斯諾登事件已過(guò)一年有余，情報(bào)組小編翻看眾多公布的材料，挑選其中一篇2012年時(shí)候的“NSA的內(nèi)部帖子”，來(lái)看看一個(gè)NSA黑闊如何利用“大數(shù)據(jù)”拿下網(wǎng)絡(luò)系統(tǒng)管理員的攻擊思維。

“情報(bào)”是攻擊的最終目的

在NSA里面的SID(SignalsIntelligence Directorate)“信號(hào)情報(bào)部門(mén)”顧名思義他的終極目標(biāo)是產(chǎn)出情報(bào)，供決策者使用。無(wú)論什么時(shí)候，目標(biāo)使用高科技去進(jìn)行通信，NSA黑客就要想盡辦法去收集它、分析它、然后輸出報(bào)告。聽(tīng)起來(lái)是很簡(jiǎn)單，除非他已經(jīng)在目標(biāo)的通信網(wǎng)絡(luò)中。而他們其實(shí)也不是任何時(shí)候都能收集到所有的信息，特別是他們的目標(biāo)通信的網(wǎng)絡(luò)并不在他們的收集范圍內(nèi)。這個(gè)時(shí)候他們就需要一些手工的“跑腿”去幫助他們完成這個(gè)任務(wù)了。這個(gè)“跑腿”就是這篇帖子《I hunt sys admins》想介紹的“系統(tǒng)管理員”

科普廣告插播

SID，全稱(chēng)Signals Intelligence Directorate信號(hào)情報(bào)指揮部，在NSA組織架構(gòu)中代號(hào)為“S”，主要負(fù)責(zé)收集、分析、產(chǎn)生和傳播信號(hào)情報(bào)。下屬若干個(gè)分支機(jī)構(gòu)，其中就包括大名鼎鼎的TAO，具體如下：

- S1—主攻客戶關(guān)系

- S2—主要分析和制作中心，下屬若干“生產(chǎn)線”

S2A:南亞，S2B：中國(guó)與韓國(guó)，S2C：國(guó)際安全，S2E：中東和亞洲，S2F：國(guó)際犯罪，S2G：反擴(kuò)散，S2H：俄羅斯，S2I：反恐……

- S3—數(shù)據(jù)獲得，主要負(fù)責(zé)“收集”工作，下屬包括：

S31——Cryptanalysis and Exploitation Services密碼與漏洞利用服務(wù)簡(jiǎn)稱(chēng)CES

S32——Tailored Access Operations，簡(jiǎn)稱(chēng)TAO，負(fù)責(zé)黑進(jìn)外國(guó)的計(jì)算機(jī)以事實(shí)網(wǎng)絡(luò)間諜活動(dòng)，被譽(yù)為NSA“信號(hào)情報(bào)指揮部”最大最重要的部分，有1000名軍隊(duì)級(jí)和平民電腦黑客、情報(bào)分析員、targeting專(zhuān)家、電腦軟件硬件設(shè)計(jì)師，電子工程師等組成。

S33——Global Access Operations，簡(jiǎn)稱(chēng)GAO，主要負(fù)責(zé)攔截衛(wèi)星或其他國(guó)際SIGINT平臺(tái)的信號(hào)。

S34——收集戰(zhàn)略及需要中心

S35——Special Source Operations，簡(jiǎn)稱(chēng)SSO，主要負(fù)責(zé)美國(guó)國(guó)內(nèi)的收集計(jì)劃，例如大名鼎鼎的“棱鏡計(jì)劃”PRISM

網(wǎng)絡(luò)系統(tǒng)管理員是最好的“跑腿”

事實(shí)上“系統(tǒng)管理員”并不是這些NSA黑客的最后目標(biāo)，他的最后目標(biāo)是“極端分子/恐怖分子”或者官方政府要使用的這些網(wǎng)絡(luò)，而這個(gè)網(wǎng)絡(luò)是由這些“系統(tǒng)管理員”所管理的。比如他的目標(biāo)正使用的是在外國(guó)網(wǎng)絡(luò)的一個(gè)CDMA終端，很可能NSA魔爪已經(jīng)收集過(guò)目標(biāo)手機(jī)的電話、SMS短信，(PS：用帖子里的原話是說(shuō)“where we passively collect his phone call/SMS out in the wild”。從這個(gè)側(cè)面看NSA的確已經(jīng)能夠廣泛性的“被動(dòng)”采集電話通信數(shù)據(jù))但是如果真的能夠進(jìn)入到本地的基礎(chǔ)設(shè)施，從而可以任何時(shí)候更直接的監(jiān)視目標(biāo)從哪個(gè)基站進(jìn)行了連接，甚至監(jiān)視電話和數(shù)據(jù)的流量。但是通常直接以基礎(chǔ)設(shè)置為攻擊目標(biāo)是很困難的，一般需要一系列的信息以幫助開(kāi)展行動(dòng)。例如：

– 目標(biāo)網(wǎng)絡(luò)的拓?fù)?/p>

– 基礎(chǔ)設(shè)施設(shè)備的憑證(密碼)

– 目標(biāo)網(wǎng)絡(luò)的行事情況，例如只有管理員的源IP限制策略的允許接入清單

– 一些總概述的背景，例如網(wǎng)絡(luò)是如何組成的，如何配制的

所以為了拿到以上信息，還有誰(shuí)比目標(biāo)網(wǎng)絡(luò)的管理員更合適?很多時(shí)候，當(dāng)NSA黑客看到目標(biāo)出現(xiàn)在一個(gè)新的網(wǎng)絡(luò)，他的第一個(gè)目標(biāo)就是能否通過(guò)CNE(Computer Network Exploitation)攻陷網(wǎng)絡(luò)上的這個(gè)管理員。這個(gè)時(shí)候通常就依賴于“QUANTUM”來(lái)訪問(wèn)他們的帳號(hào)。當(dāng)然你可以通過(guò)釣魚(yú)郵件，但是NSA黑客認(rèn)為現(xiàn)在人們比過(guò)去5-10年已經(jīng)越來(lái)越聰明，所以這種攻擊方法已經(jīng)不再靠譜了。因此，為了使QUANTUM攻擊對(duì)這些管理員有效，NSA黑客需要一些webmail/facebook類(lèi)型的SELECTOR。

科普廣告插播：

SELECTOR：又稱(chēng)“分揀器”，說(shuō)白了就是NSA從龐大的數(shù)據(jù)流量中用于識(shí)別定位的特定目標(biāo)的“選擇子”，例如Hotmail GUIDs，Google prefIDs，Apple IMEIs,Apple UDIDs,Nokia IMEIs,Wireless MACs等等，而這個(gè)Selector又跟下面要說(shuō)到的“Quantum”密切相關(guān)。

QUANTUM：這個(gè)可跟量子計(jì)算沒(méi)有多大關(guān)系，主要是NSA的一個(gè)代號(hào)，是一種man-on-the-side的中間劫持技術(shù)，在骨干網(wǎng)中秘密放置一些服務(wù)器，通過(guò)Selector識(shí)別出被攻擊的目標(biāo)，然后利用比正常服務(wù)器更快的反應(yīng)時(shí)間，把漏洞利用代碼發(fā)向受攻擊的目標(biāo)(也就是這里說(shuō)的管理員)，使得攻擊成功。隨著近年來(lái)的發(fā)展，已經(jīng)不止最開(kāi)始2005年的“Quantuminsert”，還有2007年的QuantumBOT，2008年的QuantumDNS等等，如下圖所示：

CNE：Computer Network Exploitation，如果說(shuō)CNE是注重從目標(biāo)計(jì)算機(jī)和網(wǎng)絡(luò)中挖掘情報(bào)，那么另一個(gè)叫CAN(Computer Network Attack)的則是試圖瓦解、損害和摧毀目標(biāo)。

攻擊思路：

如果說(shuō)希望通過(guò)whois等手段，查找目標(biāo)網(wǎng)絡(luò)IP地址空間或者域名信息的注冊(cè)信息來(lái)發(fā)現(xiàn)這些管理員的個(gè)人信息。那NSA黑客的實(shí)踐表明，這個(gè)成功率并不高，因?yàn)檫@些信息通常是管理員的官方郵箱地址，這些郵件服務(wù)器就部署在目標(biāo)的網(wǎng)絡(luò)中，而NSA黑客的大殺器Quantum成功的秘訣不是用在這類(lèi)型郵件系統(tǒng)中的。他們真正想要的是管理員的個(gè)人郵箱、facebook等這樣的賬號(hào)。(因?yàn)檫@些賬號(hào)才能篩選出Selector，從而使用Quantum技術(shù)來(lái)實(shí)施對(duì)管理員的控制。這里可以使用“dumpster-dive技術(shù)”(翻管理員公司附近的垃圾箱找)或“Google搜索技術(shù)”(看看管理員是否有在什么官方的非官方的論壇中暴露這些信息)。

攻擊線路：

NSA大黑闊——〉“恐怖分子”——〉恐怖分子所在的網(wǎng)絡(luò)——〉該網(wǎng)絡(luò)管理員——〉控制網(wǎng)絡(luò)

攻擊所需條件(反向推導(dǎo))：

網(wǎng)絡(luò)管理員〈——Quantum攻擊〈——可識(shí)別出管理員的Selector〈——個(gè)人賬號(hào)如facebook〈——???

在繼續(xù)之前，先得介紹一下DISCOROUTE——NSA內(nèi)專(zhuān)門(mén)用于在telnet sessions流量中“被動(dòng)”收集和存儲(chǔ)路由器配置文件的工具。

有這樣的工具，有這樣的數(shù)據(jù)，都對(duì)入侵這個(gè)目標(biāo)網(wǎng)絡(luò)，了解它的網(wǎng)絡(luò)結(jié)構(gòu)有莫大的幫助，但是，這些配置文件似乎跟找到網(wǎng)絡(luò)管理員的個(gè)人webmail或者facebook似乎還沒(méi)有啥關(guān)系。離成功入侵這個(gè)網(wǎng)絡(luò)還遠(yuǎn)著。為此，NSA黑闊隨機(jī)選了一個(gè)肯尼亞的路由配置來(lái)做個(gè)示范。(從這個(gè)側(cè)面看，NSA還說(shuō)沒(méi)有入侵，沒(méi)有監(jiān)聽(tīng)別國(guó)的通信?拿路由器配置信息都是信手拈來(lái)的事情了。)接下來(lái)作為一名分析師，最基本的水平是基于這份配置文件做出大膽的假設(shè)：

- 我們有一臺(tái)路由器，路由器有一個(gè)管理員

- 通過(guò)DISCOROUTE工具獲得的配置文件，可以知道這個(gè)管理員通過(guò)telnet登陸到路由器

- 管理員可能不會(huì)讓任何人或者每個(gè)人都能登陸到路由器

- 管理員可能設(shè)置了ACL，只允許他自己的IP telnet到路由器中

下面看看路由器的配置文件：

從上面可以看到管理員的確設(shè)置了源地址訪問(wèn)的ACL——access-class，以及密碼屬性設(shè)置為代表密文的7，當(dāng)然這個(gè)也是很好破解的。網(wǎng)上基本上就有現(xiàn)成的工具專(zhuān)門(mén)對(duì)付這類(lèi)password 7 hash。

從下面的配置列表可以看到：

可以看到，如果想要telnet到這臺(tái)路由器，你必須要從這些(已經(jīng)打黑的)IP地址去訪問(wèn)。稍微有點(diǎn)網(wǎng)絡(luò)知識(shí)的你都可以知道，就算你知道路由器的認(rèn)證信息，就算你知道這些白名單，你都不可能偽造這些源地址去登到路由器上，因?yàn)?，你無(wú)法看到response包。所以你是必須接入到其中一臺(tái)這些IP地址，才能去登陸路由器。

讓我們回顧一下，NSA黑客的假設(shè)——一個(gè)管理員只允許他自己去telnet，而禁止了來(lái)自其他地址的登陸。因此我們可以進(jìn)一步大膽假設(shè)這是這些acl地址，就是管理這個(gè)肯尼亞網(wǎng)絡(luò)的管理員地址。

繼而，利用這些地址就可以去查找，從這些IP地址登陸hotmail，yahoo，facebook的活動(dòng)賬號(hào)。從而就能夠識(shí)別出這個(gè)肯尼亞網(wǎng)絡(luò)的管理員個(gè)人賬號(hào)信息了。把這些信息作為selector，就可以用QUANTUM技術(shù)去攻擊這些管理員，從而通過(guò)這些管理員控制網(wǎng)絡(luò)。

總結(jié)一下以上大致兩個(gè)步驟

步驟一：從DISCOROUTE中的路由器配置信息中識(shí)別有有telnet的acl信息，導(dǎo)出這些acl的公網(wǎng)IP地址。

步驟二：從ASDF(全稱(chēng)Atomic SIGINT Data Format，是NSA從被動(dòng)收集信息系統(tǒng)——PassiveSIGINT system收集的所有session信息中生成的metadata。)中，根據(jù)步驟一得到的公網(wǎng)IP關(guān)聯(lián)出活躍用戶。

參考鏈接：

http://www.wikileaks-forum.com/nsa/332/understanding-the-nsa-vocabulary/26586

http://nsa.gov1.info/dni/2014/index.html

https://firstlook.org/theintercept/article/2014/03/20/inside-nsa-secret-efforts-hunt-hack-system-administrators/

http://cryptome.org/2014/03/nsa-hunt-sysadmins.pdf