一、黑客视角下的堡垒机

堡垒机是一种网络安全设备，用于保护和管理企业内部网络与外部网络之间的访问。它作为一种中间节点，提供安全的访问控制和审计功能，用于保护内部网络免受未经授权的访问和攻击。堡垒机通常被用作跳板服务器，即通过堡垒机来管理和访问其他内部服务器。

堡垒机作为外网进入内网的重要门户，对于维护内网安全起着举足轻重的作用。然而在攻击场景中，它也成为攻击者的必争之地。如果攻击者获得堡垒机权限，那么攻击者就可获得进入内网，甚至是直接管理堡垒机上所有的资产。一般而言，黑客可能尝试通过漏洞利用或社会工程学等手段获取堡垒机的访问权限。

从黑客的角度来看，攻击堡垒机具有以下价值：

1.重要目标
堡垒机是连接到内部网络的关键入口，一旦黑客成功入侵堡垒机，他们可以借助它进一步深入内部网络，并获取更多敏感信息或控制其他主机。

2.暴露在公网上
堡垒机通常暴露在公共网络上，这使得黑客可以直接尝试攻击它。由于它的角色是接收和处理远程连接，它可能会受到来自Internet的各种攻击，如暴力破解、漏洞利用、拒绝服务攻击等。

3.权限提升
一旦黑客成功入侵堡垒机，他们通常会试图获取更高的权限。堡垒机通常具有管理权限和广泛的网络访问权限，因此黑客可以尝试利用漏洞、弱密码或其他技术手段来提升他们的权限，以获取更大的控制权。

4.内部网络访问
堡垒机是黑客进入内部网络的关键点，一旦黑客成功控制了堡垒机，他们可以使用它作为跳板来访问其他内部主机，探测网络拓扑、获取敏感数据、执行恶意操作等。

二、堡垒机的攻击案例
针对堡垒机，攻击者往往利用堡垒机的漏洞、供应链攻击、社会工程学等手段入侵内部网络，获取敏感数据、篡改配置或控制内部系统。然而，漏洞肯定是突破堡垒机的关键。以下是针对堡垒机的攻击案例：

1.2021年攻防演练期间，某大型国企因为jumpserver堡垒机遭受攻击，导致内网大量机器失陷。攻击者利用jumpserver堡垒机的远程命令执行漏洞进行攻击，导致攻击者绕过层层防御进入目标企业内网。攻击者通过操纵一台由jumpserver堡垒机管理的内网机器，以这台机器为据点，对内网进行信息收集，不断地横向渗透，最终控制了大量内网机器。

2.2021年攻防演练期间，某互联网公司堡垒机遭受攻击，攻击者利用任意用户登录漏洞对齐治堡垒机实施攻击，获得齐治堡垒机的后台管理权限，控制了大量的内网机器。通过逐步对内网进行渗透，最终通过域控的一高危漏洞成功地获得域控权限，至此完全控制AD域。

3.2022年攻防演练期间，某大型国企堡垒机遭受网络攻击，最终提前退出演练。攻击者利用天玥堡垒机存在的弱口令漏洞获得堡垒机的web控制台权限，逐步渗透到企业内部网络。攻击者在内网中进行横向移动攻击，控制大量的企业计算机，同时获取到了大量敏感信息，包括企业员工个人信息、源代码等。最终导致企业大量失分，不得不中途退出演练。

三、堡垒机的攻击面
堡垒机作为一个重要的安全组件，具有多个攻击面，攻击者可以利用这些攻击面来入侵和渗透内部系统。以下是堡垒机的一些常见攻击面：

1.操作系统漏洞：堡垒机使用的操作系统可能存在已知或未知的漏洞。攻击者可以利用这些漏洞来执行恶意代码、提升权限或绕过安全措施，从而获取对堡垒机的控制权。

2.应用程序漏洞：堡垒机的应用程序可能存在漏洞，包括远程命令执行、权限绕过、SQL注入等，攻击者可以利用这些漏洞来执行恶意操作。

3.弱密码和凭据管理：如果堡垒机的用户使用弱密码或凭据管理不当，攻击者可以利用这些弱点进行入侵。

4.供应链攻击：堡垒机的供应链环节可能存在漏洞或被恶意篡改。攻击者可以通过在堡垒机的软件、硬件或固件中插入恶意代码或后门，来获取对堡垒机的控制权或绕过安全措施。

5.社会工程学攻击：攻击者可以通过钓鱼邮件等社会工程学手段来欺骗堡垒机的用户或管理员，以获取其凭据或执行恶意操作。

基于现实场景，以下列出攻击堡垒机的三条路径：

路径一

1）攻击者首先通过堡垒机的历史漏洞甚至是堡垒机的0day漏洞对堡垒机实施攻击，比如通过绕过认证直接访问堡垒机的web控制台，获取堡垒机的web管理权限。
2）攻击者成功地控制了堡垒机所管理的资产。

路径二

1）攻击者首先攻击堡垒机供应商，在堡垒机中植入恶意代码，作为后门。
2）具有恶意后门的堡垒机被下载部署到企业环境中。
3）攻击者通过连接事先留下的后门，成功控制堡垒机，进而打开了企业内网的门户。

路径三

1）攻击者通过钓鱼的方式控制目标AD域一台域成员机。
2）经过信息收集，攻击者最终通过漏洞利用获得域控权限。
3）攻击者尝试重置堡垒机管理员账户密码。
4）通过获得的账户及重置后的密码登录堡垒机。
5）通过堡垒机的web控制台直接控制企业核心生产网服务器集群。

四、堡垒机遭受攻击带来的损失

1.数据泄露和隐私问题：攻击者可以利用堡垒机访问和窃取客户敏感数据，包括个人身份信息、财务数据和商业机密。
2.业务中断和服务不可用：攻击者可能通过破坏堡垒机或拒绝服务攻击的方式使堡垒机无法正常运行，导致业务中断和服务不可用。
3.身份欺骗和内部渗透：通过攻击堡垒机，攻击者可能获得合法用户的身份和权限，从而进行更深入的内部渗透。
4.未授权访问内部系统：攻击者可能成功获取堡垒机的访问权限，进而可以访问和控制内部系统和服务器。

五、堡垒机防御
ITDR平台
中安网星作为国内首家ITDR厂商，围绕Identity及Infrastructure为核心进行防护，打造了ITDR（身份威胁检测与响应）平台。平台涵盖主流身份基础设施及集权设施，围绕从攻击的事前加固、事中监测，事后阻断出发，产品的设计思路覆盖攻击者活动的全生命周期。

ITDR平台能力-针对堡垒机场景特有的能力

1.能够针对堡垒机的敏感以及异常操作进行实时监测，如漏洞利用、异常时间点认证、异地登录、访问非常用资源等，让管理员在第一时间感知攻击者对堡垒机的漏洞利用、执行的敏感操作。
2.针对保护功能关闭的实时监测，如所有用户全局启用MFA认证被关闭、仅管理员全局启用MFA认证被关闭、第三方登录用户进行MFA认证被关闭、关闭用户MFA二次认证等，确保这些保护功能被恶意关闭的同时能够及时发现，不给攻击者留下可乘之机。
3.能够对堡垒机的不安全配置进行主动检测，为加固堡垒机提供依据，确保攻击者不能够利用堡垒机的不安全配置进行进行攻击。
4.通过设置堡垒机蜜罐账户，对攻击者进行主动诱捕，更主动地发现可疑的攻击行为。