| 消失的信用卡——0-days |
|
我有一個要攻擊的站點列表。Temor和我根據我們瞭解的他們的安全情況和客戶庫是否惟一來挑出站點。這幾年,我學會了用幾個簡單的網絡探測器測量網絡管理的能力。發現一個目標時,我會注意他們的Web、郵件和FTP服務器的操作系統和軟件的版本。我試過幾次最明顯的探索。如果這些不起作用,我就不採取行動並等待。 現在0-day探索比以前更重要。許多系統在弱點建議最初的24小時內就會打上補丁。Weindows甚至有一個服務用來自動下載和安裝hotfixes。相信Internet上一定還有大量易受攻擊的系統,但是他們很難發現。我密切監視了安全郵件列表、Web站點和下載頁面以便在任何一個別的人之前知道易攻擊性。我的優勢不是知識而是速度。 對我來說星期三是個重要的日子,因爲這天微軟通常會宣佈新的易攻擊性。微軟公司過去常常因爲週五發佈建議讓許多網絡暴露在週末而受到大量批評。微軟教育技術人員要儘量避免週五發佈,但是很快就發現他們自己不規則地在週四晚上較晚時候發佈補丁。週四晚上深夜就等同於週五,所以他們最後制定政策要儘量在週三發佈。 |
 這幾個小時你在嗎? |
 在呀,什麼事? |
| 微軟剛剛發佈了一個緩存溢出,我需要你的幫助。 |
| 我寫好了腳本並且已經攻擊了2次。 |
| 呵呵,好,你想讓我開始轉移嗎? |
|
我和Temor並不認爲我們自己是社會工程的行家,但是我的確有一些技巧能工作得非常好。軟件探索工作得很好,但是絕對比不上我們通過一次好的社會工程攻擊獲得的信息。我仍然對一旦贏得了他們的信任之後人們願意給我的信息數量感到吃驚。 一切都從我們的轉換開始。使用我們擁有的世界上系統中的一個,我們開始企圖闖入目標的前端服務器。我們試圖使用來自像俄羅斯、烏克蘭和羅馬尼亞等國的IP地址。我們的企圖需要足夠祕密,不要激發任何警報,但是如果有人正在尋找他們的話還是很容易被注意的。換句話說,我們想讓他們發現證據,但還不是現在。 萬一被他們抓住,轉移也可達到轉移注意力的目的。事實上有幾次,我們知道他們發現了我們,所以我們用世界上的一些攻擊淹沒了服務器。要找到真實的攻擊幾乎是不可能的。 |
| 好,完成。發送郵件。 |
|
這是我最快樂的時候。自我介紹是公司的安全管理員(通常是我真實工作的那家公司),我寫了一封字正詞嚴的郵件,抱怨我的IDS識別出他們的一個IP地址作爲攻擊源攻擊了我們公司的網絡。我要求他們立刻停止這些攻擊,否則我就會採取法律措施對付他們。我用Internet安全行話仔細推敲了郵件,拋出了像“辯論術”和“調查”這樣引起恐慌的單詞。我建立了威信。 我給出自己的電話號碼並附了編出來的IDS日誌條目的列表。通常過不了多久,我的電話就響了。 “我收到了你的郵件,這太奇怪了,”電話中的管理員通常告訴我。“我們確實有你說的IP地址,但是沒有把它分配給任何PC呀。” “我所知道的都是從日誌文檔中看到的,”我說。“事實上,攻擊就在剛纔,來自同一個IP地址。” 我等待着,另一端的管理員沉默了,他被困擾了。 “看,如果你不把它當回事,我就把這事提交給當局,”我威脅道。 如果我成功地應付了目標系統的管理員,接着的談話會是道歉和保證“儘快調查”。 我一開始聽到道歉,就知道我征服了這個管理員。他把我看作了權威人士,一個安全專家。他也是如此心煩意亂,被我對他的門衛玩忽職守的指控弄迷惑了,完全沒有意識到他正在爲第二階段的攻擊做準備。 這時,我會慢慢退回去,最終承認我也被另一個IP地址掃描了。我把一個轉移系統的IP地址給了那個管理員,試圖使他聽起來好像我們都是受害者,要對付一個共同的敵人。這就是我所說的三角。我們掛斷電話,等待下一次呼叫。一般不會超過幾個小時。他們要去的第一個地方是Web日誌。 “我們認爲已經發現問題了。我們查看了日誌,發現了你提到的IP地址,”他在電話裏解釋。“查看日誌文件發現他們在攻擊你們的服務器之前試圖攻擊我們的 系統。”那個管理員告訴我。 給他個臺階下吧,我問,“那麼你認爲他們僞裝成你們的IP地址使之看上去好像是你們攻擊我嗎?”我等了片刻,希望他並不知道如何證明事實的真相。 “也許吧,”他大膽地回答。 此刻,我提到我已經有做一個法律強制的正式報告,提供這次攻擊的信息。我也解釋他們很可能並不能做更多事情這一點是更清楚了。我解釋我們要自己解決,我很可能不再深入追究。 然後,我就給那個管理員提了幾個關於服務器的特定的安全指南,試圖參與一個關於目標組織的安全的會話。畢竟,我們不想讓這樣的事情再次發生。這要依靠我能建立讓管理員信任的程度,使他常常披露大量關於網絡的信息,包括網絡的最大弱點的詳細信息。有一個網絡管理員甚至把他的密碼也給我,以便我能幫他修復服務器的易攻擊性。 我們有大量不同的轉換,但是方法基本相同:混亂,威脅,延遲,建立信任並且建立三角。我不確信爲什麼技術如此有效,但是它始終能奏效。我想像它是一種讓你閃開、車要加速的感覺,只是不知什麼緣故逃避了買票。只要你逃脫了,沒有被警察看見,你就再次立即加速。害怕買票便伴隨着不會使你感覺有安全一會兒的解脫。除此以外,還有什麼是可以再次立即越過的機會?尤其是現在,你知道警察在哪兒? 網絡管理員認爲他知道黑客在哪兒之後,就讓他的防護停下來。令人驚奇的是他只是在電話上跟真實的黑客交談。 |
| 賭一把。 |
| 什麼? |
| Microsoft剛剛發佈了另外一個公告。它修復了我的很好的溢出。 |
|
令一個好探索糟糕的是,儘管你很想用它,但也不能過度使用,因爲最終別人都會在他們的日誌文件中發現,並把它報告給軟件廠商。你想把它保存下來在真正需要的時候使用,但是又不能保留得太久,因爲別人會發現它,你也就失去了機會。微軟剛剛修復的探索是我最喜歡的之一。但是因爲它在目標日誌文件中留下了如此巨大的印跡,故我考慮它是隻用一次的探索。我保留它有一年多了,等待理想的機會來使用它。現在這一點是普通常識。 許多人誤以爲微軟發佈一個安全公告時,就會處理一個新發現的易攻擊性。實際上,許多人似乎已經知道並且探索漏洞已有相當一段時間了。 另外一個好的探索源是跟隨黑客。跟蹤其他的黑客,揭示他們特有的探索尤其有趣。一次一個黑客在IRC頻道上吹牛說他能闖入任何他想闖入的Apache服務器。我跟他爭論了一會,然後我挑戰他攻擊一個特定的Apache服務器。當然,這是我已經擁有的服務器。我快速啓動一個sniffer並給了他一個IP地址。起初,我看到通常每天出現在成百上千個Apache日誌文件中的刺探。但是突然,我看到一個巨大的進入字符串,伴隨一個外出的目錄列表——就像是創建了shell代碼的一個緩衝溢出。我保存了sniffer日誌,並對黑客的極好的技能留下了深刻的印象。但是在他急於證明自己時,泄露了一個非常正規的私有探索。 但是黑客們並不是0-day探索的惟一的好來源。有大量研究者整天在尋找軟件中的漏洞。他們發現漏洞,寫出安全建議,他們的公司得到大量評論。作爲“民族黑客”,他們徹底地測試問題並給供應商足夠的時間來發布補丁。有時,這個過程要花費數月的時間。我擁有一個著名的安全研究者的主PC,並獲得至少一個月時間在別人知道之前來研究新的探索。我弄明白的一件事情是,安全研究者在開發探索器時常常相互探討他們的想法。所以我不僅獲得了他本人發現的所有的易攻擊性,還獲得了他的朋友們所發現的一切。我怎麼闖進安全專家的PC的呢?俗話說的好,鞋匠的孩子總是打赤腳。 實際上,所發生的是我首先猜測他妻子的E-mail密碼。一件事情導致另一件事情,最終我也獲得了他的E-mail密碼。幾個月以來,我下載了他的E-mail拷貝,並確信我的郵件閱讀器不會從服務器刪除郵件。然後有一天,他發送了一封E-mail給網絡管理員,奇怪爲什麼他的郵件出現在outlook中總是已讀的。他之所以關心,不是因爲他懷疑別人在讀他的郵件,而是因爲他擔心會拉下什麼重要的東西以爲是已讀的。儘管他是個非常聰明的研究者,但還是不夠機警。你能想像,我立即停止閱讀他的郵件。我猜他然後就會給管理員發郵件,解釋問題神奇地自己就修好了。儘管如此,在我閱讀他的郵件時,還蒐集了很多關於他的信息和很多密碼,他卻再也不能從我這裏要走了。 |
| 好,我現在在這個公司了。剛剛給我打電話的管理員實際上就在此刻登錄到控制檯。 |
| 呵呵,他桌面上有一個文本文件,其中有我們轉換的所有的日誌條目:) |
| 哈哈哈哈。 |
| 數據庫在另外一個防火牆之後,這要花一會兒時間。 |
| 哦,等等,我亂寫一個,sa密碼是空。我進來了! |
|
我試着改變管理員桌面的牆紙,或者至少開始彈出CD托盤,但是我知道自己最大的優勢是讓人們感覺到好像他們並沒有被攻擊。一定有轉換,但是他們不會找到的,他們很快就把所有的東西都忘記了。 把信用卡的數據庫導出到一個文本文件之後,我把它上傳到一個停止的站點。在離開以前,我安排了一個腳本在日誌文件循環之後清除我第二天入侵的所有蹤跡。掙錢真的很容易! 當然,並不總是那麼容易。有一個網絡花費了我幾乎2年時間才攻入。但是很值得,因爲僅一個數據庫中就有2 000萬筆信用卡交易。第一次試圖攻擊是在回來的路上,當時我還在學習。我很天真地對那個公司的Web服務器運行了一個商業的易攻擊性掃描。在那一天稍微晚些的時候,我的撥號Internet賬號停止工作了,我把它叫做ISP,客戶服務的答覆把我指到安全部。安全部答覆說他們控告我掃描了別人的網絡,所以就取消了我的賬號。我盡力保持沉默,我獲得了賬號恢復。這次經歷沒有阻止我。事實上,它使挑戰更令人激動。但是它的確教育我以後要更小心。 幾個月以來,我非常緩慢地在目標網絡上巡視,收集能收集到的每一個信息。我能移動到其它的網絡上,但是這個特殊的網絡變成了我的業餘愛好。有點像咖啡桌上比較難的猜橫豎字謎遊戲——偶爾在星期天的下午拿起來填一兩個單詞。 我慢慢地安排網絡。事實上,我的腳本每5個小時探測一個IP地址的一個端口。爲什麼要間隔5個小時呢?因爲當ISP取消我的賬號時,安全部稍後會給我發一個那個公司的IDS的日誌文件。我能決定我的目標是用什麼軟件做入侵檢測的。經過一些研究之後,我發現任何兩個發生了超過4個小時的事件很難相互關聯在一起。爲了進一步逃避檢測,每過幾天,我就會從世界範圍內不同的IP地址上彈回掃描。 我用文檔記錄每個面向Internet的硬件和軟件。在研究中,我注意到管理員喜歡購買eBay硬件來存點錢。eBay記錄了買入或賣出的一切。搜索網絡管理員的E-mail地址,我發現了他網絡上的幾乎所有的硬件的列表。我記下所有的信息,甚至建立一個很好的我知道的這個網絡的Visio圖。 在紅色代碼之前很長的時間,大多數管理員就瞭解安全補丁。他們的安全不只停留在表面上,而且他們的工作已做得很深入——是談論很多、但在現實世界裏很難見到的理念。這個網絡組織得很好,管理員準確地知道所有的時間在運行什麼。闖入這個網絡是極端困難的。即便我最好的0-day探索也不能產生結果。 有一次,我能上傳一個特洛伊木馬,但卻不能執行它。他們很快補了漏洞並刪除了那個文件。我試圖從Internet搜索中搜索E-mail標題尋找員工的主PC。這個公司甚至爲在家工作的員工提供了防火牆硬件! 然而我越是失敗,就越對從前的成功回報感到滿意。 已經幾乎有2年了。就這一點,我收集了幾個密碼,但是沒有地方能用他們。然後,最終,我攻入了。有一個腳本監視幾個公司的ARIN Whois輸出。ARIN whois是一個包含所有者信息的IP地址的數據庫。輸入IP地址,就能知道誰擁有它;輸入公司名,就能知道IP地址。有一天,我的腳本查詢了一個公司列表,看看他們是否註冊了新的IP地址。這是Internet繁榮的時代,技術公司不斷擴張並增加他們的Internet。我的目標公司也在增長。一天,它搬了辦公地點並獲得了一套新的IP地址。 這個公司的防火牆是我見過的最堅固的。他們就哪個IP地址能在哪、怎樣與誰通信是非常特別的。具有諷刺意義的是,這是他們的衰敗。當防火牆被移動到新的網絡時,它仍然包含舊網絡的IP限制。由於一個糟糕的防火牆規則,新網絡中的每臺計算機都完全暴露在Internet上。它保護的是所有的舊IP地址,因爲沒有改爲新網絡的IP地址。公司的技術人員花費了幾乎3天的時間才認識到這個錯誤。但是太晚了。5,000萬個信用卡號碼現在已經在荷蘭的導出站點上了。 但是公司注意到一個入侵。令人驚訝的是,另外一個黑客跟我在同一時間闖了進來(我不知道他等了多久)。這個另外的黑客被識別爲入侵者,公司聲稱他並沒有成功地訪問客戶數據庫: |
| 嘿,我們做的這2000萬卡付過錢了嗎? |
| 沒有,信用卡公司很慎重地拒絕了大部分卡。 |
| 吸取教訓。這依然是一次很好的攻擊。 |
| 哈哈哈,是的。 |
| 那是歡快的,他們抓住了一個傢伙,同時,你正在從另外一個服務器上下載整個數據庫。 |
| 即便我們試了,也不能計劃一個更好的轉換。 |
| 呵呵,我知道。 |
|
這是一次很好的攻擊。但是最後,我尊敬這個公司的人們。他們給了我一次很好的挑戰。大多數時間,我黑完一個公司又一個公司,只是希望有的公司會有好的安全。都是如此容易攻擊使我幾乎失望了。不僅是容易,它是一次又一次同樣的不知情的事情。儘管易攻擊性本身改變了,但過程總是相同的。當我第一次開始時,是空的管理員密碼。然後是::$DATA探索,然後是+.HTR,接着是Unicode,接着是XP_CmdShell。現在是SQL注射。 有趣的是我從來不需要求助於一些有趣的安全研究者們所談論的理論探索,因爲編寫腳本的人通常做得很好。我見過管理員長篇大論來阻止man-in-the-middle攻擊的做法。但是我自己從來沒有實際使用過這種攻擊,也不知道有別的什麼人使用過,不知道誰曾經是個受害者。我並不是說這種防預沒有用,因爲通過執行這些過程,你至少能確信你是不易進行這種攻擊的。但是要首先修復更明顯的東西。如果打算在Windows上做阻止,最起碼要鎖好前門。 然而,儘管一個公司做了所有的努力使他的網絡安全,但總會有人的因素在裏面。 |