黑暗中的影子-網(wǎng)絡(luò)篇
編者注:本文摘自于即將出版的黑客新書《暗戰(zhàn):數(shù)字世界之戰(zhàn)》第一章 黑暗中的影子 網(wǎng)絡(luò)篇,前京東安全經(jīng)理朱磊轉(zhuǎn)型之作,從業(yè)十余年經(jīng)歷自述。
黑夜給了我黑色的眼睛,我卻用它來翻白眼。如果你用這句話做過論壇簽名,你是一位資歷還算比較老的黑客,或者稱之為信息安全愛好者更為貼切一些。那還是一個在論壇中討論各類遠程溢出、弱口令掃描,論壇中還會有一個板塊公布讓大家練手的弱口令肉雞的開放時期,使用著流光和灰鴿子,偶爾自己電腦還中個震蕩波病毒手足無措看著電腦陷入一次次重啟倒計時的年代。
在信息安全發(fā)展的每一個階段都有很多歷害的人出現(xiàn),工具越寫越強大,攻擊手法越來越風(fēng)騷,在信息安全這個行當(dāng)里浪蕩了十多年讓我了解到人外有人,山外有山,高人外還有高人,讓我養(yǎng)成了低調(diào)的性格,我從來不炫耀自己知識淵博,經(jīng)驗豐富,代碼風(fēng)騷,工作效率恐怖,各類開發(fā)語言無不精通,熟練掌握各種攻擊技巧,日出而息,日落耕作,默默苦練技能20余年,一天只睡3小時,且身體強壯。可連續(xù)黑站100小時不休息,同時與不支持我黑站事業(yè)的所有人斷絕關(guān)系,如果你讀到這里感覺頭暈?zāi)垦#幸环N想發(fā)泄怒火關(guān)電腦砸鍵盤的沖動,那么恭喜你,這是正常的情緒,如果你讀完這一小節(jié)文字感覺很舒服、猶如打通了任督二脈,那么也恭喜你,你該吃藥了。
在甲方公司工作多年經(jīng)歷過很多有意思的攻擊事件,也嘗試過一些有意思的手法,至少在當(dāng)時讓很多同事哭笑不得關(guān)機砸鍵盤怒罵大dengjiu。
早些年間在企業(yè)內(nèi)做信息安全主要的工作是做滲透測試,挖代碼漏洞,做安全培訓(xùn),制定各類標(biāo)志性的制度和規(guī)范。滲透測試一定是擺在第一位開山斧。至少在內(nèi)部發(fā)現(xiàn)一堆無法衡量損失的看上去很歷害的漏洞可以向領(lǐng)導(dǎo)邀功,證明自己是有價值的小阿三。
內(nèi)部環(huán)境的管理混亂導(dǎo)致的安全隱患是通用的表現(xiàn),到現(xiàn)在為止此類問題還存在與很多公司中。IP管理混亂、弱口令、低版本應(yīng)用程序、未經(jīng)安全測試的各類運維支撐系統(tǒng),依然是常見的內(nèi)網(wǎng)問題。
喜愛故作神秘的我喜歡在出其不意的時間使用一種風(fēng)騷的方式進行企業(yè)內(nèi)網(wǎng)的滲透測試,滲透測試開始時我只會郵件通知我的領(lǐng)導(dǎo),我將要開始做這件事情,同時,會在中午12點準(zhǔn)時開始動手,因為這個時候大家都去吃午飯了,很多人是沒有鎖屏習(xí)慣的,挨個給PC機上建一個管理員賬號并開啟遠程終端。同時,為了了解大家使用密碼的習(xí)慣,萌發(fā)了一個更風(fēng)騷的想法,通過ARP欺騙的方式對大家的密碼進行一次統(tǒng)一的收集,一個萬劫不復(fù)歷史罪人的舉動。。。。。
在這個不冷靜的想法之下我做了一件不冷靜的事情,我沒有判斷當(dāng)時的網(wǎng)絡(luò)環(huán)境是否支持混雜模式,直接開啟了ARPSNIFFER,結(jié)果導(dǎo)致辦公區(qū)集體斷網(wǎng)。幸好大家的慣性思維解救了我,在斷網(wǎng)的那一刻,只聽網(wǎng)管大喊,內(nèi)網(wǎng)出來ARP病毒了,大家快殺毒。哈哈。我快速停掉ARP攻擊,網(wǎng)絡(luò)恢復(fù)正常,大家沒有走心事情也就過去了。
看來只能換思路了,ARP SNIFFER有兩種使用場景,一是以自己做為主角對網(wǎng)關(guān)進行欺騙,二是只監(jiān)聽本機數(shù)據(jù)包。在嘗試欺騙大家讓自己成為網(wǎng)關(guān)失敗后,只能用第二種方式了,要使用本機監(jiān)聽有一個條件,就是要獲得主機的權(quán)限。考慮到企業(yè)內(nèi)部通常為了賬號統(tǒng)一,ERP/OA/MAIL等內(nèi)部系統(tǒng)都采用統(tǒng)一認證。只要拿下其中一臺主機的權(quán)限就大功告成了。
在經(jīng)過一番嘗試之后,我將目標(biāo)選為郵件服務(wù)器,企業(yè)內(nèi)部為了最大化的利用資源,通過內(nèi)部系統(tǒng)會將好幾個應(yīng)用放在一起共用一臺服務(wù)器,郵件服務(wù)器就是此類。使用MS SQL弱口令獲得了系統(tǒng)的管理員權(quán)限,并成功在服務(wù)器上部署了HTTP SNIFFER。監(jiān)聽FTP、HTTP、25。盯了一會屏幕發(fā)現(xiàn)這種守株待兔的方式獲取密碼的效率并不高。想要在短時間內(nèi)收集最多的密碼還需要一個方式。
此時隔壁的小明一句閑聊讓我神清氣爽起來。今天是發(fā)工資的日子,公司有一個慣例,HR的系統(tǒng)會在發(fā)工資的日子給大家郵件工資明細。
小明一句失望的“工資還沒到賬”敲醒了我的腦殼。于是我在公司的內(nèi)部通訊平臺RTX中的公司大群里喊了一句“工資到賬了”秒秒鐘后SNIFFER的郵件服務(wù)器上快速的翻頁很短的時間內(nèi)得到了很多人的密碼。在小明莫名奇妙的眼神看向我時,我得意的甩還一個浪蕩的眼神。眼角的余光還看見小明小盆友默默的也點了一次收件按鈕,在他惡恨恨的一句“騙子”聲中我得意的看著自己的收獲。
也在這一次的測試過程中我不止收獲了大部分人的密碼,同時,也收獲了公司第一期信息安全公開課的授權(quán)以及近百名首批聽課的學(xué)員。
解說:ARP攻擊原理
攻擊者向電腦A發(fā)送一個偽造的ARP響應(yīng),告訴電腦A:電腦B的IP地址192.168.0.2對應(yīng)的MAC地址是00-aa-00-62-c6-03,電腦A信以為真,將這個對應(yīng)關(guān)系寫入自己的ARP緩存表中,以后發(fā)送數(shù)據(jù)時,將本應(yīng)該發(fā)往電腦B的數(shù)據(jù)發(fā)送給了攻擊者。同樣的,攻擊者向電腦B也發(fā)送一個偽造的ARP響應(yīng),告訴電腦B:電腦A的IP地址192.168.0.1對應(yīng)的MAC地址是00-aa-00-62-c6-03,電腦B也會將數(shù)據(jù)發(fā)送給攻擊者。
至此攻擊者就控制了電腦A和電腦B之間的流量,他可以選擇被動地監(jiān)測流量,獲取密碼和其他涉密信息,也可以偽造數(shù)據(jù),改變電腦A和電腦B之間的通信內(nèi)容。
如果你覺得這種解釋太難懂,那么我用一個更簡單的例子告訴你ARP攻擊 是怎樣的。
我是隔壁老王,我欠隔壁小王500塊錢,然后我今天發(fā)工資了去還錢,當(dāng)我敲開小王家門的時候發(fā)現(xiàn)小王媳婦穿著睡袍那樣子特別滴性感,于是我跟小王老婆說,我給你500塊錢,你給我看一眼裸體,小王老婆答應(yīng)了,讓我看了她的裸體然后我把500塊錢,她十分開心收下錢關(guān)上門,成功欺騙并獲得信任。
點評
企業(yè)內(nèi)網(wǎng)猶如受圍墻保護的居民,大家總認為與外界隔離又受到各種網(wǎng)絡(luò)限制和防護,使用弱口令、低版本的運維支撐系統(tǒng)不會有任何問題,這個想法是十分糟糕的,既然今天的話題中得到了ARP攻擊,那針對ARP的防護辦法是內(nèi)部建立規(guī)范的IP管理制度,針對IP地址進行登記管理,同時,在交換機中進行MAC綁定,關(guān)閉交換機的混雜模式。
1.內(nèi)部建立規(guī)范的IP管理制度,針對IP地址進行登記管理。
2.在交換機中進行MAC綁定。
3.關(guān)閉交換機的混雜模式。
