每小时50哈希——看看一个内部员工是如何摧毁整个公司网络的?
我們以前曾調(diào)查過(guò)黑客會(huì)通過(guò)連接在USB端口的正在充電的手機(jī)實(shí)施攻擊,在這項(xiàng)研究中,我們重新審視了USB端口的安全性。我們發(fā)現(xiàn),手機(jī)充電時(shí),即使電腦處于鎖屏狀態(tài),黑客也可以通過(guò)對(duì)USB端口的攻擊成功地入侵用戶(hù)的電腦甚至可以獲取管理員登錄憑據(jù)。這讓人想起了2015年發(fā)現(xiàn)的Carbanak病毒,當(dāng)時(shí)它的所竊總金額就已經(jīng)高達(dá)10億美元,它在盜取資金相關(guān)的賬號(hào)信息同時(shí),能入侵銀行系統(tǒng)管理員賬號(hào),讓犯罪分子獲得權(quán)限,通過(guò)內(nèi)部視頻監(jiān)控鏡頭觀(guān)察員工的一舉一動(dòng)。
在本文中,我們將介紹如何通過(guò)一位連接在電腦USB的手機(jī)的員工那里開(kāi)始,擴(kuò)展到對(duì)整個(gè)公司范圍內(nèi)的任何計(jì)算機(jī)的管理員憑據(jù)進(jìn)行竊取。其最終目的就是獲取用戶(hù)名和密碼哈希值,但我們不會(huì)詳細(xì)介紹如何解密檢索到的哈希值,或者如何在攻擊中使用這些哈希值。
我們要強(qiáng)調(diào)的是,這種攻擊的硬件成本不超過(guò)20美元,可以由沒(méi)有任何編程背景的人員執(zhí)行。不過(guò)唯一的難點(diǎn)就是要對(duì)企業(yè)電腦進(jìn)行物理訪(fǎng)問(wèn),就是要讓一個(gè)員工將受感染的手機(jī)插到未關(guān)機(jī)電腦的USB上。
我們?cè)趯?shí)驗(yàn)中使用了一款新的代號(hào)為樹(shù)莓派零(Raspberry Pi Zero)的版本,有史以來(lái)最小的樹(shù)莓派尺寸,65mm x 30mm x 5mm,采用512MB LPDDR2 SDRAM,帶一個(gè)micro-SD卡槽,一個(gè)mini-HDMI接口,支持1080p 60fps視頻輸出,兩個(gè)microUSB接口——其中一個(gè)用于供電,可以運(yùn)行 Raspbian 以及任何你喜歡的應(yīng)用,包括 Scratch, Minecraft 和 Sonic Pi等。
使用Raspberry Pi微型電腦來(lái)攔截和分析網(wǎng)絡(luò)數(shù)據(jù)包或甚至作為通用滲透測(cè)試平臺(tái)的做法是非常常見(jiàn)的。大多數(shù)已知的微型電腦都建立在ARM微處理器上,Kali Linux是基于Debian的Linux發(fā)行版, 是專(zhuān)門(mén)設(shè)計(jì)用于數(shù)字取證和滲透測(cè)試的操作系統(tǒng)。
有專(zhuān)門(mén)用于滲透測(cè)試目的的計(jì)算棒,例如USB Armory。然而,集成USB A型連接器(Raspberry Pi需要適配器)要比USB Armory的成本要高出許多(約135美元),而與Raspberry Pi Zero相比,它的實(shí)用性卻相當(dāng)不錯(cuò)。在2016年,Raspberry Pi就號(hào)稱(chēng)可以通過(guò)USB連接到PC或Mac用于竊取電腦的哈希值,緊接著Raspberry Pi Zero聲稱(chēng)也可用于從3個(gè)瀏覽器中竊取cookies。
那么,就讓我們檢測(cè)一下。
首先,我們嘗試攔截企業(yè)網(wǎng)絡(luò)中的用戶(hù)憑據(jù),利用Raspberry Pi連接到運(yùn)行不同操作系統(tǒng)的筆記本電腦和臺(tái)式機(jī)中。
第二,我們嘗試?yán)肦aspberry Pi Zero檢索并竊取cookie,以恢復(fù)熱門(mén)網(wǎng)站上的用戶(hù)會(huì)話(huà)。
實(shí)驗(yàn)1:竊取域憑據(jù)
方法
這種攻擊背后的關(guān)鍵點(diǎn)就是利用網(wǎng)絡(luò)適配器的仿真,在樹(shù)莓派的操作系統(tǒng)Raspbian下找到模擬以太網(wǎng)適配器的模塊非常簡(jiǎn)單。我們?cè)赾mdline.txt和config.txt文件中進(jìn)行了一些配置更改,以便在啟動(dòng)時(shí)加載模塊。
還有一些額外的步驟包括安裝python解釋器,sqlite3數(shù)據(jù)庫(kù)庫(kù)和一個(gè)名為Responder的特殊應(yīng)用程序,用于數(shù)據(jù)包嗅探。
除此之外,我們還設(shè)置了我們自己的DHCP服務(wù)器,并定義了IP地址的范圍和子網(wǎng)掩碼,將其與我們要進(jìn)入的網(wǎng)絡(luò)分開(kāi)。最后一步包括配置usb0接口,并在啟動(dòng)時(shí)自動(dòng)加載Responder和DHCP服務(wù)器。
檢測(cè)結(jié)果
只要我們將模擬的Raspberry Pi Zero連接到Windows 10,就可以看到連接的Raspberry Pi被確定為有線(xiàn)局域網(wǎng)連接。網(wǎng)絡(luò)設(shè)置對(duì)話(huà)框?qū)⒋诉m配器顯示為遠(yuǎn)程N(yùn)DIS Internet共享設(shè)備,從而被自動(dòng)分配比其他適配器更高的優(yōu)先級(jí)。
響應(yīng)程序會(huì)掃描流經(jīng)仿真網(wǎng)絡(luò)的數(shù)據(jù)包,并且在看到用戶(hù)名和密碼哈希值后,將它們引導(dǎo)到假的HTTP / HTTPS / NTLM(它支持v1和v2)服務(wù)器。每次應(yīng)用程序(包括在后臺(tái)運(yùn)行的應(yīng)用程序)發(fā)送身份驗(yàn)證數(shù)據(jù)或用戶(hù)在網(wǎng)絡(luò)瀏覽器的標(biāo)準(zhǔn)對(duì)話(huà)窗口中輸入攻擊時(shí),例如,當(dāng)用戶(hù)嘗試連接到共享文件夾或打印機(jī)時(shí),就將觸發(fā)攻擊。
在自動(dòng)模式下攔截的哈希值,即使系統(tǒng)被鎖定也是有效的,不過(guò)只有在計(jì)算機(jī)具有另一個(gè)活動(dòng)的本地網(wǎng)絡(luò)連接時(shí)才能運(yùn)行。
如上所述,我們對(duì)三種情況下的Poc進(jìn)行了測(cè)試:
1.針對(duì)登錄域名的公司電腦 2.針對(duì)公共電腦上的公用電腦 3.針對(duì)家用電腦在第一種情況下,我們發(fā)現(xiàn)Raspberry Pi不僅攔截來(lái)自通過(guò)USB連接的系統(tǒng)的數(shù)據(jù)包,還攔截了域中其他企業(yè)網(wǎng)絡(luò)用戶(hù)的NTLM身份驗(yàn)證請(qǐng)求。
在觀(guān)察了幾分鐘之后,我們已經(jīng)證明,Raspberry Pi連接的時(shí)間越長(zhǎng),就從網(wǎng)絡(luò)中提取的數(shù)量就越多。通過(guò)模擬數(shù)據(jù),我們可以得出結(jié)論,在我們的設(shè)置中可以提取的哈希數(shù)量大約是每小時(shí)50個(gè)哈希。當(dāng)然,實(shí)際的數(shù)量還要取決于網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu),即一個(gè)段內(nèi)的用戶(hù)數(shù)量及其活動(dòng)。在此,要說(shuō)明的是,我們的實(shí)驗(yàn)運(yùn)行時(shí)間沒(méi)有超過(guò)半小時(shí),因?yàn)槲覀円才既话l(fā)現(xiàn)了一些奇怪的副作用,這些會(huì)在稍后描述。
提取的哈希存儲(chǔ)在純文本文件中,如下圖所示:
在第二種情況下,我們只能提取連接系統(tǒng)的用戶(hù)憑據(jù):域或Windows名稱(chēng)、密碼哈希。如果我們?cè)O(shè)置了用戶(hù)可以嘗試訪(fǎng)問(wèn)的共享網(wǎng)絡(luò)資源,就可能會(huì)得到更多用戶(hù)信息。
在第三種情況下,我們只能獲取系統(tǒng)所有者的憑據(jù),該憑證未連接到域驗(yàn)證服務(wù)。如果我們?cè)O(shè)置共享網(wǎng)絡(luò)資源并允許其他用戶(hù)連接到它們,可能會(huì)出現(xiàn)第一種情況的結(jié)果。
以上所描述的這些在Windows系統(tǒng)的攔截哈希的方法也同樣適用于Mac 系統(tǒng)。當(dāng)我們嘗試連接需要輸入域名的內(nèi)部網(wǎng)站時(shí),就會(huì)看到此對(duì)話(huà)框警告安全證書(shū)無(wú)效。
現(xiàn)在,我們來(lái)說(shuō)明一下,上面提到的超過(guò)半小時(shí)運(yùn)行時(shí)發(fā)生的有趣副作用,當(dāng)設(shè)備連接到網(wǎng)絡(luò)中的[ny]系統(tǒng)時(shí),從同一網(wǎng)絡(luò)中的其他設(shè)備發(fā)送到網(wǎng)絡(luò)打印機(jī)的任務(wù)會(huì)在打印機(jī)隊(duì)列中被擱置。當(dāng)用戶(hù)嘗試在驗(yàn)證對(duì)話(huà)窗口中輸入憑據(jù)時(shí),隊(duì)列還沒(méi)有被清除。經(jīng)過(guò)分析,這些憑據(jù)并未到達(dá)網(wǎng)絡(luò)打印機(jī),而是進(jìn)入到Raspberry Pi的閃存。當(dāng)嘗試從Mac系統(tǒng)通過(guò)SMB協(xié)議連接到遠(yuǎn)程文件夾時(shí),也會(huì)發(fā)現(xiàn)類(lèi)似的行為。
Raspberry Pi Zero與Raspberry Pi 3
一旦我們看到Windows和Mac的NTLM系統(tǒng)受到微型電腦的攻擊,我們就要嘗試使用Linux。此外,我們決定攻擊Raspberry Pi本身,因?yàn)镽aspbian操作系統(tǒng)是建立在Debian Weezy核心之上的。
現(xiàn)在我們要做個(gè)專(zhuān)門(mén)針對(duì)Raspberry Pi 3的實(shí)驗(yàn),順便說(shuō)一下,連接到企業(yè)網(wǎng)絡(luò)本身就是一項(xiàng)具有挑戰(zhàn)性的任務(wù),但是可行,所以我們不會(huì)在這個(gè)試驗(yàn)中重點(diǎn)關(guān)注這個(gè)。要注意的是,Raspbian操作系統(tǒng)拒絕為USB設(shè)備網(wǎng)絡(luò)分配更高的優(yōu)先級(jí),默認(rèn)的選擇是內(nèi)置以太網(wǎng)。在這種情況下,Responder應(yīng)用程序就會(huì)處于運(yùn)行狀態(tài),但由于數(shù)據(jù)包未經(jīng)過(guò)設(shè)備,因此無(wú)法執(zhí)行任何操作。當(dāng)我們手動(dòng)刪除內(nèi)置的以太網(wǎng)連接時(shí),看到的與以前在Windows中所觀(guān)察到的相似。
在Chromebook上運(yùn)行的桌面版Debian上也出現(xiàn)了類(lèi)似的情況,系統(tǒng)不會(huì)自動(dòng)將USB將太網(wǎng)適配器設(shè)置為默認(rèn)設(shè)置。因此,如果我們將Raspberry Pi Zero連接到運(yùn)行Debian的系統(tǒng)上,則攻擊測(cè)試將失敗。其實(shí),我們不認(rèn)為創(chuàng)建Raspberry Pi-in-the-middle攻擊可能會(huì)成功,因?yàn)檫@更難實(shí)現(xiàn),更容易檢測(cè)。
實(shí)驗(yàn)二:竊取cookie
方法
在第一個(gè)實(shí)驗(yàn)中,就已經(jīng)說(shuō)到,當(dāng)Raspberry Pi Zero通過(guò)USB連接到電腦時(shí),可以從PC竊取cookies。其實(shí),我們還發(fā)現(xiàn)了一個(gè)名為HackPi的應(yīng)用程序,它是一個(gè)具有響應(yīng)程序的PoisonTap(XSS JavaScript)的變體,我們?cè)谏厦婷枋鲞^(guò)。
本實(shí)驗(yàn)中的微型計(jì)電腦配置與上一個(gè)實(shí)驗(yàn)相似。 HackPi可以更好地建立自己的網(wǎng)絡(luò)適配器,因?yàn)樗哂性鰪?qiáng)的桌面操作系統(tǒng)發(fā)現(xiàn)機(jī)制,它能夠在Windows 7/8/10,Mac和-nix操作系統(tǒng)上自動(dòng)安裝網(wǎng)絡(luò)設(shè)備驅(qū)動(dòng)程序。在第一個(gè)實(shí)驗(yàn)中,如果遠(yuǎn)程N(yùn)DIS Internet共享設(shè)備沒(méi)有自動(dòng)安裝(特別是當(dāng)PC被鎖定時(shí)),Windows 7,8或Vista上的攻擊就可能會(huì)失敗。而且, HackPi從來(lái)不會(huì)在Mac系統(tǒng)下分配自己的默認(rèn)網(wǎng)絡(luò)適配器優(yōu)先級(jí)。
與第一個(gè)實(shí)驗(yàn)不同的是,這個(gè)實(shí)驗(yàn)會(huì)使用從本地存儲(chǔ)的網(wǎng)頁(yè),來(lái)啟動(dòng)惡意Java腳本竊取cookie。如果攻擊成功,PoisonTap的腳本將保存從站點(diǎn)攔截的cookie,其列表也會(huì)位于本地存儲(chǔ)。
實(shí)驗(yàn)結(jié)果
如果計(jì)算機(jī)未鎖定并且用戶(hù)的瀏覽器還處于打開(kāi)狀態(tài),則Java腳本將啟動(dòng)網(wǎng)絡(luò)請(qǐng)求,將正在瀏覽的網(wǎng)頁(yè)重定向到惡意的本地網(wǎng)頁(yè)。然后瀏覽器從先前定義的列表中打開(kāi)網(wǎng)站。
如果用戶(hù)在未關(guān)機(jī)的電腦上打開(kāi)任何運(yùn)行程序,則Raspberry Pi Zero會(huì)在短暫的超時(shí)后在地址行中啟動(dòng)帶有URL go.microsoft.com的默認(rèn)瀏覽器,然后如上所述的那樣進(jìn)行攻擊。但前提是,默認(rèn)瀏覽器在瀏覽器歷史記錄中有Cookie,否則攻擊者什么信息都不會(huì)獲得。
在我們實(shí)驗(yàn)的腳本中,從提供的列表中看到的網(wǎng)站有youtube.com,google.com,vk.com,facebook.com,twitter.com,yandex.ru,mail.ru和超過(guò)100個(gè)其他網(wǎng)址。以下就是被盜的cookies日志:
我們就以使用pikabu.ru網(wǎng)站檢查被盜cookies的有效性為例,將信息粘貼到其他設(shè)備的干凈瀏覽器字段中,并能夠掌握用戶(hù)帳戶(hù)以及所有統(tǒng)計(jì)信息。在屬于鐵路公司售貨服務(wù)的另一個(gè)網(wǎng)站上,我們能夠檢索到用戶(hù)的令牌并在另一臺(tái)計(jì)算機(jī)上接管用戶(hù)的帳戶(hù),因?yàn)檎J(rèn)證協(xié)議僅使用一個(gè)LtpaToken2進(jìn)行會(huì)話(huà)識(shí)別。
在這種情況下,攻擊者可以得到有關(guān)受害人以前使用過(guò)的命令、護(hù)照號(hào)碼、姓名、出生日期、電子郵件和電話(huà)號(hào)碼的信息。
這種攻擊的一個(gè)特點(diǎn)是,愛(ài)好者已經(jīng)學(xué)會(huì)了如何在當(dāng)今企業(yè)環(huán)境中找到的所有系統(tǒng)上自動(dòng)安裝網(wǎng)絡(luò)設(shè)備驅(qū)動(dòng)程序:Windows 7/8/10,Mac OS X,但是,在一個(gè)鎖定的系統(tǒng)中,該攻擊方法并不奏效。不過(guò)我們認(rèn)為這只是一個(gè)時(shí)間問(wèn)題,因?yàn)榫W(wǎng)絡(luò)愛(ài)好者也會(huì)克服這些困難。
不過(guò)要說(shuō)明的是,本文中的這些惡意測(cè)試網(wǎng)頁(yè)已被卡巴斯基實(shí)驗(yàn)室給阻止了,并將其檢測(cè)命名為T(mén)rojan.JS.Poisontap.a。
總結(jié)
目前已經(jīng)有了各種各樣的單板微型電腦,從廉價(jià)和通用的Raspberry Pi Zero到專(zhuān)門(mén)針對(duì)滲透測(cè)試的計(jì)算棒,它們?cè)诖笮∩弦呀?jīng)與USB相當(dāng)了。
從以上的實(shí)驗(yàn)可以看出, Windows PC是最容易發(fā)生攻擊的系統(tǒng),旨在通過(guò)USB連接的Raspberry Pi就可以攔截身份驗(yàn)證名稱(chēng)和密碼。即使用戶(hù)沒(méi)有本地或系統(tǒng)管理員權(quán)限,只要可以檢索其他用戶(hù)(包括具有管理員權(quán)限的用戶(hù))的域憑據(jù),該攻擊就會(huì)發(fā)生。它也適用于Mac 操作系統(tǒng)。
到目前為止,竊取Cookie的第二種攻擊類(lèi)型僅在系統(tǒng)解鎖時(shí)才起作用。該方法會(huì)將流量重定向到惡意頁(yè)面,這很容易被安全解決方案檢測(cè)到并阻止。當(dāng)然,被盜的cookies只適用于那些不采用嚴(yán)格的HTTP傳輸策略的網(wǎng)站。
防護(hù)建議
我們提供了一些建議,以避免被攻擊者的輕松攻擊。
對(duì)用戶(hù)來(lái)說(shuō):
1.如果你在公共場(chǎng)合,要離開(kāi)電腦一會(huì)兒,請(qǐng)關(guān)閉電腦。
2.如果未關(guān)閉,重新進(jìn)入電腦后,檢查是電腦端口是否被插入任何額外的USB設(shè)備。如果看到立即拔出,并將其配置信息刪除。
3.你被要求通過(guò)外部閃存驅(qū)動(dòng)器,比如USB設(shè)備,分享過(guò)一些東西嗎?建議使用云端傳輸或電子郵件發(fā)送文件。
4.如果有網(wǎng)站要對(duì)你的身份進(jìn)行驗(yàn)證,請(qǐng)立即關(guān)閉該網(wǎng)站。
5.定期更改密碼,無(wú)論是對(duì)PC上還是對(duì)經(jīng)常登錄的網(wǎng)站。請(qǐng)記住,并不是所有的網(wǎng)站都會(huì)使用防護(hù)機(jī)制來(lái)防范Cookie數(shù)據(jù)被替換的,你可以使用專(zhuān)門(mén)的密碼管理軟件輕松管理密碼。
6.啟用雙因素身份驗(yàn)證,例如,請(qǐng)求登錄確認(rèn)或動(dòng)態(tài)令牌。
當(dāng)然,這一切的前提是,強(qiáng)烈建議你安裝并定期更新殺軟產(chǎn)品。
對(duì)管理員來(lái)說(shuō):
1.如果網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)允許,我們建議僅使用Kerberos協(xié)議來(lái)驗(yàn)證域用戶(hù)。不過(guò),如果需要使用LLNMR和NTLM身份驗(yàn)證來(lái)支持傳統(tǒng)系統(tǒng)的話(huà),我們建議將網(wǎng)絡(luò)分解成段,這樣即使一個(gè)網(wǎng)段受到威脅,攻擊者也無(wú)法訪(fǎng)問(wèn)整個(gè)網(wǎng)絡(luò)。
2.限制特權(quán)域用戶(hù)登錄遺留系統(tǒng),特別是域管理員。
3.域用戶(hù)密碼應(yīng)定期更改。
4.企業(yè)網(wǎng)絡(luò)中的所有計(jì)算機(jī)都配置安全保護(hù)產(chǎn)品,并定期更新。
5.為防止未經(jīng)授權(quán)的USB設(shè)備連接,請(qǐng)激活安全產(chǎn)品套件中提供的設(shè)備控制功能。
6.如果你擁有網(wǎng)絡(luò)資源,我們建議你激活HSTS(HTTP嚴(yán)格傳輸安全性),以防止從HTTPS轉(zhuǎn)換為HTTP協(xié)議并從被盜cookie中欺騙憑據(jù)。
7.如果可能,禁用監(jiān)聽(tīng)模式并激活Wi-Fi路由器和交換機(jī)中的客戶(hù)端(AP)隔離設(shè)置,禁止其監(jiān)聽(tīng)其他工作站的流量。
8.激活DHCP Snooping設(shè)置,保護(hù)企業(yè)網(wǎng)絡(luò)用戶(hù)免受假DHCP服務(wù)器的DHCP請(qǐng)求的誘導(dǎo)。
最后對(duì)于所有的人來(lái)說(shuō),不管是通過(guò)在線(xiàn)還是物理方式,你并不確定你的登錄憑據(jù)是否已經(jīng)被泄露。因此,我們強(qiáng)烈建議你在HaveIbeenPwned網(wǎng)站上檢查你的憑據(jù),以確保安全性。
原文發(fā)布時(shí)間為:2017年6月12日 本文作者:xiaohui 本文來(lái)自云棲社區(qū)合作伙伴嘶吼,了解相關(guān)信息可以關(guān)注嘶吼網(wǎng)站。 原文鏈接 創(chuàng)作挑戰(zhàn)賽新人創(chuàng)作獎(jiǎng)勵(lì)來(lái)咯,堅(jiān)持創(chuàng)作打卡瓜分現(xiàn)金大獎(jiǎng)
總結(jié)
以上是生活随笔為你收集整理的每小时50哈希——看看一个内部员工是如何摧毁整个公司网络的?的全部?jī)?nèi)容,希望文章能夠幫你解決所遇到的問(wèn)題。
- 上一篇: quartus仿真11:74138译码
- 下一篇: modprobe: FATAL: Mod