NSA泄露文件深度分析:NSA與運營商的故事
只是簡單看了工具包中的EXP,并在網上關注了一下國外對該工具包的反響。發現該EXP經過一定的修改,能完全適應2016年最新版本的系統固件,一個如此久遠的EXP能做到如此實屬不易,看來NSA的代碼能力并沒有網上某些人評價的那么差。
后續并沒有繼續關注EXP的詳細內容,而對NSA使用的滲透思路更感興趣,所以專注在最新解密的文檔上,希望能有所借鑒,提升自己的眼界。
年底趕進度,文章斷斷續續寫了好久,文章邏輯可能有跳躍,加上文檔中的英文實在是拗口,名詞簡稱過多,如有理解分析不妥的地方煩請指出,共同討論。(上篇傳送門:NSA(美國國安局)泄漏文件深度分析(PART 1))
泄漏文檔簡介
在NSA針對防火墻工具包泄漏這個敏感的時間點,@Edward Snowden泄漏的第二批NSA技術文檔。這些文檔中,包含詳細闡述NSA攻擊手段與項目簡介的PPT,甚至還包括FOXACID Server的詳細操作手冊。在其闡述FOXACID,QUANTUM等明星項目的頁面中,甚至通過簡述攻擊案例來證明該項目的價值,詳細分析之后給人相當大的震撼。與NSA泄漏的工具包相結合,使得我們能對NSA對外攻擊思路與手段的認識越來越清晰。
越清晰認識的同時,越給人震撼,世界原來這么大。
現將本人對NSA攻擊思路分析理解與感受分享如下,關于NSA工具項目架構與思路等內容會放在后續文章中。
一、案例分析
首先,講述兩個NSA與運營商的故事(文檔中的)
案例一 Pakistan 巴基斯坦
攻擊的的運營商是Pakistan National Telecommuications Corproation 巴基斯坦國家電信公司,簡稱NTC。
目標是NTC中的VIP分部,被SID(SIGNALS INTELLIGENCE DIRECTORATE,信號情報部門)標記為傳統的不可入侵的網絡(其含義應該是不能通過傳統的網絡監聽等方式收集到信息的網絡,類似于私有網絡)。該部分是用來維護Green Exchange(綠區交換機,位于安全區域)。Green Exchange房間放置著ZXJ-10(程控交換機,用于電話網絡)。這幾臺程控交換機是 巴基斯坦 Green Line 通信網絡的骨干。這個網絡專門為巴基斯坦高級官員和軍事領導提供服務。
攻擊流程簡述:
1.使用被動定位方式識別到了NTC的員工
2.評估當前識別出的與NTC 的VIP部門的聯系
3.由SIGDEV針對已知的被Selector(NSA精確識別系統)標記出來的目標,去定位其他有聯系的目標。至此成功使用被動方式定位識別到了NTC VIP部門專門運營維護Green Exchange的員工。
4.與R&T一起使用SECONDDATE 和QUANTUM項目,成功將4個新式CNE accesses植入到Green Exchange中。
結果:
成功安裝了四個全新的CNE access,成功控制VIP 部門和一個用于收集Green Exchange的基礎線路。附一張位于伊斯蘭堡的Green Exchange 房間規劃圖
至此,用于巴基斯坦高級官員和軍事領導之間交流所使用的通信網絡就被NSA完整監聽。
附注:
QUANTUM ,NSA最著名的“量子”項目,包括QUANTUMINSERT等一系列以QUANTUN開頭的項目。
SECONDATE,MinM攻擊工具。
SIGDEV,全稱為Signals Intelligence Development,有頂尖的情報分析分析人員,SIGDEV的分析人員會去發掘與現有目標相關聯的新目標與新的方法。SIGDEV的滲透方式就是盡可能的挖掘關聯信息。
關于巴基斯坦網絡被SID部門標記為傳統不可入侵的網絡,我查了下網上的相關資料,看到wikipedia的一篇文章叫做《Websites blocked in Pakistan》,得知巴基斯坦國內也處于互聯網管控。與中國的GFW相同,之所以說相同,是因為由于巴基斯坦是友好鄰邦,所以該“web filtering system”是由中國開發提,再供給兄弟國家巴基斯坦。
案例二: Lebanon 黎巴嫩
攻擊的運營商是OGERO ISP
攻擊流程簡述:
1.嘗試用SIGDV的傳統方式滲透,但是這種攻擊方式在黎巴嫩受到了較大的限制。(因為黎巴嫩跟我們有很多類似的地方,其中一個就是網絡過濾。)
2.通過TAO部門的項目,REXKWONDO,并且在獲得S2I53( Advanced Analysis Division,AAD 下屬部門,用于反恐)CT 和SIGDEV (Signals Intelligence Development) SDS CNE 在高關注度的目標上提供技術支持和分析輔助,攻破了OGERO NOC (OGERO Network Operation Center),控制了邊界網關路由器。
3.使用HAMREX,在已控制的邊界網關路由器上承載國家級流量,架設SECONDDATE MitM攻擊套件,進一步攻擊黎巴嫩的Internet。
4.使用CGDB攻破OGERO上游電信運營商Liban Telecom(黎巴嫩國有運營商)的路由器。使用由TAO和S2I5聯合開發的定制版路由器EXP和新型植入型工具HAMMERCORE與HAMMERSTEIN,成功在被控路由器上承載了Hizballah(真主黨)Unit 1800與多個CT 項目的關聯流量。
5.在成功啟用承載流量后的24小時內,就成功將流量從核心路由器隱蔽的導出到SSO( Special Source Operations 特殊來源項目,用來存儲通過某些手段收集到的所有數據) STORMBREW ,并使的S2I,S2E,SSG\NAC 小組可以通過XKeyscore去分析。
成果:
總共收集了100+MB的真主黨 Unit 1800的數據,并用SKEYSCORE進行分析。并且由S2I22確認了CADENCE詞典和XKEYSCORE 指紋被命中(確認目標的方式)。NSA SIGINT 高級分析師可以對任何一個在黎巴嫩感興趣的IP段使用XKEYSCORE的單一被動數據庫進行SIGDEV分析。
注:
Unit 1800 :“在20世紀90年代,真主黨成立一個特別部門 – Unit 1800 – 致力于支持巴勒斯坦恐怖組織和滲透自己的操作工進入以色列搜集情報,并執行以色列境內的恐怖襲擊。”
CGDB,并不能確定這個詞語的含義,只是搜索到了github叫做該名稱的項目。
從讀完這兩個故事了解到,網絡過濾系統不僅對內部滲透人員進行阻礙,同時還能對外部的滲透攻擊起到一定的阻礙作用,有助于營造安全的網絡。呵呵。但也僅僅是一點點阻礙,應對該問題的方案就是把TAO小隊拉入聯合行動小組,實施定向攻擊或者使用其他被動的攻擊定位方法。
二、小結
NSA的滲透攻擊思路,不同于我們常用的滲透測試思路,給常規的滲透測試思路很大的沖擊。因為NSA不再是針對傳統的安全漏洞,而是換了一種全新攻擊思路,去利用互聯網用戶對互聯網的信任去攻擊目標。
就像之前發表在不同平臺上文章中提及的,傳統防火墻就是靠提高攻擊者的門檻來保護內部網絡,但是如果攻擊者的攻擊能力高于防火墻,越過了這個門檻,那么在針對這類高水平攻擊者的反APT行為中,防火墻就成了拖累整個網絡安全水平的短板。并不是指其不滿足技術指標和設計需求,而是他會極大的麻痹內網安全人員及所有使用者對網絡安全狀態和安全風險的認知。因為大家過于信任防火墻。就像足球場上,總是弱隊出強門,因為門將無法去指望靠后衛或者其他隊員,只能依靠自己,在不斷的提心吊膽中鍛煉出來敏銳的嗅覺,成為鐵一般的半個后防線。但是并不是說世界級后衛沒有存在的道理,只是因為在強的人也不是永遠保險。
歸根結底,因為信任,既保護著你,也傷害著你。
現有的計算機網絡劃分被OSI劃分為七層結構,下層是上層的基礎,上層依賴著下層。除去第一層物理層,網絡的基礎是二層,數據鏈路層,數據在這個層面以數據幀的形式進行傳輸。該層由一個非常重要的協議,生成樹協議spanning-tree,將整個網絡規劃成一個個樹形結構,連在一起,形成一個無比巨大復雜的樹形結構。該協議最關鍵的地方在于根的選擇,根是整個網絡的核心。網絡發展至今近50年時間,讓這個結構越來越模糊,但是依舊沒有逃出這個結構。
網絡安全架構,根網絡結構非常的類似,選取一個可以信任的點作為根,然后按照信任程度從高到低環繞在根的周圍直到最不信任點。安全簡單的說就是一個基于信任的層級結構,不允許低低層級獲取高層級的資源。就像簡單的windows域環境,域管理員允許訪問任何域內機器,但是普通成員就不允許訪問與管理員機器,因為域管理員是大家默認信任的單位。
就像成員在域中就得信任管理員一樣,網絡中存在著許多大家意識不到的默認信任點。使用計算機(以windows為例,不考慮其他操作系統),就會默認信任windows,因為我只有用或者不用兩個選項,并且我還不能不用。雖然有越來越多的人意識到windows并非絕對安全,但你所做的也只能是在現有基礎上進行略作加固。因為沒有辦法去改變只有兩個選項的本質。
以此類推,只要用戶接入了互聯網,就默認對自身接入的運營商信任,這種信任是無條件的。VPN,加密也只是對安全加固的一個方式,但是你總會有沒有防御完善的地方,并且將這個地方完全暴露給所信任的點。
規則是無法束縛住制定規則的人
對于信任是無法防御的,如果進行防御,證明對方不被信任。人是不能活在一個沒有完全信任點的世界中的。計算機網絡更是如此,沒有絕對信任點,網絡安全無法被搭建。
所以,站在攻擊者角度,最好的攻擊方式,就是利用對方的信任去攻擊。針對這種攻擊方式沒有防御措施,只有事后如何補救。所以這是一種無法防御的攻擊方式。
利用目標的信任,設計出一個信任鏈條,然后利用該信任鏈條去攻擊目標。因為信任是木桶效應中最容易讓人忽略的短板。
以下舉幾個測試作為例子:
測試一、針對內網出口
“利用被入侵的路由器邁入內網”,wooyun
成功突破出口路由器,利用分公司人員對底層網絡的信任,直接獲取分公司內部網絡的訪問權限。
然后利用工具,直接在公司網關上架設MitM,進行中間人攻。
由于在邊界路由器上發現了分公司與主公司之間的GRE通道,成功利用主公司對分公司的信任,訪問總公司內部網絡。
具體攻擊方式完全類似于NSA的攻擊方式,監聽收集信息,投毒以進一步獲取權限。
(新的文檔今年八月份才解密,在當時是純個人思路)
測試二、類運營商攻擊
“內網滲透思路探索 之新思路的探索與驗證” ,wooyun
測試目標是一個工作組網絡,位于某個園區。將園區網絡視作一個運營商,工作做的用戶視為接入運營商的用戶。
首先使用某種手段,控制園區網絡的一個或者幾個節點。然后在該節點上部署MitM監控整個網絡的流量。收集用戶的詳細信息,由于當時收到技術及設備的限制,只收集了關于URL的信息。但也足夠分析出整個網絡的用戶行為習慣與愛好。
由于實力有限,沒有漏洞與高級遠控,只能簡單針對下載的EXE進行302劫持。出于安全考慮,在劫持的一段時間內,切斷了內網安全軟件的聯網權限(通過關閉殺軟的DNS解析)。
即使是在軟件靠半自主修改定制(開發能力有限,就略微能使用一點點Python),遠控全開源的惡劣情況下,仍然能對某個或者某個群體進行定向攻擊。
測試三、針對流量監控
環境是在測試二的網絡環境中。由于控制了流量監控設備,所以能較為清晰的分析,測試用的攻擊流量被如何分類。
使用 update.mircosoft.com 與 windowsupdate.microsoft.com 作為測試域名,powershell和meterpreter全部使用該地址進行上線,并限制了DNS解析,該域名全部解析到134.170.58.221,然后進行傳輸文件測試。流量監控設備將所有測試流量歸類到windows流量中,即使瞬時較大,也只是發送了INFO級別與NOTICE級別的日志。
測試四、劫持路有協議
在一個內網中,控制一臺路由器或者一臺服務器,利用路由協議,強制引導劫持整個OSPF網絡的流量。通過這種方式,影響到本區域外但同屬于局域網環境的路由器,包括跨國公司全球范圍內的內網路由器,將本不屬于或者理論無法接觸到的流量進行跨區域引導劫持。并且該影響方式不會引起安全報警。
測試五、BGP(理論)
通過BGP協議去引導相鄰區域或者其他區域的流量。例如在最新解密文檔中,劫持country-wide traffic的一種可能性。就像“NSA黑客團隊TAO手抖,敘利亞舉國斷網三日”,這種情況是只能由BGP產生的效果。
即使能通過BGP只能劫持某國家網絡1小時,能收集到的信息的大小也將會是天文數字。
以上四個測試,由于是一個IE RS轉型去做安全并只有極其薄弱的開發能力,在業余時間借助一個安全研究員朋友的幫助完成的測試。所以根本無法將該攻擊方式發揮出它應有的攻擊能力。并且都是在詳細文檔與案例解密之前進行的測試,沒有案例與方案進行指導。即使是這樣,仍能獲得不小的收獲,該方案的適用范圍很廣并且真的很好用。
三、后話
通過以上測試發現現有網絡結構有極其脆弱的一面,用戶和很多軟件廠商默認對底層網絡進行信任。太多的廠商和公司因為性能,易用程度和成本等原因放棄使用SSL,這是極不明智的。在國內,bing搜索與baidu搜索做對比,在界面的用戶體驗上BING就比BAIDU差很多,其根本原因為BING界面充斥著運營商插入的廣告。尤其是很多軟件使用無沙盒或者老版本的瀏覽器作為內置瀏覽器,并且官方頁面不使用SSL,這種安全風險實在是過于巨大。甚至較多的安全軟件與設備也是,極容易被這些基礎信任所迷惑與麻痹,沒有將權限最小化,信任最低化充分體現在整體的設計思路上。
有太多的廠商根本不去考慮如果基礎網絡不安全會給用戶和自身帶來何種程度的安全風險和會如何影響用戶體驗,如下所示:
甚至還有,某運營商的新功能,在使用手機移動熱點時,劫持修改所有的http流量,插入一個看似便利的流量提醒插件,如下圖:
如果有心,寫一個JS去獲取網頁信息,完全能做到手機號-IP地址-個人身份-網站帳號 這幾者的完全對應,完成對人員的定位與追蹤,威脅個人隱私及安全。
尤其是在移動端,由于本土原因,每個定制版安卓都會有自己的瀏覽器,甚至較多應用都有自己的瀏覽器,并且默認使用自身的瀏覽器去打開所有的網頁。但是在現如今的網絡環境中,如若不是手動翻墻下載使用Chrome瀏覽器去瀏覽網頁,如何能做到安全的瀏覽網頁而不擔心手機被EXP入侵。
甚至是在安全圈子,號稱擁有上萬白帽子,曾經中國頂尖的安全社區之一,又做的如何呢:
整站被google收錄的SSL頁面就一個,HTTP頁面有至少288K個,近29萬個頁面中只有一個HTTPS頁面,暫不討論利用網站內容信息進行精確識別,甚至連登陸界面都不是HTTPS,這讓白帽子的信息如何能不泄漏。一個致力于提升互聯網安全的公司,也就做到這樣,更何況其他的公司。(即使在發送過程中使用了類似MD5等加密算法,也依然不會擋住個人賬號信息泄漏。如利用類似ASA未授權訪問漏洞修改登錄頁面獲取登錄密碼。)
更高風險的情況是有的公司使用了HTTPS,但是卻是使用低驗證級別的SSL,使得即使頁面中的某個元素或者腳本被劫持替換,卻依然顯示著安全的綠色標識符。
在測試類似QUANTAMINSERT的方案是,在github上發現一個項目叫做“evilgrade”,由infobyte小組完成公開在github,一個用于更新劫持的工具。有太多的軟件不驗證軟件簽名或者下載源的簽名,甚至直接不使用SSL下載,不提供軟件簽名和特征碼。因為軟件廠商根本不認為這會造成安全風險或者說根本沒有意識到其自身的安全責任。
公民身份信息泄漏源究竟在何處,這是一個公眾不斷探尋的問題,網上流傳各大社工庫中的數據基本不會有用戶自身泄漏的數據,社工庫的來源基本都是來自各大網站、廠商、企業的數據庫。但是各大廠商、公司、企業都在指責用戶沒有將自己的個人隱私保護好,將泄漏用戶隱私的責任推給用戶,這是不合適的。
用戶給予廠商、網站、提供商信任,但是對方卻根本沒有意識到這部分信任所對應的責任。甚至個別運營商允許攻擊者使用運營商的廣告服務進行推送木馬。被公開到網上之后,只會講責任推給承包商,并且不會有任何人負擔法律責任。
假設NSA在中國買廣告推送木馬至高價值的目標中。行動暴露,究竟會不會有運營商相關人員承擔責任,依靠法律不承認的不知者無罪來為自己開脫逃避處罰?我相信結果會很有意思。
如今處于互聯網時代,人們生活離不開互聯網,我舉一個例子,支付寶,支付寶有所有用戶的消費信息,如今正在做社交,加上阿里集團的虛擬運營商,這只是大家知道的,還有支付寶通過在未授權的情況下獲取個人非淘寶快遞運單號用于推送到支付寶,以及大家不是很了解的手段獲取用戶所有信息。可以說阿里集團已經擁有完整描述一個人的能力,包括個人信息,生活軌跡,興趣愛好,信用記錄,人員關系,工作等。
但是大家有沒有想過,萬一支付寶失守了,會發生什么事情?
安全最重要的兩個詞,信任與責任。正視了這兩個詞,安全將會有質的飛躍。
