實(shí)戰(zhàn)ERP系統(tǒng)攻擊

從注冊(cè)表中釋放加密口令的能力。

對(duì)敏感數(shù)據(jù)或應(yīng)用軟件的權(quán)限

一個(gè)跳板系統(tǒng)，可用于攻擊其他系統(tǒng)。通常適當(dāng)位置的技術(shù)控制比“信任的”系統(tǒng)更低。

修改系統(tǒng)安全功能，以便通過(guò)后門進(jìn)入系統(tǒng)的能力。

在系統(tǒng)中植入按鍵記錄器，以便秘密記錄用戶行動(dòng)的能力

這些選擇提供了逐步提高特權(quán)級(jí)的能力，直到在一個(gè)域級(jí)別或重要系統(tǒng)上獲得管理員級(jí)別的權(quán)限。

要點(diǎn)-對(duì)應(yīng)物

我們感興趣的WEB服務(wù)器運(yùn)行著開(kāi)放的SSL，我們認(rèn)為對(duì)它也許可以進(jìn)行暴力口令破解攻擊。連接被拒絕，對(duì)該機(jī)器的一個(gè)快速重新掃描顯示打開(kāi)了一下的端口立刻又關(guān)閉了。我們猜想我們的活動(dòng)被監(jiān)控了，一個(gè)系統(tǒng)管理員正在守護(hù)著這臺(tái)服務(wù)器（盡管管理層的指令是不要這么做）。我們檢查了這臺(tái)服務(wù)器上運(yùn)行的FTP和SMTP服務(wù)，通過(guò)這個(gè)我們發(fā)現(xiàn)存在一個(gè)用戶帳戶叫做“ERPadmin”，但是我們的枚舉口令猜測(cè)攻擊在5次嘗試猜測(cè)失敗后就被鎖定了，從而宣告了攻擊的失敗。我們通過(guò)推斷這個(gè)帳戶的存在，是因?yàn)閷?duì)該帳戶的回應(yīng)，明顯和一個(gè)已知不存在的帳戶（比如Pivotpoint！）的回應(yīng)不同。帳戶的鎖定，加上技術(shù)漏洞很少，加強(qiáng)了我們認(rèn)為子網(wǎng)非常安全的觀點(diǎn)。

因?yàn)槲覀兏信d趣的網(wǎng)絡(luò)設(shè)備同時(shí)還支持其他產(chǎn)品的應(yīng)用程序，所以我們推遲了評(píng)估這些設(shè)備，取而代之的是企業(yè)的局域網(wǎng)。

差點(diǎn)錯(cuò)過(guò)的機(jī)會(huì)

在合約的一開(kāi)始，當(dāng)我們建議安全評(píng)估應(yīng)當(dāng)包括局域網(wǎng)時(shí)，我們遇到了極其強(qiáng)大的抵制。我們的信念（基于類似情景的多個(gè)合約所形成）是那些可能有存取優(yōu)先權(quán)的局域網(wǎng)段，或者是有不同優(yōu)先級(jí)用戶的網(wǎng)段，都是一個(gè)特別的風(fēng)險(xiǎn)來(lái)源，即使應(yīng)用程序是在一個(gè)完全不同的子網(wǎng)上。

我們?cè)诰钟蚓W(wǎng)上進(jìn)行的漏洞掃描，和我們?cè)诋a(chǎn)品所在子網(wǎng)上的結(jié)果一樣，干干凈凈。這幾乎是同類的Windows網(wǎng)絡(luò)（2000服務(wù)器，XP主機(jī)），所有的主機(jī)配置本質(zhì)上都一樣。這個(gè)“幾乎”成了我們的一大難題，直到我們意識(shí)到在局域網(wǎng)中有臺(tái)孤零零的NT4服務(wù)器，運(yùn)行了一個(gè)古老的傳統(tǒng)程序?？诹顝?fù)雜性設(shè)置是由Windows SMS中央分發(fā)的，不幸的是對(duì)NT4并不適用。這導(dǎo)致我們用一個(gè)Net bios列舉工具（NBTEnum），通過(guò)該工具尋找常見(jiàn)的口令缺陷，從而找到了那些使用同一用戶名/密碼（jimmy/jimmy）的帳戶。當(dāng)我們發(fā)現(xiàn)到j(luò)immy帳戶是一個(gè)本地域的管理帳戶時(shí)，我們意識(shí)到我們有了第一個(gè)落腳點(diǎn)。

上升，繼續(xù)

一旦在一個(gè)系統(tǒng)上獲得了本地管理權(quán)限，就可能使用一個(gè)工具（比如，PWDump）來(lái)獲得機(jī)器上的SAM。SAM是一個(gè)口令的加密列表。我們使用一個(gè)口令破解軟件來(lái)對(duì)付SAM（比如，LOphtCrack 5），并執(zhí)行一個(gè)詞典攻擊。詞典攻擊破解了另外2個(gè)用戶帳號(hào)，但是沒(méi)有一個(gè)帳戶比我們已經(jīng)獲得的權(quán)限更高。另外還有一個(gè)帳號(hào)，我們根據(jù)它的名字，猜測(cè)它是一個(gè)通用局域網(wǎng)管理帳號(hào)。我們對(duì)這個(gè)帳戶扔了一個(gè)暴力破解上去，然后就走開(kāi)了。在破解工具進(jìn)行暴力破解時(shí)，我們開(kāi)始喝咖啡。

等我們喝完咖啡回來(lái)，我們找到并獲得了許可，對(duì)一個(gè)有趣的網(wǎng)絡(luò)交換機(jī)實(shí)施我們的滲透測(cè)試活動(dòng)。這臺(tái)機(jī)器運(yùn)行的是一個(gè)較老版本的Cisco IOS，我們認(rèn)為可能存在有ARP Spoof（ARP欺騙）漏洞。果然，ARP Spoof哄騙該交換機(jī)，讓它相信我們的攻擊主機(jī)就是所有該局域網(wǎng)段上所有通信的目標(biāo)主機(jī)。本質(zhì)上來(lái)說(shuō)，這導(dǎo)致我們的攻擊主機(jī)成為了一臺(tái)交換機(jī)，所有的網(wǎng)絡(luò)通訊都要經(jīng)過(guò)我們的主機(jī)。

通過(guò)留意網(wǎng)絡(luò)數(shù)據(jù)，我們注意到，所有的網(wǎng)絡(luò)用戶都使用NTLM（Windows NT與2000的默認(rèn)加密）進(jìn)行認(rèn)證。我們發(fā)回經(jīng)過(guò)修改的數(shù)據(jù)包到終端用戶的工作站上，告訴他們“我們不明白NTLM，請(qǐng)發(fā)送未經(jīng)加密的密碼”?？上?，這招騙術(shù)并沒(méi)有生效。而“請(qǐng)發(fā)送使用LM認(rèn)證的密碼給我們”卻成功了。LM使用一種較弱的加密認(rèn)證，破解的可能較大。我們收集了這些加密的密碼，留著日后破解。緩慢而有系統(tǒng)的，我們?cè)诓粩嗤貙捨覀兊膬?yōu)先級(jí)提升之路，而確信我們的行動(dòng)將得到獎(jiǎng)勵(lì)的自信心也在不斷增長(zhǎng)。

加油以及本地admin權(quán)限

早餐吃起來(lái)略有點(diǎn)甜，然后我們注意到通過(guò)整晚口令破解器的工作，我們已經(jīng)破解了其他的本地管理權(quán)限帳戶密碼，而該密碼后來(lái)被證明是一個(gè)管理局域網(wǎng)上所有機(jī)器的通用密碼。這大大拓寬了我們所需的獲取erp系統(tǒng)管理員級(jí)別權(quán)限的道路。不過(guò)首先我們需要確認(rèn)，是否有一個(gè)按鍵記錄器能逃過(guò)我們客戶反病毒方案的監(jiān)查（在本例中，該反病毒方案來(lái)自于一個(gè)行業(yè)中非常卓越的企業(yè)安全公司）。

基于我們對(duì)反病毒制造商網(wǎng)站，多個(gè)按鍵記錄器網(wǎng)站，以及多個(gè)黑客論壇的研究，我們選擇了一個(gè)不曾大范圍流行，高度隱蔽的鍵盤記錄器。我們通過(guò)RDP連接到我們的目標(biāo)工作站上，通過(guò)手指交叉，我們將記錄器放到一臺(tái)非技術(shù)人員的電腦上，這樣萬(wàn)一產(chǎn)生警報(bào)信息，我們可以將目標(biāo)指到此人身上，從而混淆視聽(tīng)。當(dāng)鍵盤記錄器開(kāi)始報(bào)告用戶的活動(dòng)時(shí)——我們知道，我們只剩下最后一步了。等到了午餐時(shí)間（這樣可以避免被人發(fā)現(xiàn)），我們又在另外4臺(tái)工作站上放進(jìn)了鍵盤記錄器；這4臺(tái)機(jī)器分別屬于一個(gè)ERP管理員，一個(gè)數(shù)據(jù)庫(kù)管理員，以及一個(gè)AIX管理員。一個(gè)小時(shí)之內(nèi)，每個(gè)用戶已經(jīng)分別作為自己所管理系統(tǒng)的管理員進(jìn)行了登錄，于是我們的鍵盤記錄器向我們報(bào)告了他們的密碼。在使用我們新找到的管理權(quán)限登陸進(jìn)入系統(tǒng)后，我們已經(jīng)擁有完全的能力危及ERP軟件的安全，包括它的所有系統(tǒng)，以及其中保存的數(shù)據(jù)。我們已經(jīng)擁有完全的，無(wú)拘無(wú)束的權(quán)限，可以獲得客戶保存在數(shù)據(jù)庫(kù)中的所有高度機(jī)密信息，包括姓名，地址，社會(huì)保險(xiǎn)號(hào)，薪水信息——信息之豐富，足可以讓別有用心的人以無(wú)數(shù)的方法去利用它。

當(dāng)場(chǎng)被抓

為了測(cè)試那些已經(jīng)被我們危及安全的個(gè)人帳號(hào)的威力，我們使用我們的本地管理權(quán)限繼續(xù)登錄在他們的機(jī)器上。結(jié)果，我們的活動(dòng)，包括我們的按鍵記錄器迅速被人發(fā)現(xiàn)了，其速度之快令我們印象深刻。管理員頗有見(jiàn)地，他運(yùn)行了一個(gè)軟件來(lái)獲取該組合中所有運(yùn)行進(jìn)程的視圖，以及一個(gè)監(jiān)控網(wǎng)絡(luò)連接的軟件（比如，Vision和netstat）。當(dāng)他注意到他的機(jī)器連到我們的IP上時(shí)，我們被當(dāng)場(chǎng)擒獲。

這次ERP安全的真實(shí)練習(xí)說(shuō)明了，那些對(duì)軟件本身，對(duì)數(shù)據(jù)庫(kù)，以及局域子網(wǎng)加密的重大努力，會(huì)如何被企業(yè)局域網(wǎng)控制環(huán)境中一個(gè)表面上小小的弱點(diǎn)徹底推翻。技術(shù)控制的強(qiáng)力集合（本例中，是ERP軟件整體的高安全級(jí)別）會(huì)被一個(gè)內(nèi)部控制的軟弱集合而相對(duì)迅速的破壞，本例中，沒(méi)有對(duì)“jimmy”賬戶強(qiáng)迫執(zhí)行強(qiáng)力口令的疏忽，造成了一系列擴(kuò)大的問(wèn)題，最終居然導(dǎo)致企業(yè)重要數(shù)據(jù)被暴露的危險(xiǎn)。我們的ARP欺騙奏效，也導(dǎo)致了一個(gè)整體系統(tǒng)的安全受到威脅。

這很重要，要注意到我們也實(shí)施了程序級(jí)別的滲透測(cè)試，以及對(duì)重要控制的深度審核，包括數(shù)據(jù)隔離區(qū)域，數(shù)據(jù)庫(kù)所有者，認(rèn)證，授權(quán)，以及修改管理。這些努力提供給管理層一個(gè)高級(jí)擔(dān)保——關(guān)鍵的安全目標(biāo)已經(jīng)達(dá)到。

根據(jù)我們對(duì)管理層所遞交的“發(fā)現(xiàn)”，該政府機(jī)構(gòu)將那臺(tái)擁有“jimmy”賬戶的NT機(jī)器斷網(wǎng)，并在一個(gè)相似的Windows 2000環(huán)境中有效地強(qiáng)制執(zhí)行安全策略，更新了他們所有電腦中的系統(tǒng)和反病毒引擎，以檢測(cè)按鍵記錄器，還更新了所有Cisco設(shè)備上的IOS，以避免再受到ARP欺騙攻擊。