本文以三十六計勝戰(zhàn)計“借刀殺人”為切入點，深入剖析攻擊者在攻入內(nèi)網(wǎng)后，以受感染主機為跳板，通過代理轉(zhuǎn)發(fā)的方式悄然劫掠，攻擊其他內(nèi)網(wǎng)主機的技術(shù)手段。

“古人臨陣出奇，攻人不意，斯亦相變之法乎?！苯璧稓⑷耸瞧嬉u之術(shù)中的獨特一環(huán)，即審時度勢，洞悉對手特點，借力打力，在不知不覺中達成制勝目標。

在網(wǎng)絡安全領域，橫向滲透攻擊是一種針對企業(yè)內(nèi)部網(wǎng)絡的重要攻擊手段。攻擊者首先越過網(wǎng)絡外部防御層，入侵一個內(nèi)網(wǎng)主機。然后，在網(wǎng)絡中水平擴散，攻擊其他主機以獲取更高權(quán)限和更多敏感信息。其中，后滲透代理攻擊是橫向滲透攻擊的關(guān)鍵環(huán)節(jié)。攻擊者利用受感染主機作為代理，轉(zhuǎn)發(fā)攻擊流量，實現(xiàn)橫向滲透目標。近年來，隨著復雜、隱蔽的后滲透代理工具不斷發(fā)展和企業(yè)數(shù)字化轉(zhuǎn)型加速，后滲透代理攻擊呈現(xiàn)出增長趨勢。

本文將以常用的代理工具frp為例，詳細描述攻擊者如何利用SOCKS協(xié)議，在單級和多級代理場景下，通過“借”代理主機之力，入侵內(nèi)網(wǎng)中的其他主機，實現(xiàn)后滲透代理攻擊。

SOCKS協(xié)議是一種常用的會話層代理協(xié)議，它位于TCP/IP協(xié)議棧之上。在使用TCP/IP協(xié)議進行通信的客戶端和目標服務器之間，SOCKS協(xié)議扮演著中介的角色，負責將客戶端發(fā)出的請求轉(zhuǎn)發(fā)給目標服務器。

三方之間的通信過程如下圖所示?？蛻舳撕痛矸掌髦g建立SOCKS通信，代理服務器與目標服務器之前建立TCP/IP連接，代理服務器作為中介，使客戶端和目標服務器之間建立連接。

下面我們以單級代理攻擊為例進行說明。攻擊者首先攻陷了代理主機（如圖中的WEB服務器），由于該服務器擁有內(nèi)網(wǎng)IP，攻擊者將其作為跳板，對內(nèi)網(wǎng)中的其他目標主機（如圖中的內(nèi)網(wǎng)主機1）進行探測和掃描，并與之建立連接。這種通過一次代理就能與內(nèi)部主機建立連接的過程被稱為單級代理攻擊。

在實際網(wǎng)絡環(huán)境中，為了保障安全，企業(yè)通常會采用網(wǎng)絡隔離的方式，將重要數(shù)據(jù)隱藏在更深層次的內(nèi)部網(wǎng)絡中。這樣一來，僅通過一級代理就無法連接到承載數(shù)據(jù)的內(nèi)網(wǎng)主機。然而，如下圖所示，在這種情況下，攻擊者仍然可以利用已被感染的內(nèi)網(wǎng)主機1作為二級跳板，入侵內(nèi)網(wǎng)主機2。隨后，以類似方式入侵內(nèi)網(wǎng)主機3，實現(xiàn)對更深層次網(wǎng)絡的代理功能。這種攻擊方式被稱為多級代理攻擊。

目前市面上常見的后滲透代理工具包括frp、Earthworm、Termite、Cobalt Strike、sSocks、xSocks和Metasploit Framework等。與其他工具相比，frp具有輕量級、代理速度快和及時更新等優(yōu)點。它支持TCPUDP和HTTPHTTPS等協(xié)議，并且為廣大攻擊者所用。在接下來的內(nèi)容中，本文將以frp工具為例，詳細講解后滲透代理的攻防過程。

frp工具包括frp服務端程序和frp客戶端程序。下面是單級代理連接的示意圖。攻擊者在其用于實施攻擊的虛擬專用服務器（Virtual Private Server，VPS）上安裝了frp服務端程序，并在受感染的內(nèi)網(wǎng)主機上安裝了frp客戶端程序。如圖所示，攻擊者通過四個步驟實現(xiàn)了上述目標。

華為網(wǎng)絡流量智能檢測方案利用龐大的簽名庫，能夠?qū)χ髁鞯暮鬂B透代理工具進行檢測。在2022年的攻防演練中，它成功檢測出了多起frp代理流量。下圖展示了通過簽名方法進行取證的示例。

為了隱藏代理工具的特征，frp提供了使用TLS協(xié)議對代理流量內(nèi)容進行加密的功能。下圖展示了加密前和加密后的通信流量。

在加密前，流量中包含了version、hostname、os和arch等字符串。這些字符串被用于工具特征簽名。但是，在經(jīng)過加密后，上述字符串被轉(zhuǎn)換成了無規(guī)則字符。此時，在加密后的流量中已經(jīng)看不到工具的簽名特征了。攻擊者可以通過使用加密來躲避前文所述基于簽名庫的檢測方法。

華為網(wǎng)絡流量智能檢測方案能夠通過結(jié)合報文包長度序列等流量特征和人工智能檢測算法，實現(xiàn)對加密后滲透代理流量的檢測。其檢測框架圖如下所示。

該方案采用了基于時間動態(tài)規(guī)整的時序序列匹配算法，能夠?qū)υ邪L序列進行轉(zhuǎn)換。這樣一來，即使現(xiàn)網(wǎng)流量中增加或刪除了某些包長，系統(tǒng)仍然能夠檢測到后滲透代理工具流量。在2022年某大型國企的攻防演練中，華為網(wǎng)絡流量智能檢測方案獨家發(fā)現(xiàn)了加密的frp后滲透代理流量。下圖展示了針對加密frp流量的取證示例。

為了防范風險，我們應該未雨綢繆。針對后滲透代理攻擊，企業(yè)用戶可以部署漏洞掃描工具，并及時更新漏洞庫，以提前識別漏洞風險并對主機進行安全強化。此外，還應該雙管齊下地保護網(wǎng)絡安全。例如，可以安裝網(wǎng)絡流量分析設備，如華為Hisec Insight安全態(tài)勢感知系統(tǒng)。該系統(tǒng)擁有龐大的惡意流量簽名庫，能夠覆蓋主流的后滲透代理工具，并結(jié)合人工智能檢測算法引擎，高效識別明密文代理流量，讓“借刀”的攻擊者無處遁形。