斯諾登事件已過一年有余,情報組小編翻看眾多公布的材料,挑選其中一篇2012年時候的“NSA的內(nèi)部帖子”,來看看一個NSA黑闊如何利用“大數(shù)據(jù)”拿下網(wǎng)絡(luò)系統(tǒng)管理員的攻擊思維。
“情報”是攻擊的最終目的
在NSA里面的SID(SignalsIntelligence Directorate)“信號情報部門”顧名思義他的終極目標(biāo)是產(chǎn)出情報,供決策者使用。無論什么時候,目標(biāo)使用高科技去進行通信,NSA黑客就要想盡辦法去收集它、分析它、然后輸出報告。聽起來是很簡單,除非他已經(jīng)在目標(biāo)的通信網(wǎng)絡(luò)中。而他們其實也不是任何時候都能收集到所有的信息,特別是他們的目標(biāo)通信的網(wǎng)絡(luò)并不在他們的收集范圍內(nèi)。這個時候他們就需要一些手工的“跑腿”去幫助他們完成這個任務(wù)了。這個“跑腿”就是這篇帖子《I hunt sys admins》想介紹的“系統(tǒng)管理員”
科普廣告插播
SID,全稱Signals Intelligence Directorate信號情報指揮部,在NSA組織架構(gòu)中代號為“S”,主要負責(zé)收集、分析、產(chǎn)生和傳播信號情報。下屬若干個分支機構(gòu),其中就包括大名鼎鼎的TAO,具體如下:
- S1—主攻客戶關(guān)系
- S2—主要分析和制作中心,下屬若干“生產(chǎn)線”
S2A:南亞,S2B:中國與韓國,S2C:國際安全,S2E:中東和亞洲,S2F:國際犯罪,S2G:反擴散,S2H:俄羅斯,S2I:反恐……
- S3—數(shù)據(jù)獲得,主要負責(zé)“收集”工作,下屬包括:
S31——Cryptanalysis and Exploitation Services密碼與漏洞利用服務(wù)簡稱CES
S32——TailoredAccessOperations,簡稱TAO,負責(zé)黑進外國的計算機以事實網(wǎng)絡(luò)間諜活動,被譽為NSA“信號情報指揮部”最大最重要的部分,有1000名軍隊級和平民電腦黑客、情報分析員、targeting專家、電腦軟件硬件設(shè)計師,電子工程師等組成。
S33——Global Access Operations,簡稱GAO,主要負責(zé)攔截衛(wèi)星或其他國際SIGINT平臺的信號。
S34——收集戰(zhàn)略及需要中心
S35——Special Source Operations,簡稱SSO,主要負責(zé)美國國內(nèi)的收集計劃,例如大名鼎鼎的“棱鏡計劃”PRISM
網(wǎng)絡(luò)系統(tǒng)管理員是最好的“跑腿”
事實上“系統(tǒng)管理員”并不是這些NSA黑客的最后目標(biāo),他的最后目標(biāo)是“極端分子/恐怖分子”或者官方政府要使用的這些網(wǎng)絡(luò),而這個網(wǎng)絡(luò)是由這些“系統(tǒng)管理員”所管理的。比如他的目標(biāo)正使用的是在外國網(wǎng)絡(luò)的一個CDMA終端,很可能NSA魔爪已經(jīng)收集過目標(biāo)手機的電話、SMS短信,(PS:用帖子里的原話是說“where we passively collect his phone call/SMS out in the wild”。從這個側(cè)面看NSA的確已經(jīng)能夠廣泛性的“被動”采集電話通信數(shù)據(jù))但是如果真的能夠進入到本地的基礎(chǔ)設(shè)施,從而可以任何時候更直接的監(jiān)視目標(biāo)從哪個基站進行了連接,甚至監(jiān)視電話和數(shù)據(jù)的流量。但是通常直接以基礎(chǔ)設(shè)置為攻擊目標(biāo)是很困難的,一般需要一系列的信息以幫助開展行動。例如:
– 目標(biāo)網(wǎng)絡(luò)的拓撲
– 基礎(chǔ)設(shè)施設(shè)備的憑證(密碼)
– 目標(biāo)網(wǎng)絡(luò)的行事情況,例如只有管理員的源IP限制策略的允許接入清單
– 一些總概述的背景,例如網(wǎng)絡(luò)是如何組成的,如何配制的
所以為了拿到以上信息,還有誰比目標(biāo)網(wǎng)絡(luò)的管理員更合適?很多時候,當(dāng)NSA黑客看到目標(biāo)出現(xiàn)在一個新的網(wǎng)絡(luò),他的第一個目標(biāo)就是能否通過CNE(Computer Network Exploitation)攻陷網(wǎng)絡(luò)上的這個管理員。這個時候通常就依賴于“QUANTUM”來訪問他們的帳號。當(dāng)然你可以通過釣魚郵件,但是NSA黑客認為現(xiàn)在人們比過去5-10年已經(jīng)越來越聰明,所以這種攻擊方法已經(jīng)不再靠譜了。因此,為了使QUANTUM攻擊對這些管理員有效,NSA黑客需要一些webmail/facebook類型的SELECTOR。
科普廣告插播:
SELECTOR:又稱“分揀器”,說白了就是NSA從龐大的數(shù)據(jù)流量中用于識別定位的特定目標(biāo)的“選擇子”,例如Hotmail GUIDs,GoogleprefIDs,Apple IMEIs,Apple UDIDs,Nokia IMEIs,Wireless MACs等等,而這個Selector又跟下面要說到的“Quantum”密切相關(guān)。
QUANTUM:這個可跟量子計算沒有多大關(guān)系,主要是NSA的一個代號,是一種man-on-the-side的中間劫持技術(shù),在骨干網(wǎng)中秘密放置一些服務(wù)器,通過Selector識別出被攻擊的目標(biāo),然后利用比正常服務(wù)器更快的反應(yīng)時間,把漏洞利用代碼發(fā)向受攻擊的目標(biāo)(也就是這里說的管理員),使得攻擊成功。隨著近年來的發(fā)展,已經(jīng)不止最開始2005年的“Quantuminsert”,還有2007年的QuantumBOT,2008年的QuantumDNS等等,如下圖所示:
CNE:Computer Network Exploitation,如果說CNE是注重從目標(biāo)計算機和網(wǎng)絡(luò)中挖掘情報,那么另一個叫CAN(Computer Network Attack)的則是試圖瓦解、損害和摧毀目標(biāo)。
攻擊思路:
如果說希望通過whois等手段,查找目標(biāo)網(wǎng)絡(luò)IP地址空間或者域名信息的注冊信息來發(fā)現(xiàn)這些管理員的個人信息。那NSA黑客的實踐表明,這個成功率并不高,因為這些信息通常是管理員的官方郵箱地址,這些郵件服務(wù)器就部署在目標(biāo)的網(wǎng)絡(luò)中,而NSA黑客的大殺器Quantum成功的秘訣不是用在這類型郵件系統(tǒng)中的。他們真正想要的是管理員的個人郵箱、facebook等這樣的賬號。(因為這些賬號才能篩選出Selector,從而使用Quantum技術(shù)來實施對管理員的控制。這里可以使用“dumpster-dive技術(shù)”(翻管理員公司附近的垃圾箱找)或“Google搜索技術(shù)”(看看管理員是否有在什么官方的非官方的論壇中暴露這些信息)。
攻擊線路:
NSA大黑闊——〉“恐怖分子”——〉恐怖分子所在的網(wǎng)絡(luò)——〉該網(wǎng)絡(luò)管理員——〉控制網(wǎng)絡(luò)
攻擊所需條件(反向推導(dǎo)):
網(wǎng)絡(luò)管理員〈——Quantum攻擊〈——可識別出管理員的Selector〈——個人賬號如facebook〈——???
在繼續(xù)之前,先得介紹一下DISCOROUTE——NSA內(nèi)專門用于在telnet sessions流量中“被動”收集和存儲路由器配置文件的工具。
有這樣的工具,有這樣的數(shù)據(jù),都對入侵這個目標(biāo)網(wǎng)絡(luò),了解它的網(wǎng)絡(luò)結(jié)構(gòu)有莫大的幫助,但是,這些配置文件似乎跟找到網(wǎng)絡(luò)管理員的個人webmail或者facebook似乎還沒有啥關(guān)系。離成功入侵這個網(wǎng)絡(luò)還遠著。為此,NSA黑闊隨機選了一個肯尼亞的路由配置來做個示范。(從這個側(cè)面看,NSA還說沒有入侵,沒有監(jiān)聽別國的通信?拿路由器配置信息都是信手拈來的事情了。)接下來作為一名分析師,最基本的水平是基于這份配置文件做出大膽的假設(shè):
- 我們有一臺路由器,路由器有一個管理員
- 通過DISCOROUTE工具獲得的配置文件,可以知道這個管理員通過telnet登陸到路由器
- 管理員可能不會讓任何人或者每個人都能登陸到路由器
- 管理員可能設(shè)置了ACL,只允許他自己的IP telnet到路由器中
下面看看路由器的配置文件:
從上面可以看到管理員的確設(shè)置了源地址訪問的ACL——access-class,以及密碼屬性設(shè)置為代表密文的7,當(dāng)然這個也是很好破解的。網(wǎng)上基本上就有現(xiàn)成的工具專門對付這類password 7 hash。
從下面的配置列表可以看到:
可以看到,如果想要telnet到這臺路由器,你必須要從這些(已經(jīng)打黑的)IP地址去訪問。稍微有點網(wǎng)絡(luò)知識的你都可以知道,就算你知道路由器的認證信息,就算你知道這些白名單,你都不可能偽造這些源地址去登到路由器上,因為,你無法看到response包。所以你是必須接入到其中一臺這些IP地址,才能去登陸路由器。
讓我們回顧一下,NSA黑客的假設(shè)——一個管理員只允許他自己去telnet,而禁止了來自其他地址的登陸。因此我們可以進一步大膽假設(shè)這是這些acl地址,就是管理這個肯尼亞網(wǎng)絡(luò)的管理員地址。
繼而,利用這些地址就可以去查找,從這些IP地址登陸hotmail,yahoo,facebook的活動賬號。從而就能夠識別出這個肯尼亞網(wǎng)絡(luò)的管理員個人賬號信息了。把這些信息作為selector,就可以用QUANTUM技術(shù)去攻擊這些管理員,從而通過這些管理員控制網(wǎng)絡(luò)。
總結(jié)一下以上大致兩個步驟
步驟一:從DISCOROUTE中的路由器配置信息中識別有有telnet的acl信息,導(dǎo)出這些acl的公網(wǎng)IP地址。
步驟二:從ASDF(全稱Atomic SIGINT Data Format,是NSA從被動收集信息系統(tǒng)——PassiveSIGINT system收集的所有session信息中生成的metadata。)中,根據(jù)步驟一得到的公網(wǎng)IP關(guān)聯(lián)出活躍用戶。