本文讲的是我是这样入侵 Hacking Team 的,在意大利间谍软件厂商 Hacking Team 的内部邮件和文档被曝光将近一年后,黑掉这家黑客公司的黑客公开了他如何入侵HT的完整细节。
该文档于上周六在网上发布,本意是为了给黑客活动人士的一份指南。但对于安全从业人员来说,则意味着当任何企业或机构面对一个技能娴熟而又目标确定的黑客而言,安全防护工作是多么的困难。
入侵HT的黑客在推特上的账户是“@GammaGroupPR”,该账户于2014年建立,当时这个账户发布了另一起入侵监控软件厂商 Gamma International 的事件。
这名牛X的黑客名为菲尼斯·费舍尔(Phineas Fisher),在他披露的细节中显示,HT的内部网络系统的确存在一些漏洞,虽然同时也有一些做的不错的安全防护措施。比如,它的大部分设备都没有暴露在互联网上,而且它保存源代码的开发服务器还处于隔离的网络分区。
但是,一个对客户开放的互联网入口,被费舍尔成功的利用,尽管这个入口需要登录证书。该访问点使用的系统是Joomla,有几个路由器,2个VPN网关和一个垃圾邮件过滤器,并无明显的漏洞。
我有三个选项:要么找一个Joomla的0day,要么找postfix(邮件传输代理)的0day,要么找嵌入式设备中的0day。最后这个选项似乎最容易些。经过两个星期的逆向工作之后,我搞了一个远程利用,root权限。
任何需要未知漏洞的攻击,对于攻击者来说都是个难题。然而,费舍尔的成功一方面显示出他是个黑客高手,另一方面也显示出路由器和VPN等嵌入式设备在安全方面的脆弱。
费舍尔并未提供任何他利用的漏洞信息,包括具体是什么设备,因此目前还没有补丁,也意味着对于其他攻击者而言,漏洞仍然有效。但值得指出的是,路由器、VPN和反垃圾邮件是许多公司连接互联网的设备组合。事实上,费舍尔在入侵HT之前,先在其他公司的互联网入口中,测试了一下他的漏洞利用程序、后门固件和Post-exploitation工具,以防止在入侵HT时造成任何错误或系统崩溃,而引发HT相关人员的注意。
这台被入侵的设备成为费舍尔进入HT内部网络的立足点,基于此他扫描了其他有漏洞或是配置问题的系统,并很快发现了一些问题。
首先是一些包含音频文件的未验证MongoDB数据库,这些音频文件来自于HT监控软件系统RCS的安装测试。然后是2个附带NAS存储设备的Synology网络,用来存储备份文件,而且通过iSCSI(Internet 小型计算机系统接口)无需验证。
于是费舍尔得以远程访问HT的文件系统和虚拟机备份,其中包括一台微软Exchange邮件服务器。而另一个备份中的Windows注册表配置单元,则为他提供了一台黑莓企业服务器的本地管理员口令。利用这个口令,费舍尔又拿到了更多的登录凭证,其中包括一个Windows域管理的证书。
在HT的内网中,费舍尔使用了像PowerShell、Meterpreter,以及许多其他的开源或是Windows自带的工具。他找到了系统管理员使用的计算机,并偷走了他们的口令,从而打开了访问其他网络的大门,其中包括一台放有HT监控系统RCS源代码的主机。
除了最初的漏洞利用和后门固件,费舍尔并未表示使用了任何其他的能够称得上恶意软件的程序。大多数他使用的工具,都是计算机上现成的系统管理工具,因此不会触发安全告警。
这就是入侵的不对称性和美丽之处。通过100个小时的工作,一个人可以搞掉一个资产上千万美元的公司数年的工作成果。入侵,给予地位低等的人斗争并胜利的机会。
费舍尔之所以入侵HT,是因为该公司的软件为那些侵犯人权的政府所使用。因此,Hacking Team 遭遇的惨痛教训,可以给那些有可能招致黑客活动人士怒火,或者拥有吸引网络间谍的知识资产的公司提个醒。