看NSA駭客如何利用大資料拿下網路系統管理員

斯諾登事件已過一年有餘，情報組小編翻看眾多公佈的材料，挑選其中一篇2012年時候的「NSA的內部帖子」，來看看一個NSA黑闊如何利用「大資料」拿下網路系統管理員的攻擊思維。

「情報」是攻擊的最終目的

在NSA裡面的SID(SignalsIntelligence Directorate)「信號情報部門」顧名思義他的終極目標是產出情報，供決策者使用。 無論什麼時候，目標使用高科技去進行通信，NSA駭客就要想盡辦法去收集它、分析它、然後輸出報告。 聽起來是很簡單，除非他已經在目標的通信網路中。 而他們其實也不是任何時候都能收集到所有的資訊，特別是他們的目標通信的網路並不在他們的收集範圍內。 這個時候他們就需要一些手工的「跑腿」去説明他們完成這個任務了。 這個「跑腿」就是這篇帖子《I hunt sys admins》想介紹的「系統管理員」

科普廣告插播

SID，全稱Signals Intelligence Directorate信號情報指揮部，在NSA組織架構中代號為「S」，主要負責收集、分析、產生和傳播信號情報。 下屬若干個分支機搆，其中就包括大名鼎鼎的TAO，具體如下：

- S1—主攻客戶關係

- S2—主要分析和製作中心，下屬若干「生產線」

S2A:南亞，S2B：中國與韓國，S2C：國際安全，S2E：中東和亞洲，S2F：國際犯罪，S2G：反擴散，S2H：俄羅斯，S2I：反恐......

- S3—資料獲得，主要負責「收集」工作，下屬包括：

S31——Cryptanalysis and Exploitation Services密碼與漏洞利用服務簡稱CES

S32——Tailored Access Operations，簡稱TAO，負責黑進外國的電腦以事實網路間諜活動，被譽為NSA「信號情報指揮部」最大最重要的部分，有1000名軍隊級和平民電腦駭客、情報分析員、 targeting專家、電腦軟體硬體設計師，電子工程師等組成。

S33——Global Access Operations，簡稱GAO，主要負責攔截衛星或其他國際SIGINT平臺的信號。

S34——收集戰略及需要中心

S35——Special Source Operations，簡稱SSO，主要負責美國國內的收集計畫，例如大名鼎鼎的「棱鏡計畫」PRISM

網路系統管理員是最好的「跑腿」

事實上「系統管理員」並不是這些NSA駭客的最後目標，他的最後目標是「極端分子/恐怖分子」或者官方政府要使用的這些網路，而這個網路是由這些「系統管理員」所管理的。 比如他的目標正使用的是在外國網路的一個CDMA終端，很可能NSA魔爪已經收集過目標手機的電話、SMS短信，(PS：用帖子裡的原話是說「where we passively collect his phone call/SMS out in the wild」。 從這個側面看NSA的確已經能夠廣泛性的「被動」採集電話通信資料)但是如果真的能夠進入到本地的基礎設施，從而可以任何時候更直接的監視目標從哪個基站進行了連接，甚至監視電話和資料的流量。 但是通常直接以基礎設置為攻擊目標是很困難的，一般需要一系列的資訊以説明開展行動。 例如：

– 目標網路的拓撲

– 基礎設施設備的憑證(密碼)

– 目標網路的行事情況，例如只有管理員的源IP限制策略的允許接入清單

– 一些總概述的背景，例如網路是如何組成的，如何配製的

所以為了拿到以上資訊，還有誰比目標網路的管理員更合適?很多時候，當NSA駭客看到目標出現在一個新的網路，他的第一個目標就是能否通過CNE(Computer Network Exploitation)攻陷網路上的這個管理員。 這個時候通常就依賴于「QUANTUM」來訪問他們的帳號。 當然你可以通過釣魚郵件，但是NSA駭客認為現在人們比過去5-10年已經越來越聰明，所以這種攻擊方法已經不再靠譜了。 因此，為了使QUANTUM攻擊對這些管理員有效，NSA駭客需要一些webmail/facebook類型的SELECTOR。

科普廣告插播：

SELECTOR：又稱「分揀器」，說白了就是NSA從龐大的資料流量中用於識別定位的特定目標的「選擇子」，例如Hotmail GUIDs，Google prefIDs，Apple IMEIs,Apple UDIDs,Nokia IMEIs,Wireless MACs等等，而這個Selector又跟下面要說到的「Quantum」密切相關。

QUANTUM：這個可跟量子計算沒有多大關系，主要是NSA的一個代號，是一種man-on-the-side的中間劫持技術，在骨幹網中秘密放置一些伺服器，通過Selector識別出被攻擊的目標， 然後利用比正常伺服器更快的反應時間，把漏洞利用代碼發向受攻擊的目標(也就是這裡說的管理員)，使得攻擊成功。 隨著近年來的發展，已經不止最開始2005年的「Quantuminsert」，還有2007年的QuantumBOT，2008年的QuantumDNS等等，如下圖所示：

CNE：Computer Network Exploitation，如果說CNE是注重從目的電腦和網路中挖掘情報，那麼另一個叫CAN(Computer Network Attack)的則是試圖瓦解、損害和摧毀目標。

攻擊思路：

如果說希望通過Whois等手段，查找目標網路IP位址空間或者功能變數名稱資訊的註冊資訊來發現這些管理員的個人資訊。 那NSA駭客的實踐表明，這個成功率並不高，因為這些資訊通常是管理員的官方郵箱位址，這些郵件伺服器就部署在目標的網路中，而NSA駭客的大殺器Quantum成功的秘訣不是用在這類型郵件系統中的。 他們真正想要的是管理員的個人郵箱、facebook等這樣的帳號。 (因為這些帳號才能篩選出Selector，從而使用Quantum技術來實施對管理員的控制。 這裡可以使用「dumpster-dive技術」(翻管理員公司附近的垃圾箱找)或「Google搜索技術」(看看管理員是否有在什麼官方的非官方的論壇中暴露這些資訊)。

攻擊線路：

NSA大黑闊——〉「恐怖分子」——〉恐怖分子所在的網路——〉該網路系統管理員——〉控制網路

攻擊所需條件(反向推算)：

網路系統管理員〈——Quantum攻擊〈——可識別出管理員的Selector〈——個人帳號如facebook〈——???

在繼續之前，先得介紹一下DISCOROUTE——NSA內專門用於在telnet sessions流量中「被動」收集和存儲路由器設定檔的工具。

有這樣的工具，有這樣的資料，都對入侵這個目標網路，瞭解它的網路結構有莫大的説明，但是，這些設定檔似乎跟找到網路系統管理員的個人webmail或者facebook似乎還沒有啥關係。 離成功入侵這個網路還遠著。 為此，NSA黑闊隨機選了一個肯雅的路由配置來做個示範。 (從這個側面看，NSA還說沒有入侵，沒有監聽別國的通信?拿路由器配置資訊都是信手拈來的事情了。 )接下來作為一名分析師，最基本的水準是基於這份設定檔做出大膽的假設：

- 我們有一台路由器，路由器有一個管理員

- 通過DISCOROUTE工具獲得的設定檔，可以知道這個管理員通過telnet登陸到路由器

- 管理員可能不會讓任何人或者每個人都能登陸到路由器

- 管理員可能設置了ACL，只允許他自己的IP telnet到路由器中

下面看看路由器的設定檔：

從上面可以看到管理員的確設置了源位址訪問的ACL——access-class，以及密碼屬性設置為代表密文的7，當然這個也是很好破解的。 網上基本上就有現成的工具專門對付這類password 7 hash。

從下面的配置清單可以看到：

可以看到，如果想要telnet到這台路由器，你必須要從這些(已經打黑的)IP位址去訪問。 稍微有點網路知識的你都可以知道，就算你知道路由器的認證資訊，就算你知道這些白名單，你都不可能偽造這些源位址去登到路由器上，因為，你無法看到response包。 所以你是必須接入到其中一台這些IP位址，才能去登陸路由器。

讓我們回顧一下，NSA駭客的假設——一個管理員只允許他自己去telnet，而禁止了來自其他位址的登陸。 因此我們可以進一步大膽假設這是這些acl位址，就是管理這個肯雅網路的管理員位址。

繼而，利用這些位址就可以去查找，從這些IP位址登陸hotmail，yahoo，facebook的活動帳號。 從而就能夠識別出這個肯雅網路的管理員個人帳號資訊了。 把這些資訊作為selector，就可以用QUANTUM技術去攻擊這些管理員，從而通過這些管理員控制網路。

總結一下以上大致兩個步驟

步驟一：從DISCOROUTE中的路由器配置資訊中識別有有telnet的acl資訊，匯出這些acl的公網IP位址。

步驟二：從ASDF(全稱Atomic SIGINT Data Format，是NSA從被動收集資訊系統——PassiveSIGINT system收集的所有session資訊中生成的metadata。 )中，根據步驟一得到的公網IP關聯出活躍使用者。