斯诺登事件已过一年有余,情报组小编翻看众多公布的材料,挑选其中一篇2012年时候的“NSA的内部帖子”,来看看一个NSA黑阔如何利用“大数据”拿下网络系统管理员的攻击思维。
“情报”是攻击的最终目的
在NSA里面的SID(SignalsIntelligence Directorate)“信号情报部门”顾名思义他的终极目标是产出情报,供决策者使用。无论什么时候,目标使用高科技去进行通信,NSA黑客就要想尽办法去收集它、分析它、然后输出报告。听起来是很简单,除非他已经在目标的通信网络中。而他们其实也不是任何时候都能收集到所有的信息,特别是他们的目标通信的网络并不在他们的收集范围内。这个时候他们就需要一些手工的“跑腿”去帮助他们完成这个任务了。这个“跑腿”就是这篇帖子《I hunt sys admins》想介绍的“系统管理员”
科普广告插播
SID,全称Signals Intelligence Directorate信号情报指挥部,在NSA组织架构中代号为“S”,主要负责收集、分析、产生和传播信号情报。下属若干个分支机构,其中就包括大名鼎鼎的TAO,具体如下:
- S1—主攻客户关系
- S2—主要分析和制作中心,下属若干“生产线”
S2A:南亚,S2B:中国与韩国,S2C:国际安全,S2E:中东和亚洲,S2F:国际犯罪,S2G:反扩散,S2H:俄罗斯,S2I:反恐……
- S3—数据获得,主要负责“收集”工作,下属包括:
S31——Cryptanalysis and Exploitation Services密码与漏洞利用服务简称CES
S32——Tailored Access Operations,简称TAO,负责黑进外国的计算机以事实网络间谍活动,被誉为NSA“信号情报指挥部”最大最重要的部分,有1000名军队级和平民电脑黑客、情报分析员、targeting专家、电脑软件硬件设计师,电子工程师等组成。
S33——Global Access Operations,简称GAO,主要负责拦截卫星或其他国际SIGINT平台的信号。
S34——收集战略及需要中心
S35——Special Source Operations,简称SSO,主要负责美国国内的收集计划,例如大名鼎鼎的“棱镜计划”PRISM
网络系统管理员是最好的“跑腿”
事实上“系统管理员”并不是这些NSA黑客的最后目标,他的最后目标是“极端分子/恐怖分子”或者官方政府要使用的这些网络,而这个网络是由这些“系统管理员”所管理的。比如他的目标正使用的是在外国网络的一个CDMA终端,很可能NSA魔爪已经收集过目标手机的电话、SMS短信,(PS:用帖子里的原话是说“where we passively collect his phone call/SMS out in the wild”。从这个侧面看NSA的确已经能够广泛性的“被动”采集电话通信数据)但是如果真的能够进入到本地的基础设施,从而可以任何时候更直接的监视目标从哪个基站进行了连接,甚至监视电话和数据的流量。但是通常直接以基础设置为攻击目标是很困难的,一般需要一系列的信息以帮助开展行动。例如:
– 目标网络的拓扑
– 基础设施设备的凭证(密码)
– 目标网络的行事情况,例如只有管理员的源IP限制策略的允许接入清单
– 一些总概述的背景,例如网络是如何组成的,如何配制的
所以为了拿到以上信息,还有谁比目标网络的管理员更合适?很多时候,当NSA黑客看到目标出现在一个新的网络,他的第一个目标就是能否通过CNE(Computer Network Exploitation)攻陷网络上的这个管理员。这个时候通常就依赖于“QUANTUM”来访问他们的帐号。当然你可以通过钓鱼邮件,但是NSA黑客认为现在人们比过去5-10年已经越来越聪明,所以这种攻击方法已经不再靠谱了。因此,为了使QUANTUM攻击对这些管理员有效,NSA黑客需要一些webmail/facebook类型的SELECTOR。
科普广告插播:
SELECTOR:又称“分拣器”,说白了就是NSA从庞大的数据流量中用于识别定位的特定目标的“选择子”,例如Hotmail GUIDs,Google prefIDs,Apple IMEIs,Apple UDIDs,Nokia IMEIs,Wireless MACs等等,而这个Selector又跟下面要说到的“Quantum”密切相关。
QUANTUM:这个可跟量子计算没有多大关系,主要是NSA的一个代号,是一种man-on-the-side的中间劫持技术,在骨干网中秘密放置一些服务器,通过Selector识别出被攻击的目标,然后利用比正常服务器更快的反应时间,把漏洞利用代码发向受攻击的目标(也就是这里说的管理员),使得攻击成功。随着近年来的发展,已经不止最开始2005年的“Quantuminsert”,还有2007年的QuantumBOT,2008年的QuantumDNS等等,如下图所示:
CNE:Computer Network Exploitation,如果说CNE是注重从目标计算机和网络中挖掘情报,那么另一个叫CAN(Computer Network Attack)的则是试图瓦解、损害和摧毁目标。
攻击思路:
如果说希望通过whois等手段,查找目标网络IP地址空间或者域名信息的注册信息来发现这些管理员的个人信息。那NSA黑客的实践表明,这个成功率并不高,因为这些信息通常是管理员的官方邮箱地址,这些邮件服务器就部署在目标的网络中,而NSA黑客的大杀器Quantum成功的秘诀不是用在这类型邮件系统中的。他们真正想要的是管理员的个人邮箱、facebook等这样的账号。(因为这些账号才能筛选出Selector,从而使用Quantum技术来实施对管理员的控制。这里可以使用“dumpster-dive技术”(翻管理员公司附近的垃圾箱找)或“Google搜索技术”(看看管理员是否有在什么官方的非官方的论坛中暴露这些信息)。
攻击线路:
NSA大黑阔——〉“恐怖分子”——〉恐怖分子所在的网络——〉该网络管理员——〉控制网络
攻击所需条件(反向推导):
网络管理员〈——Quantum攻击〈——可识别出管理员的Selector〈——个人账号如facebook〈——???
在继续之前,先得介绍一下DISCOROUTE——NSA内专门用于在telnet sessions流量中“被动”收集和存储路由器配置文件的工具。
有这样的工具,有这样的数据,都对入侵这个目标网络,了解它的网络结构有莫大的帮助,但是,这些配置文件似乎跟找到网络管理员的个人webmail或者facebook似乎还没有啥关系。离成功入侵这个网络还远着。为此,NSA黑阔随机选了一个肯尼亚的路由配置来做个示范。(从这个侧面看,NSA还说没有入侵,没有监听别国的通信?拿路由器配置信息都是信手拈来的事情了。)接下来作为一名分析师,最基本的水平是基于这份配置文件做出大胆的假设:
- 我们有一台路由器,路由器有一个管理员
- 通过DISCOROUTE工具获得的配置文件,可以知道这个管理员通过telnet登陆到路由器
- 管理员可能不会让任何人或者每个人都能登陆到路由器
- 管理员可能设置了ACL,只允许他自己的IP telnet到路由器中
下面看看路由器的配置文件:
从上面可以看到管理员的确设置了源地址访问的ACL——access-class,以及密码属性设置为代表密文的7,当然这个也是很好破解的。网上基本上就有现成的工具专门对付这类password 7 hash。
从下面的配置列表可以看到:
可以看到,如果想要telnet到这台路由器,你必须要从这些(已经打黑的)IP地址去访问。稍微有点网络知识的你都可以知道,就算你知道路由器的认证信息,就算你知道这些白名单,你都不可能伪造这些源地址去登到路由器上,因为,你无法看到response包。所以你是必须接入到其中一台这些IP地址,才能去登陆路由器。
让我们回顾一下,NSA黑客的假设——一个管理员只允许他自己去telnet,而禁止了来自其他地址的登陆。因此我们可以进一步大胆假设这是这些acl地址,就是管理这个肯尼亚网络的管理员地址。
继而,利用这些地址就可以去查找,从这些IP地址登陆hotmail,yahoo,facebook的活动账号。从而就能够识别出这个肯尼亚网络的管理员个人账号信息了。把这些信息作为selector,就可以用QUANTUM技术去攻击这些管理员,从而通过这些管理员控制网络。
总结一下以上大致两个步骤
步骤一:从DISCOROUTE中的路由器配置信息中识别有有telnet的acl信息,导出这些acl的公网IP地址。
步骤二:从ASDF(全称Atomic SIGINT Data Format,是NSA从被动收集信息系统——PassiveSIGINT system收集的所有session信息中生成的metadata。)中,根据步骤一得到的公网IP关联出活跃用户。
参考链接:
http://www.wikileaks-forum.com/nsa/332/understanding-the-nsa-vocabulary/26586
http://nsa.gov1.info/dni/2014/index.html
https://firstlook.org/theintercept/article/2014/03/20/inside-nsa-secret-efforts-hunt-hack-system-administrators/
http://cryptome.org/2014/03/nsa-hunt-sysadmins.pdf