LAME：通过SSL加密通信进行横向渗透的新技术

本文主要讨论一项用于红队的被称之为“LAME”的新横向渗透技术及其缓解措施。简单来说，“LAME”技术就是利用受信任的SSL证书，在内部网络中建立加密通信信道的一项技术。在今年的8月份，Deloitte Greece道德黑客团队成员vangelos Mourikis和Nikos Karouzos，在都柏林举办的实践社区（CoP）峰会上，确定并展示了该项技术。

简介

在渗透测试或红蓝对抗期间，我们都会尽一切努力获得对目标内网的远程访问，并在环境范围内提升权限，建立持久通信信道持续监控，并不断扩大战果直至实现方案目标。

为了建立一个隐蔽持久的通信信道，红队往往会采用许多横向渗透技术。而通常他们的做法是建立基于TCP/IP通信协议的信道（如DNS，SMB和HTTP），模拟预期的网络流量和用户行为，从而保持不被发现。但这些协议都使用未加密的通信，因此我们可以通过一些网络监控工具，NIDS/HIDS等来轻松识别这些流量。另外，就算你使用了带有自签名证书的加密通道（例如HTTPS），也同样会触发入侵检测/监控系统的警报，因为它是中间人（MiTM）攻击的一种非常常见的攻击媒介。

更新后的杀毒软件可以轻松识别这些技术，并使用了最新的启发式引擎，它们能够关联和阻止这些类型的通信信道。

图1 – 未加密的通信信道（HTTP）：

图2 – 尝试使用自签名SSL证书，执行payload会产生许多错误消息，并为入侵检测/监视系统留下大量痕迹：

图4 – 以下是“LAME”技术的执行流程图：

图8 – 内网中功能齐全的加密通信信道（Step 7）：

图9 – 上述命令执行的网络流量（Step 7）：

总结

获得解析为内部IP地址的公共DNS名称的受信任SSL证书并非不可能。一旦获取，我们则可以将其用于在内部网络中建立加密通信信道。这不仅可以让我们的通信信道更加隐蔽，还可以帮助我们躲过入侵检测/监控系统。

此外，LAME技术还可用于APT中。结合端口转发和代理，红队可以在内部网络获得初始立足点后在目标环境中创建多个隐蔽枢纽点，并通过Internet上的外部CNC服务器进行控制。

缓解措施

由于通信的加密性和交换SSL证书的有效性，导致这种横向渗透技术难以被检测发现。而阻止内部网络中主机之间的HTTPS流量，则可能会导致合法服务的可用性问题，因此似乎并不是一个可行的解决方案。我们的建议是在内部网络中强制使用集中式DNS服务器，并为所有请求的DNS条目创建特定的监控用例。分析已解析的DNS记录，并进一步调查分配给内部IP地址的潜在可疑条目。此外，我们建议增强主机级别的监控功能，以便及时的识别可能具有相同结果的替代攻击路径(例如，监控本地“etc/hosts”文件的变化)。

更新（04/09/2018）：除了上述建议之外，你还可以在内部集中式DNS服务器中启用反重绑定保护（例如–stop-dns-rebind ，dnsmasq中的–rebind-domain-ok选项）。