只是簡單看了工具包中的EXP，并在網(wǎng)上關(guān)注了一下國外對該工具包的反響。發(fā)現(xiàn)該EXP經(jīng)過一定的修改，能完全適應(yīng)2016年最新版本的系統(tǒng)固件，一個如此久遠(yuǎn)的EXP能做到如此實(shí)屬不易，看來NSA的代碼能力并沒有網(wǎng)上某些人評價的那么差。

后續(xù)并沒有繼續(xù)關(guān)注EXP的詳細(xì)內(nèi)容，而對NSA使用的滲透思路更感興趣，所以專注在最新解密的文檔上，希望能有所借鑒，提升自己的眼界。

年底趕進(jìn)度，文章斷斷續(xù)續(xù)寫了好久，文章邏輯可能有跳躍，加上文檔中的英文實(shí)在是拗口，名詞簡稱過多，如有理解分析不妥的地方煩請指出，共同討論。(上篇傳送門：NSA(美國國安局)泄漏文件深度分析(PART 1))

泄漏文檔簡介

在NSA針對防火墻工具包泄漏這個敏感的時間點(diǎn)，@Edward Snowden泄漏的第二批NSA技術(shù)文檔。這些文檔中，包含詳細(xì)闡述NSA攻擊手段與項(xiàng)目簡介的PPT，甚至還包括FOXACID Server的詳細(xì)操作手冊。在其闡述FOXACID，QUANTUM等明星項(xiàng)目的頁面中，甚至通過簡述攻擊案例來證明該項(xiàng)目的價值，詳細(xì)分析之后給人相當(dāng)大的震撼。與NSA泄漏的工具包相結(jié)合，使得我們能對NSA對外攻擊思路與手段的認(rèn)識越來越清晰。

越清晰認(rèn)識的同時，越給人震撼，世界原來這么大。

現(xiàn)將本人對NSA攻擊思路分析理解與感受分享如下，關(guān)于NSA工具項(xiàng)目架構(gòu)與思路等內(nèi)容會放在后續(xù)文章中。

一、案例分析

首先，講述兩個NSA與運(yùn)營商的故事(文檔中的)

案例一 Pakistan 巴基斯坦

攻擊的的運(yùn)營商是Pakistan National Telecommuications Corproation 巴基斯坦國家電信公司，簡稱NTC。

目標(biāo)是NTC中的VIP分部，被SID(SIGNALS INTELLIGENCE DIRECTORATE，信號情報(bào)部門)標(biāo)記為傳統(tǒng)的不可入侵的網(wǎng)絡(luò)(其含義應(yīng)該是不能通過傳統(tǒng)的網(wǎng)絡(luò)監(jiān)聽等方式收集到信息的網(wǎng)絡(luò)，類似于私有網(wǎng)絡(luò))。該部分是用來維護(hù)Green Exchange(綠區(qū)交換機(jī)，位于安全區(qū)域)。Green Exchange房間放置著ZXJ-10(程控交換機(jī)，用于電話網(wǎng)絡(luò))。這幾臺程控交換機(jī)是 巴基斯坦 Green Line 通信網(wǎng)絡(luò)的骨干。這個網(wǎng)絡(luò)專門為巴基斯坦高級官員和軍事領(lǐng)導(dǎo)提供服務(wù)。

攻擊流程簡述：

1.使用被動定位方式識別到了NTC的員工

2.評估當(dāng)前識別出的與NTC 的VIP部門的聯(lián)系

3.由SIGDEV針對已知的被Selector(NSA精確識別系統(tǒng))標(biāo)記出來的目標(biāo)，去定位其他有聯(lián)系的目標(biāo)。至此成功使用被動方式定位識別到了NTC VIP部門專門運(yùn)營維護(hù)Green Exchange的員工。

4.與R&T一起使用SECONDDATE 和QUANTUM項(xiàng)目，成功將4個新式CNE accesses植入到Green Exchange中。

結(jié)果：

成功安裝了四個全新的CNE access，成功控制VIP 部門和一個用于收集Green Exchange的基礎(chǔ)線路。附一張位于伊斯蘭堡的Green Exchange 房間規(guī)劃圖

 至此，用于巴基斯坦高級官員和軍事領(lǐng)導(dǎo)之間交流所使用的通信網(wǎng)絡(luò)就被NSA完整監(jiān)聽。

附注：

QUANTUM ，NSA最著名的“量子”項(xiàng)目，包括QUANTUMINSERT等一系列以QUANTUN開頭的項(xiàng)目。

SECONDATE，MinM攻擊工具。

SIGDEV，全稱為Signals Intelligence Development，有頂尖的情報(bào)分析分析人員，SIGDEV的分析人員會去發(fā)掘與現(xiàn)有目標(biāo)相關(guān)聯(lián)的新目標(biāo)與新的方法。SIGDEV的滲透方式就是盡可能的挖掘關(guān)聯(lián)信息。

關(guān)于巴基斯坦網(wǎng)絡(luò)被SID部門標(biāo)記為傳統(tǒng)不可入侵的網(wǎng)絡(luò)，我查了下網(wǎng)上的相關(guān)資料，看到wikipedia的一篇文章叫做《Websites blocked in Pakistan》，得知巴基斯坦國內(nèi)也處于互聯(lián)網(wǎng)管控。與中國的GFW相同，之所以說相同，是因?yàn)橛捎诎突固故怯押绵彴?，所以?ldquo;web filtering system”是由中國開發(fā)提，再供給兄弟國家巴基斯坦。

案例二： Lebanon 黎巴嫩

攻擊的運(yùn)營商是OGERO ISP

攻擊流程簡述：

1.嘗試用SIGDV的傳統(tǒng)方式滲透，但是這種攻擊方式在黎巴嫩受到了較大的限制。(因?yàn)槔璋湍鄹覀冇泻芏囝愃频牡胤?，其中一個就是網(wǎng)絡(luò)過濾。)

2.通過TAO部門的項(xiàng)目，REXKWONDO，并且在獲得S2I53( Advanced Analysis Division，AAD 下屬部門，用于反恐)CT 和SIGDEV (Signals Intelligence Development) SDS CNE 在高關(guān)注度的目標(biāo)上提供技術(shù)支持和分析輔助，攻破了OGERO NOC (OGERO Network Operation Center)，控制了邊界網(wǎng)關(guān)路由器。

3.使用HAMREX，在已控制的邊界網(wǎng)關(guān)路由器上承載國家級流量，架設(shè)SECONDDATE MitM攻擊套件，進(jìn)一步攻擊黎巴嫩的Internet。

4.使用CGDB攻破OGERO上游電信運(yùn)營商Liban Telecom(黎巴嫩國有運(yùn)營商)的路由器。使用由TAO和S2I5聯(lián)合開發(fā)的定制版路由器EXP和新型植入型工具HAMMERCORE與HAMMERSTEIN，成功在被控路由器上承載了Hizballah(真主黨)Unit 1800與多個CT 項(xiàng)目的關(guān)聯(lián)流量。

5.在成功啟用承載流量后的24小時內(nèi)，就成功將流量從核心路由器隱蔽的導(dǎo)出到SSO( Special Source Operations 特殊來源項(xiàng)目，用來存儲通過某些手段收集到的所有數(shù)據(jù)) STORMBREW ，并使的S2I，S2E，SSG\NAC 小組可以通過XKeyscore去分析。

成果：

總共收集了100+MB的真主黨 Unit 1800的數(shù)據(jù)，并用SKEYSCORE進(jìn)行分析。并且由S2I22確認(rèn)了CADENCE詞典和XKEYSCORE 指紋被命中(確認(rèn)目標(biāo)的方式)。NSA SIGINT 高級分析師可以對任何一個在黎巴嫩感興趣的IP段使用XKEYSCORE的單一被動數(shù)據(jù)庫進(jìn)行SIGDEV分析。

注：

Unit 1800 ：“在20世紀(jì)90年代，真主黨成立一個特別部門 – Unit 1800 – 致力于支持巴勒斯坦恐怖組織和滲透自己的操作工進(jìn)入以色列搜集情報(bào)，并執(zhí)行以色列境內(nèi)的恐怖襲擊。”

CGDB，并不能確定這個詞語的含義，只是搜索到了github叫做該名稱的項(xiàng)目。

從讀完這兩個故事了解到，網(wǎng)絡(luò)過濾系統(tǒng)不僅對內(nèi)部滲透人員進(jìn)行阻礙，同時還能對外部的滲透攻擊起到一定的阻礙作用，有助于營造安全的網(wǎng)絡(luò)。呵呵。但也僅僅是一點(diǎn)點(diǎn)阻礙，應(yīng)對該問題的方案就是把TAO小隊(duì)拉入聯(lián)合行動小組，實(shí)施定向攻擊或者使用其他被動的攻擊定位方法。

二、小結(jié)

NSA的滲透攻擊思路，不同于我們常用的滲透測試思路，給常規(guī)的滲透測試思路很大的沖擊。因?yàn)镹SA不再是針對傳統(tǒng)的安全漏洞，而是換了一種全新攻擊思路，去利用互聯(lián)網(wǎng)用戶對互聯(lián)網(wǎng)的信任去攻擊目標(biāo)。

就像之前發(fā)表在不同平臺上文章中提及的，傳統(tǒng)防火墻就是靠提高攻擊者的門檻來保護(hù)內(nèi)部網(wǎng)絡(luò)，但是如果攻擊者的攻擊能力高于防火墻，越過了這個門檻，那么在針對這類高水平攻擊者的反APT行為中，防火墻就成了拖累整個網(wǎng)絡(luò)安全水平的短板。并不是指其不滿足技術(shù)指標(biāo)和設(shè)計(jì)需求，而是他會極大的麻痹內(nèi)網(wǎng)安全人員及所有使用者對網(wǎng)絡(luò)安全狀態(tài)和安全風(fēng)險的認(rèn)知。因?yàn)榇蠹疫^于信任防火墻。就像足球場上，總是弱隊(duì)出強(qiáng)門，因?yàn)殚T將無法去指望靠后衛(wèi)或者其他隊(duì)員，只能依靠自己，在不斷的提心吊膽中鍛煉出來敏銳的嗅覺，成為鐵一般的半個后防線。但是并不是說世界級后衛(wèi)沒有存在的道理，只是因?yàn)樵趶?qiáng)的人也不是永遠(yuǎn)保險。

歸根結(jié)底，因?yàn)樾湃危缺Ｗo(hù)著你，也傷害著你。

現(xiàn)有的計(jì)算機(jī)網(wǎng)絡(luò)劃分被OSI劃分為七層結(jié)構(gòu)，下層是上層的基礎(chǔ)，上層依賴著下層。除去第一層物理層，網(wǎng)絡(luò)的基礎(chǔ)是二層，數(shù)據(jù)鏈路層，數(shù)據(jù)在這個層面以數(shù)據(jù)幀的形式進(jìn)行傳輸。該層由一個非常重要的協(xié)議，生成樹協(xié)議spanning-tree，將整個網(wǎng)絡(luò)規(guī)劃成一個個樹形結(jié)構(gòu)，連在一起，形成一個無比巨大復(fù)雜的樹形結(jié)構(gòu)。該協(xié)議最關(guān)鍵的地方在于根的選擇，根是整個網(wǎng)絡(luò)的核心。網(wǎng)絡(luò)發(fā)展至今近50年時間，讓這個結(jié)構(gòu)越來越模糊，但是依舊沒有逃出這個結(jié)構(gòu)。

網(wǎng)絡(luò)安全架構(gòu)，根網(wǎng)絡(luò)結(jié)構(gòu)非常的類似，選取一個可以信任的點(diǎn)作為根，然后按照信任程度從高到低環(huán)繞在根的周圍直到最不信任點(diǎn)。安全簡單的說就是一個基于信任的層級結(jié)構(gòu)，不允許低低層級獲取高層級的資源。就像簡單的windows域環(huán)境，域管理員允許訪問任何域內(nèi)機(jī)器，但是普通成員就不允許訪問與管理員機(jī)器，因?yàn)橛蚬芾韱T是大家默認(rèn)信任的單位。

就像成員在域中就得信任管理員一樣，網(wǎng)絡(luò)中存在著許多大家意識不到的默認(rèn)信任點(diǎn)。使用計(jì)算機(jī)(以windows為例，不考慮其他操作系統(tǒng))，就會默認(rèn)信任windows，因?yàn)槲抑挥杏没蛘卟挥脙蓚€選項(xiàng)，并且我還不能不用。雖然有越來越多的人意識到windows并非絕對安全，但你所做的也只能是在現(xiàn)有基礎(chǔ)上進(jìn)行略作加固。因?yàn)闆]有辦法去改變只有兩個選項(xiàng)的本質(zhì)。

以此類推，只要用戶接入了互聯(lián)網(wǎng)，就默認(rèn)對自身接入的運(yùn)營商信任，這種信任是無條件的。VPN，加密也只是對安全加固的一個方式，但是你總會有沒有防御完善的地方，并且將這個地方完全暴露給所信任的點(diǎn)。

規(guī)則是無法束縛住制定規(guī)則的人

對于信任是無法防御的，如果進(jìn)行防御，證明對方不被信任。人是不能活在一個沒有完全信任點(diǎn)的世界中的。計(jì)算機(jī)網(wǎng)絡(luò)更是如此，沒有絕對信任點(diǎn)，網(wǎng)絡(luò)安全無法被搭建。

所以，站在攻擊者角度，最好的攻擊方式，就是利用對方的信任去攻擊。針對這種攻擊方式?jīng)]有防御措施，只有事后如何補(bǔ)救。所以這是一種無法防御的攻擊方式。

利用目標(biāo)的信任，設(shè)計(jì)出一個信任鏈條，然后利用該信任鏈條去攻擊目標(biāo)。因?yàn)樾湃问悄就靶?yīng)中最容易讓人忽略的短板。

以下舉幾個測試作為例子：

測試一、針對內(nèi)網(wǎng)出口

“利用被入侵的路由器邁入內(nèi)網(wǎng)”，wooyun

成功突破出口路由器，利用分公司人員對底層網(wǎng)絡(luò)的信任，直接獲取分公司內(nèi)部網(wǎng)絡(luò)的訪問權(quán)限。

然后利用工具，直接在公司網(wǎng)關(guān)上架設(shè)MitM，進(jìn)行中間人攻。

由于在邊界路由器上發(fā)現(xiàn)了分公司與主公司之間的GRE通道，成功利用主公司對分公司的信任，訪問總公司內(nèi)部網(wǎng)絡(luò)。

具體攻擊方式完全類似于NSA的攻擊方式，監(jiān)聽收集信息，投毒以進(jìn)一步獲取權(quán)限。

(新的文檔今年八月份才解密，在當(dāng)時是純個人思路)

測試二、類運(yùn)營商攻擊

“內(nèi)網(wǎng)滲透思路探索 之新思路的探索與驗(yàn)證” ，wooyun

測試目標(biāo)是一個工作組網(wǎng)絡(luò)，位于某個園區(qū)。將園區(qū)網(wǎng)絡(luò)視作一個運(yùn)營商，工作做的用戶視為接入運(yùn)營商的用戶。

首先使用某種手段，控制園區(qū)網(wǎng)絡(luò)的一個或者幾個節(jié)點(diǎn)。然后在該節(jié)點(diǎn)上部署MitM監(jiān)控整個網(wǎng)絡(luò)的流量。收集用戶的詳細(xì)信息，由于當(dāng)時收到技術(shù)及設(shè)備的限制，只收集了關(guān)于URL的信息。但也足夠分析出整個網(wǎng)絡(luò)的用戶行為習(xí)慣與愛好。

由于實(shí)力有限，沒有漏洞與高級遠(yuǎn)控，只能簡單針對下載的EXE進(jìn)行302劫持。出于安全考慮，在劫持的一段時間內(nèi)，切斷了內(nèi)網(wǎng)安全軟件的聯(lián)網(wǎng)權(quán)限(通過關(guān)閉殺軟的DNS解析)。

即使是在軟件靠半自主修改定制(開發(fā)能力有限，就略微能使用一點(diǎn)點(diǎn)Python)，遠(yuǎn)控全開源的惡劣情況下，仍然能對某個或者某個群體進(jìn)行定向攻擊。

測試三、針對流量監(jiān)控

環(huán)境是在測試二的網(wǎng)絡(luò)環(huán)境中。由于控制了流量監(jiān)控設(shè)備，所以能較為清晰的分析，測試用的攻擊流量被如何分類。

使用 update.mircosoft.com 與 windowsupdate.microsoft.com 作為測試域名，powershell和meterpreter全部使用該地址進(jìn)行上線，并限制了DNS解析，該域名全部解析到134.170.58.221，然后進(jìn)行傳輸文件測試。流量監(jiān)控設(shè)備將所有測試流量歸類到windows流量中，即使瞬時較大，也只是發(fā)送了INFO級別與NOTICE級別的日志。

測試四、劫持路有協(xié)議

在一個內(nèi)網(wǎng)中，控制一臺路由器或者一臺服務(wù)器，利用路由協(xié)議，強(qiáng)制引導(dǎo)劫持整個OSPF網(wǎng)絡(luò)的流量。通過這種方式，影響到本區(qū)域外但同屬于局域網(wǎng)環(huán)境的路由器，包括跨國公司全球范圍內(nèi)的內(nèi)網(wǎng)路由器，將本不屬于或者理論無法接觸到的流量進(jìn)行跨區(qū)域引導(dǎo)劫持。并且該影響方式不會引起安全報(bào)警。

測試五、BGP(理論)

通過BGP協(xié)議去引導(dǎo)相鄰區(qū)域或者其他區(qū)域的流量。例如在最新解密文檔中，劫持country-wide traffic的一種可能性。就像“NSA黑客團(tuán)隊(duì)TAO手抖，敘利亞舉國斷網(wǎng)三日”，這種情況是只能由BGP產(chǎn)生的效果。

即使能通過BGP只能劫持某國家網(wǎng)絡(luò)1小時，能收集到的信息的大小也將會是天文數(shù)字。

以上四個測試，由于是一個IE RS轉(zhuǎn)型去做安全并只有極其薄弱的開發(fā)能力，在業(yè)余時間借助一個安全研究員朋友的幫助完成的測試。所以根本無法將該攻擊方式發(fā)揮出它應(yīng)有的攻擊能力。并且都是在詳細(xì)文檔與案例解密之前進(jìn)行的測試，沒有案例與方案進(jìn)行指導(dǎo)。即使是這樣，仍能獲得不小的收獲，該方案的適用范圍很廣并且真的很好用。

三、后話

通過以上測試發(fā)現(xiàn)現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)有極其脆弱的一面，用戶和很多軟件廠商默認(rèn)對底層網(wǎng)絡(luò)進(jìn)行信任。太多的廠商和公司因?yàn)樾阅?，易用程度和成本等原因放棄使用SSL，這是極不明智的。在國內(nèi)，bing搜索與baidu搜索做對比，在界面的用戶體驗(yàn)上BING就比BAIDU差很多，其根本原因?yàn)锽ING界面充斥著運(yùn)營商插入的廣告。尤其是很多軟件使用無沙盒或者老版本的瀏覽器作為內(nèi)置瀏覽器，并且官方頁面不使用SSL，這種安全風(fēng)險實(shí)在是過于巨大。甚至較多的安全軟件與設(shè)備也是，極容易被這些基礎(chǔ)信任所迷惑與麻痹，沒有將權(quán)限最小化，信任最低化充分體現(xiàn)在整體的設(shè)計(jì)思路上。

有太多的廠商根本不去考慮如果基礎(chǔ)網(wǎng)絡(luò)不安全會給用戶和自身帶來何種程度的安全風(fēng)險和會如何影響用戶體驗(yàn)，如下所示：

甚至還有，某運(yùn)營商的新功能，在使用手機(jī)移動熱點(diǎn)時，劫持修改所有的http流量，插入一個看似便利的流量提醒插件，如下圖：

 [[172642]]

如果有心，寫一個JS去獲取網(wǎng)頁信息，完全能做到手機(jī)號-IP地址-個人身份-網(wǎng)站帳號 這幾者的完全對應(yīng)，完成對人員的定位與追蹤，威脅個人隱私及安全。

尤其是在移動端，由于本土原因，每個定制版安卓都會有自己的瀏覽器，甚至較多應(yīng)用都有自己的瀏覽器，并且默認(rèn)使用自身的瀏覽器去打開所有的網(wǎng)頁。但是在現(xiàn)如今的網(wǎng)絡(luò)環(huán)境中，如若不是手動翻墻下載使用Chrome瀏覽器去瀏覽網(wǎng)頁，如何能做到安全的瀏覽網(wǎng)頁而不擔(dān)心手機(jī)被EXP入侵。

甚至是在安全圈子，號稱擁有上萬白帽子，曾經(jīng)中國頂尖的安全社區(qū)之一，又做的如何呢：

整站被google收錄的SSL頁面就一個，HTTP頁面有至少288K個，近29萬個頁面中只有一個HTTPS頁面，暫不討論利用網(wǎng)站內(nèi)容信息進(jìn)行精確識別，甚至連登陸界面都不是HTTPS，這讓白帽子的信息如何能不泄漏。一個致力于提升互聯(lián)網(wǎng)安全的公司，也就做到這樣，更何況其他的公司。(即使在發(fā)送過程中使用了類似MD5等加密算法，也依然不會擋住個人賬號信息泄漏。如利用類似ASA未授權(quán)訪問漏洞修改登錄頁面獲取登錄密碼。)

更高風(fēng)險的情況是有的公司使用了HTTPS，但是卻是使用低驗(yàn)證級別的SSL，使得即使頁面中的某個元素或者腳本被劫持替換，卻依然顯示著安全的綠色標(biāo)識符。

在測試類似QUANTAMINSERT的方案是，在github上發(fā)現(xiàn)一個項(xiàng)目叫做“evilgrade”，由infobyte小組完成公開在github，一個用于更新劫持的工具。有太多的軟件不驗(yàn)證軟件簽名或者下載源的簽名，甚至直接不使用SSL下載，不提供軟件簽名和特征碼。因?yàn)檐浖S商根本不認(rèn)為這會造成安全風(fēng)險或者說根本沒有意識到其自身的安全責(zé)任。

公民身份信息泄漏源究竟在何處，這是一個公眾不斷探尋的問題，網(wǎng)上流傳各大社工庫中的數(shù)據(jù)基本不會有用戶自身泄漏的數(shù)據(jù)，社工庫的來源基本都是來自各大網(wǎng)站、廠商、企業(yè)的數(shù)據(jù)庫。但是各大廠商、公司、企業(yè)都在指責(zé)用戶沒有將自己的個人隱私保護(hù)好，將泄漏用戶隱私的責(zé)任推給用戶，這是不合適的。

用戶給予廠商、網(wǎng)站、提供商信任，但是對方卻根本沒有意識到這部分信任所對應(yīng)的責(zé)任。甚至個別運(yùn)營商允許攻擊者使用運(yùn)營商的廣告服務(wù)進(jìn)行推送木馬。被公開到網(wǎng)上之后，只會講責(zé)任推給承包商，并且不會有任何人負(fù)擔(dān)法律責(zé)任。

假設(shè)NSA在中國買廣告推送木馬至高價值的目標(biāo)中。行動暴露，究竟會不會有運(yùn)營商相關(guān)人員承擔(dān)責(zé)任，依靠法律不承認(rèn)的不知者無罪來為自己開脫逃避處罰?我相信結(jié)果會很有意思。

如今處于互聯(lián)網(wǎng)時代，人們生活離不開互聯(lián)網(wǎng)，我舉一個例子，支付寶，支付寶有所有用戶的消費(fèi)信息，如今正在做社交，加上阿里集團(tuán)的虛擬運(yùn)營商，這只是大家知道的，還有支付寶通過在未授權(quán)的情況下獲取個人非淘寶快遞運(yùn)單號用于推送到支付寶，以及大家不是很了解的手段獲取用戶所有信息?？梢哉f阿里集團(tuán)已經(jīng)擁有完整描述一個人的能力，包括個人信息，生活軌跡，興趣愛好，信用記錄，人員關(guān)系，工作等。

但是大家有沒有想過，萬一支付寶失守了，會發(fā)生什么事情?

安全最重要的兩個詞，信任與責(zé)任。正視了這兩個詞，安全將會有質(zhì)的飛躍。