以真正的拿到Initail Access。這兩個漏洞缺一不可。
另一個經典的案例是Shamoon從MITRE Att&ck的敘述(下方連結)中可以看到,這個惡意軟體使用了24種不同的手法將整個攻擊鏈串起,完成了攻擊。從圖中也可以看到,很多漏洞的風險評級不不高,例如 CVE-2017-0213 本身被CVSS v3.0評為中等。
https://attack.mitre.org/software/S0140/
在F5的研究中也說明了如何利用domian name client poisoning(DNS cache poison)、van Beek's Microsoft Exchange Autodiscover vulnerability這三個低風險的漏洞,組合起來將其轉變為一個高危漏洞。
關於詳細資訊,可以看Proof of Concept section
而各種Chained Exploits這也是APT團體的慣用手法和研究的目標,經過長時間的研究和公開的已知漏洞結合或串起,將特定目標(或運行特定OS/軟體的目標)攻陷。
最近最具知名度的莫過於Orange大神開發的Microsoft Exchange Server漏洞,對於漏洞組合技/Exploit Chain有興趣的務必參考底下的Case Study。