看NSA黑客如何利用大数据拿下网络系统管理员

  斯诺登事件已过一年有余,情报组小编翻看众多公布的材料,挑选其中一篇2012年时候的“NSA的内部帖子”,来看看一个NSA黑阔如何利用“大数据”拿下网络系统管理员的攻击思维。

  “情报”是攻击的最终目的

  在NSA里面的SID(SignalsIntelligence Directorate)“信号情报部门”顾名思义他的终极目标是产出情报,供决策者使用。无论什么时候,目标使用高科技去进行通信,NSA黑客就要想尽办法去收集它、分析它、然后输出报告。听起来是很简单,除非他已经在目标的通信网络中。而他们其实也不是任何时候都能收集到所有的信息,特别是他们的目标通信的网络并不在他们的收集范围内。这个时候他们就需要一些手工的“跑腿”去帮助他们完成这个任务了。这个“跑腿”就是这篇帖子《I hunt sys admins》想介绍的“系统管理员”

  科普广告插播

  SID,全称Signals Intelligence Directorate信号情报指挥部,在NSA组织架构中代号为“S”,主要负责收集、分析、产生和传播信号情报。下属若干个分支机构,其中就包括大名鼎鼎的TAO,具体如下:

  - S1—主攻客户关系

  - S2—主要分析和制作中心,下属若干“生产线”

  S2A:南亚,S2B:中国与韩国,S2C:国际安全,S2E:中东和亚洲,S2F:国际犯罪,S2G:反扩散,S2H:俄罗斯,S2I:反恐……

  - S3—数据获得,主要负责“收集”工作,下属包括:

  S31——Cryptanalysis and Exploitation Services密码与漏洞利用服务简称CES

  S32——Tailored Access Operations,简称TAO,负责黑进外国的计算机以事实网络间谍活动,被誉为NSA“信号情报指挥部”最大最重要的部分,有1000名军队级和平民电脑黑客、情报分析员、targeting专家、电脑软件硬件设计师,电子工程师等组成。

  S33——Global Access Operations,简称GAO,主要负责拦截卫星或其他国际SIGINT平台的信号。

  S34——收集战略及需要中心

  S35——Special Source Operations,简称SSO,主要负责美国国内的收集计划,例如大名鼎鼎的“棱镜计划”PRISM

  网络系统管理员是最好的“跑腿”

  事实上“系统管理员”并不是这些NSA黑客的最后目标,他的最后目标是“极端分子/恐怖分子”或者官方政府要使用的这些网络,而这个网络是由这些“系统管理员”所管理的。比如他的目标正使用的是在外国网络的一个CDMA终端,很可能NSA魔爪已经收集过目标手机的电话、SMS短信,(PS:用帖子里的原话是说“where we passively collect his phone call/SMS out in the wild”。从这个侧面看NSA的确已经能够广泛性的“被动”采集电话通信数据)但是如果真的能够进入到本地的基础设施,从而可以任何时候更直接的监视目标从哪个基站进行了连接,甚至监视电话和数据的流量。但是通常直接以基础设置为攻击目标是很困难的,一般需要一系列的信息以帮助开展行动。例如:

  – 目标网络的拓扑

  – 基础设施设备的凭证(密码)

  – 目标网络的行事情况,例如只有管理员的源IP限制策略的允许接入清单

  – 一些总概述的背景,例如网络是如何组成的,如何配制的

  所以为了拿到以上信息,还有谁比目标网络的管理员更合适?很多时候,当NSA黑客看到目标出现在一个新的网络,他的第一个目标就是能否通过CNE(Computer Network Exploitation)攻陷网络上的这个管理员。这个时候通常就依赖于“QUANTUM”来访问他们的帐号。当然你可以通过钓鱼邮件,但是NSA黑客认为现在人们比过去5-10年已经越来越聪明,所以这种攻击方法已经不再靠谱了。因此,为了使QUANTUM攻击对这些管理员有效,NSA黑客需要一些webmail/facebook类型的SELECTOR。

  科普广告插播:

  SELECTOR:又称“分拣器”,说白了就是NSA从庞大的数据流量中用于识别定位的特定目标的“选择子”,例如Hotmail GUIDs,Google prefIDs,Apple IMEIs,Apple UDIDs,Nokia IMEIs,Wireless MACs等等,而这个Selector又跟下面要说到的“Quantum”密切相关。

  QUANTUM:这个可跟量子计算没有多大关系,主要是NSA的一个代号,是一种man-on-the-side的中间劫持技术,在骨干网中秘密放置一些服务器,通过Selector识别出被攻击的目标,然后利用比正常服务器更快的反应时间,把漏洞利用代码发向受攻击的目标(也就是这里说的管理员),使得攻击成功。随着近年来的发展,已经不止最开始2005年的“Quantuminsert”,还有2007年的QuantumBOT,2008年的QuantumDNS等等,如下图所示:

  CNE:Computer Network Exploitation,如果说CNE是注重从目标计算机和网络中挖掘情报,那么另一个叫CAN(Computer Network Attack)的则是试图瓦解、损害和摧毁目标。

  攻击思路:

  如果说希望通过whois等手段,查找目标网络IP地址空间或者域名信息的注册信息来发现这些管理员的个人信息。那NSA黑客的实践表明,这个成功率并不高,因为这些信息通常是管理员的官方邮箱地址,这些邮件服务器就部署在目标的网络中,而NSA黑客的大杀器Quantum成功的秘诀不是用在这类型邮件系统中的。他们真正想要的是管理员的个人邮箱、facebook等这样的账号。(因为这些账号才能筛选出Selector,从而使用Quantum技术来实施对管理员的控制。这里可以使用“dumpster-dive技术”(翻管理员公司附近的垃圾箱找)或“Google搜索技术”(看看管理员是否有在什么官方的非官方的论坛中暴露这些信息)。

  攻击线路:

  NSA大黑阔——〉“恐怖分子”——〉恐怖分子所在的网络——〉该网络管理员——〉控制网络

  攻击所需条件(反向推导):

  网络管理员〈——Quantum攻击〈——可识别出管理员的Selector〈——个人账号如facebook〈——???

  在继续之前,先得介绍一下DISCOROUTE——NSA内专门用于在telnet sessions流量中“被动”收集和存储路由器配置文件的工具。

  有这样的工具,有这样的数据,都对入侵这个目标网络,了解它的网络结构有莫大的帮助,但是,这些配置文件似乎跟找到网络管理员的个人webmail或者facebook似乎还没有啥关系。离成功入侵这个网络还远着。为此,NSA黑阔随机选了一个肯尼亚的路由配置来做个示范。(从这个侧面看,NSA还说没有入侵,没有监听别国的通信?拿路由器配置信息都是信手拈来的事情了。)接下来作为一名分析师,最基本的水平是基于这份配置文件做出大胆的假设:

  - 我们有一台路由器,路由器有一个管理员

  - 通过DISCOROUTE工具获得的配置文件,可以知道这个管理员通过telnet登陆到路由器

  - 管理员可能不会让任何人或者每个人都能登陆到路由器

  - 管理员可能设置了ACL,只允许他自己的IP telnet到路由器中

  下面看看路由器的配置文件:

  从上面可以看到管理员的确设置了源地址访问的ACL——access-class,以及密码属性设置为代表密文的7,当然这个也是很好破解的。网上基本上就有现成的工具专门对付这类password 7 hash。

  从下面的配置列表可以看到:

  可以看到,如果想要telnet到这台路由器,你必须要从这些(已经打黑的)IP地址去访问。稍微有点网络知识的你都可以知道,就算你知道路由器的认证信息,就算你知道这些白名单,你都不可能伪造这些源地址去登到路由器上,因为,你无法看到response包。所以你是必须接入到其中一台这些IP地址,才能去登陆路由器。

  让我们回顾一下,NSA黑客的假设——一个管理员只允许他自己去telnet,而禁止了来自其他地址的登陆。因此我们可以进一步大胆假设这是这些acl地址,就是管理这个肯尼亚网络的管理员地址。

  继而,利用这些地址就可以去查找,从这些IP地址登陆hotmail,yahoo,facebook的活动账号。从而就能够识别出这个肯尼亚网络的管理员个人账号信息了。把这些信息作为selector,就可以用QUANTUM技术去攻击这些管理员,从而通过这些管理员控制网络。

  总结一下以上大致两个步骤

  步骤一:从DISCOROUTE中的路由器配置信息中识别有有telnet的acl信息,导出这些acl的公网IP地址。

  步骤二:从ASDF(全称Atomic SIGINT Data Format,是NSA从被动收集信息系统——PassiveSIGINT system收集的所有session信息中生成的metadata。)中,根据步骤一得到的公网IP关联出活跃用户。

时间: 2024-10-25 01:12:13

看NSA黑客如何利用大数据拿下网络系统管理员的相关文章

大数据时代看维也纳酒店如何利用大数据成就品牌发展

互联网技术用数据和代码连接起大千世界的人.物.场,同时,互联网技术也让曾经繁杂的数据整理工作变得简单而直白.大数据了因此被广泛地运用于各行各业.那么,对于酒店业来说,大数据又能拿来做些什么呢?今天,我们就拿中档酒店领导品牌维也纳酒店作为案例,来向大家一一解秘. 会员经济 大数据的一项重要作用就是让企业更全面.更精准地了解客户.会员,作为酒店业最核心的消费群体,大数据能做的就是让企业能够利用会员大数据了解会员的消费情况.消费习惯.以及会员喜好等等,继而利用这些数据进行会员有效管理,实现会员经济的"

看“一袋金币”如何利用大数据改变电商企业融资?

2015年,又一场电商盛宴画上了句号,淘宝1000万中小卖家.京东近10万中小卖家以及其他垂直电商平台撑起来了4万亿人民币的销售额.在历经10年的疯狂增长之后,电商竞争愈发激烈,不论是拼货源.拼运营.拼推广,还是拼产品.拼品牌,这场竞争归根结底都是在拼钱. 大型电商平台,或许可以依靠资本不断提升竞争力,可明显弱势的中小电商卖家,却很难获得低成本的资金支持,借贷难.融资贵早已成为诸多电商企业挥之不去的心头病.钱从哪里来? 融资难题 对中小型电商企业来讲,银行贷款利率低,可以降低还款成本.但是银行传

你买了什么它都知道!看超市如何利用大数据吸金

我们一直说,大数据时代,数据就像金子一样值钱;大数据是对海量数据的分析,大数据对企业多么多么重要,总说理论没意思,今天就让我们看看真实的例子.  乐购大家应该都知道吧,各大城市都有的连锁超市,大多数超市会员卡只有积分.打折的简单功能.而乐购却利用"大数据"对消费者每次采购的总量.偏爱哪类产品.产品使用频率等消费行为进行记录.分析.随着数据不断累积,消费者及其家庭的消费需求.习惯和偏好也在不断对焦中变得精准.  乐购信奉一种理念--You are what youbuy(即,你买什么你就

看ZARA亚马逊沃尔玛如何利用大数据

  大数据时代正在以我们可感知的方式到来,无数公司和创业者都纷纷跳进了这个狂欢队伍.   <连线>杂志(台湾版)最新制作了一期大数据特刊,其中涉及到三家零售公司.这三家公司很有代表性:ZARA,一家发家于线下的快时尚品牌商:亚马逊,电商巨头:沃尔玛,全球最大的传统零售企业.   这组报道从不同角度来分析它们是怎么利用大数据的:ZARA运用大数据让自己既有的快时尚模式如虎添翼:亚马逊实现基于大数据的精准营销:沃尔玛分析社交网站海量数据上显露的消费者偏好与需求.   它们在三个方向上的实践样本也许

银行业应如何利用大数据加强信息安全

11月7日,全国人大常委会表决通过<中华人民共和国网络安全法>,该法将于2017年6月1日起施行. 应该说,<网络安全法>从起草到审议,与国内外网络空间安全化.法制化的发展趋势相吻合.从全球范围看,目前已有70余个国家相继制定网络安全战略,网络安全已逐渐成为影响全球宏观经济与政治稳定的重要因素.因此,相关法规的出台势必将弥补我国参与国际网络安全治理的短板. <网络安全法>也必将对金融业特别是银行业的发展产生深远的影响.金融是经济的核心,而银行又是金融业的重中之重.银行信

原来利用大数据兑现价值才是章鱼彩票真正想做的事

众所周知,大名鼎鼎的章鱼保罗在2008欧洲杯和2010世界杯两届大赛中先后预测过14次比赛,猜对13次.成功率高达92%,堪称不折不扣的"预言帝",只可惜那只神奇的章鱼在四年前预测完南非世界杯冠军后撒手"鱼"寰--而在今年的"中国彩票行业新力量论坛研讨暨2014年世界杯彩票盛典"上,一家专业做竞彩的网站脱颖而出,一举赢得"最具潜力彩票平台"大奖,值得注意的是,这家网站恰好与"预言帝"同名,叫做章鱼彩票.也许

新加坡政府数据科学部门如何利用大数据协助诊断环线地铁故障

本文发表于新加坡政府开放数据门户站的博客,经授权由InfoQ中文站翻译并分享,本文由InfoQ社区编辑刘志勇翻译,感谢译者的辛苦奉献. 撰文: Daniel Sim | 分析: Lee Shangqian.Daniel Sim.Clarence Ng 编者按:大数据正在渗透各行各业,甚至能跟你考试能力测试.患上某种疾病的机率等非常生活化的场景应用都发生紧密的联系.今后大数据在我们的生活中就像是水和电一样,让社会整个信息质量更好.让信息利用效率更高效. 世界著名未来学家托夫勒曾说改变这个世界的力量

如何利用大数据做金融风控?| 硬创公开课

随着金融科技.科技金融等概念的热起,以及互联网金融.无金融服务群体的刚性需求下,大数据风控技术也获得越来越广泛地重视和应用.但是,如何利用大数据.机器学习等前沿技术做金融风控?如何通过海量数据与欺诈风险进行博弈?本次硬创公开课我们邀请了同盾科技首席风险官董骝焕博士为我们解答. 董骝焕是南开大学概率统计博士,他博士毕业后加入中科院,2007年加入IBM/ ILOG从事决策模型在各种业务问题中的应用.2010年至2013年先后在FICO和SAS支持金融反欺诈事业.2015年5月15日,董骝焕加入同盾

大卖场等实体零售如何利用大数据

大数据我们已经谈了很多年,但是真正能做好的没有几家,特别是实体零售在运用过程中遇到了各种各样的问题.为此,联商网新零售顾问团邀请了部分资深业内人士,组织了一场线上沙龙,讨论超市大卖场等实体零售到底如何利用大数据. 雷俊杰:保定杰出便利店董事长 微信:leizi_ming 说起今天话题,很有感慨,本人愿意就出互联网软件开发和一些新颖的科技类的事物.在跟张陈勇等交流中也学习了很多东西.大数据我认为他是一个应用技术,更是一种思维.在零售行业运用上非常的宽泛,由于我们本身是经营者不是开发者,在商业运用上