曾记得,2012年1月22日一大早,我和Mike Arpaia就前往肯尼迪机场赶飞机。当时,我们都高薪受雇于██████机构,这次出差是前往某遭受数据泄露的当事公司进行应急响应。到达现场后,经过一星期左右的大量取证分析工作,我们查明此次事件的幕后攻击者是一个被称为“M4g”的俄语黑客。
其实,M4g就是最近FBI披露参与雅虎数据窃取的黑客Alexsey Belan(亚历克斯·贝兰),他是黑客界的数据窃取老手,也是2013年FBI十大网络通缉犯之一,而且,还涉嫌参与去年俄罗斯针对美国大选干预攻击事件,自其犯下累累罪名以来,曾被美国司法部四次公开起诉通缉。起初,Belan的下手目标多为美国西海岸一带公司,他被认为是2012年至2013年间多起严重数据泄露事件的“直接元凶”,尽管当时有很多新闻报道,但他并没有因此受到关注,直到最近因雅虎数据泄露事件再次被FBI起诉,他和同伙才曝光在聚光灯下。
本篇文章根据我多年的取证经验,结合Alexsey Belan的三次入侵事件调查分析,对Alexsey Belan的网络攻击手法(TTPs)作个简单总结,作为参考借鉴,望引起相关方重视。
Belan的网络攻击特点
通过Google和Linkedin搜索发现攻击目标外围web服务;
使用披露的通用WordPress漏洞和一些特殊的bug入侵PHP网站;
改变Linux认证机制模式获取相关账户密码信息;
使用Nmap进行内部网络服务识别;
利用企业内部Wiki网页发现一些管理流程和VPN相关信息;
利用票务、编程缺陷跟踪、版本控制等类似系统获取相关账户信息,如密钥、许可证种子、哈希、密码和源代码等;
从一些弱保护措施的非产品实例系统中(如过渡系统或staging登台环境)获取Cookie,并应用于尝试绕过双因素认证措施;
通过邮件、票务或文件系统发现客户端证书,并结合已知的相关凭据进行企业内部VPN登录攻击
利用获取的开发工程师账户密码信息向版本控制系统中上传隐藏后门程序。
内网Wiki:类似于维基百科式的企业内部知识管理和交流平台。
登台环境:Staging Environment,也叫模拟环境、准生产环境、部署环境、过渡环境、临时环境,多应用于研发部门,可以理解为产品环境的镜像, QA在staging server上对新版本做最后一轮verification, 通过后才能部署到产品线上。为开发出优秀的应用程序,企业通常需要多个研发环境,如产品环境、开发环境、QA环境和登台(staging)环境。而生产环境也就是上线之后正式投入运营服务的的真实环境。
电子邮件账户密码信息总是与数据泄露事件如影随形,尤其是一些公网邮箱的此类信息更是倍受关注,因为可以利用这些信息,结合VPN或其它手段,进一步获取企业用户内部网络访问控制权。
Alexsey Belan的三次入侵事件
Alexsey Belan入侵公司A事件:利用WordPress漏洞
目前,据调查和掌握消息显示,第一家已知的Belan下手攻击机构,由于其分支公司在企业广域网上运行有WordPress服务,未被部署于隔离区或DMZ之内,通过该服务可以实现内网访问,因此被Belan成功利用并实现渗透入侵和数据窃取。Belan通过谷歌搜索关联到该项WordPress服务并利用CVE-2011–4106漏洞实现入侵,之后,他通过wget方式从m4g.ru下载后续利用工具,并通过CVE-2010–3856实现系统提权。
以下为Belan进一步实施内网渗透的大概5天周期性步骤:
替换WordPress登录管理页面l10n.php为钓鱼页面,以此方式获取管理员或相关账户密码信息;
利用Nmap识别企业内网服务和内部Wiki平台;
通过获取的WordPress账户信息尝试Wiki认证登录;
通过Wiki平台获取网络系统管理流程相关信息;
在尝试登录一些具有双因素认证(2FA)的管理系统失败后,转向尝试那些不需要2FA认证的登台环境管理系统,一旦成功进入,便手工进行一些目录遍历和文件上传测试;
通过登台环境构造一些可以成功绕过产品环境管理登录2FA认证cookie,实现对企业产品环境的入侵;
综合利用以上各类漏洞获取系统管理控制权限和MySQL数据库管理账户密码信息,以此深入获取数据库服务环境中的顾客数据;
运行MySQL自带工具MySQLDump备份数据库,并把备份文件命名为1.txt;
压缩备份数据库文件为1.tgz类型,并尝试通过scp命令回传到远程控制主机中的mnogo.mobi和m4g.ru域名目录结构下;
如果scp过程失败,则把1.tgz分割存放于网络生产环境中部署静态内容的网络文件系统(NFS)中,之后,再通过共享或其它方式逐步窃取数据。
SCP命令:scp -r dbremotehot:/usr/local/mysql/data #用于数据库的快速备份并拷贝复制远程服务器中。
Alexsey Belan入侵公司B事件:利用Linkedin来发现目标系统外围服务
Belan的另外一家入侵公司是FBI由数据泄露线索发现的,后来,经我们调查掌握,该公司的一个工程师账户被Belan利用,不小心以俄罗斯IP地址登录进入公司内部VPN系统,随后,我们发现,该工程师位于Santa Clara家中部署于一台iMac上的自架web服务器被入侵。该web服务架设于一个Linux虚拟机中,而该虚拟机又通过iMac主机虚拟机软件Parallel搭建;Belan通过该工程师的公开Linkedin档案发现了这台个人自架服务器:
该Linux虚拟机中还部署了大量PHP站点,Belan通过以下步骤层层渗透控制了该Linux虚拟机和主机系统,最终,获得了开展进一步入侵其所在公司的相关信息: