涉嫌入侵雅虎的俄罗斯黑客Alexsey Belan常用渗透手段(TTPs)

曾记得,2012年1月22日一大早,我和Mike Arpaia就前往肯尼迪机场赶飞机。当时,我们都高薪受雇于██████机构,这次出差是前往某遭受数据泄露的当事公司进行应急响应。到达现场后,经过一星期左右的大量取证分析工作,我们查明此次事件的幕后攻击者是一个被称为“M4g”的俄语黑客。其实,M4g就是最近FBI披露参与雅虎数据窃取的黑客Alexsey Belan(亚历克斯·贝兰),他是黑客界的数据窃取老手,也是2013年FBI十大网络通缉犯之一,而且,还涉嫌参与去年俄罗斯针对美国大选干预攻击事件,自其犯下累累罪名以来,曾被美国司法部四次公开起诉通缉。起初,Belan的下手目标多为美国西海岸一带公司,他被认为是2012年至2013年间多起严重数据泄露事件的“直接元凶”,尽管当时有很多新闻报道,但他并没有因此受到关注,直到最近因雅虎数据泄露事件再次被FBI起诉,他和同伙才曝光在聚光灯下。

本篇文章根据我多年的取证经验,结合Alexsey Belan的三次入侵事件调查分析,对Alexsey Belan的网络攻击手法(TTPs)作个简单总结,作为参考借鉴,望引起相关方重视。

Belan的网络攻击特点

通过Google和Linkedin搜索发现攻击目标外围web服务;

使用披露的通用WordPress漏洞和一些特殊的bug入侵PHP网站;

改变Linux认证机制模式获取相关账户密码信息;

使用Nmap进行内部网络服务识别;

利用企业内部Wiki网页发现一些管理流程和VPN相关信息;

利用票务、编程缺陷跟踪、版本控制等类似系统获取相关账户信息,如密钥、许可证种子、哈希、密码和源代码等;

从一些弱保护措施的非产品实例系统中(如过渡系统或staging登台环境)获取Cookie,并应用于尝试绕过双因素认证措施;

通过邮件、票务或文件系统发现客户端证书,并结合已知的相关凭据进行企业内部VPN登录攻击

利用获取的开发工程师账户密码信息向版本控制系统中上传隐藏后门程序。内网Wiki:类似于维基百科式的企业内部知识管理和交流平台。

登台环境:Staging Environment,也叫模拟环境、准生产环境、部署环境、过渡环境、临时环境,多应用于研发部门,可以理解为产品环境的镜像, QA在staging server上对新版本做最后一轮verification, 通过后才能部署到产品线上。为开发出优秀的应用程序,企业通常需要多个研发环境,如产品环境、开发环境、QA环境和登台(staging)环境。而生产环境也就是上线之后正式投入运营服务的的真实环境。电子邮件账户密码信息总是与数据泄露事件如影随形,尤其是一些公网邮箱的此类信息更是倍受关注,因为可以利用这些信息,结合VPN或其它手段,进一步获取企业用户内部网络访问控制权。

Alexsey Belan的三次入侵事件

Alexsey Belan入侵公司A事件:利用WordPress漏洞

目前,据调查和掌握消息显示,第一家已知的Belan下手攻击机构,由于其分支公司在企业广域网上运行有WordPress服务,未被部署于隔离区或DMZ之内,通过该服务可以实现内网访问,因此被Belan成功利用并实现渗透入侵和数据窃取。Belan通过谷歌搜索关联到该项WordPress服务并利用CVE-2011–4106漏洞实现入侵,之后,他通过wget方式从m4g.ru下载后续利用工具,并通过CVE-2010–3856实现系统提权。

以下为Belan进一步实施内网渗透的大概5天周期性步骤:

替换WordPress登录管理页面l10n.php为钓鱼页面,以此方式获取管理员或相关账户密码信息;

利用Nmap识别企业内网服务和内部Wiki平台;

通过获取的WordPress账户信息尝试Wiki认证登录;

通过Wiki平台获取网络系统管理流程相关信息;

在尝试登录一些具有双因素认证(2FA)的管理系统失败后,转向尝试那些不需要2FA认证的登台环境管理系统,一旦成功进入,便手工进行一些目录遍历和文件上传测试;

通过登台环境构造一些可以成功绕过产品环境管理登录2FA认证cookie,实现对企业产品环境的入侵;

综合利用以上各类漏洞获取系统管理控制权限和MySQL数据库管理账户密码信息,以此深入获取数据库服务环境中的顾客数据;

运行MySQL自带工具MySQLDump备份数据库,并把备份文件命名为1.txt;

压缩备份数据库文件为1.tgz类型,并尝试通过scp命令回传到远程控制主机中的mnogo.mobi和m4g.ru域名目录结构下;

如果scp过程失败,则把1.tgz分割存放于网络生产环境中部署静态内容的网络文件系统(NFS)中,之后,再通过共享或其它方式逐步窃取数据。SCP命令:scp -r dbremotehot:/usr/local/mysql/data #用于数据库的快速备份并拷贝复制远程服务器中。Alexsey Belan入侵公司B事件:利用Linkedin来发现目标系统外围服务

Belan的另外一家入侵公司是FBI由数据泄露线索发现的,后来,经我们调查掌握,该公司的一个工程师账户被Belan利用,不小心以俄罗斯IP地址登录进入公司内部VPN系统,随后,我们发现,该工程师位于Santa Clara家中部署于一台iMac上的自架web服务器被入侵。该web服务架设于一个Linux虚拟机中,而该虚拟机又通过iMac主机虚拟机软件Parallel搭建;Belan通过该工程师的公开Linkedin档案发现了这台个人自架服务器:

该Linux虚拟机中还部署了大量PHP站点,Belan通过以下步骤层层渗透控制了该Linux虚拟机和主机系统,最终,获得了开展进一步入侵其所在公司的相关信息:

对部署于虚拟机中的PHP站点进行手工漏洞测试;

成功发现并利用了一个通用的任意文件上传漏洞;

利用CVE-2010–3856漏洞进行root提权;

替换Linux和PHP服务管理认证机制钓取用户管理密码信息;

对获取到的/etc/shadow密码哈希值进行破解;

对MacOS主机与Linux虚拟机之间的SSH连接服务进行暴力破解;

利用日志分析工具分析Linux虚拟机内的utmp和wtmp日志,识别系统登录用户行为;

通过破解或获取的一组用户密码尝试与主机MacOS系统进行SSH连接登录;

从该工程师的MacOS主机内获取到其公司的内部VPN网络配置信息,包括网关信息、客户端证书和认证私钥等;

结合以上信息,利用该工程师的VPN登录账户密码顺利进入该公司的企业VPN网络。在此次事件调查中,由于发现数据泄露线索之后该公司才意识到被入侵攻击,而其中一些应用程序、数据库和基础设备的日志设置了14天的回滚覆盖周期,造成我们的深入调查受限。但可以肯定的是:

至少在成功入侵之后的4个月时间左右,Belan可以随意访问登录该公司内部企业VPN系统

Belan从该公司的网络服务环境(生产环境)中窃取了大量顾客数据Alexsey Belan入侵公司C事件:缺少双因素认证措施+云端数据存储系统=不敢想像的脆弱防护

据不完全统计,到2013年中旬左右,Belan通过入侵各种行业公司,手上至少拥有包括邮箱地址、密码和安全问题答案在内的2亿条用户凭据信息。而与此对应存在风险的是,一些采用云端数据存储的公司和组织机构却因缺乏双因素安全认证措施,而使其自身庞大的云端数据成为了黑客一直觊觎的目标。

而Belan也利用手中掌握的用户凭据信息为切入点,通过以下方式,入侵了第三家大型公司:

使用有效的用户名/密码组合登录入侵了该公司某员工的谷歌邮箱;

通过用户身份数字识别系统OpenID获取了项目事务跟踪管理系统JIRA的授权访问权限;

通过JIRA系统发现了公司内部的SVN版本控制服务器;

通过SVN服务器中获取了一些内部资料,从其/etc/shadow中获取了一些公司开发员工的密码信息,之后,进行了系统提权;

利用破解的员工用户凭据入侵Git服务系统;

通过Git系统在公司软件产品中写入了隐蔽的了JSP网页后门(webshell)代码;

之后,毫不知情的开发工程师把该websell代码部署于公司的最终服务平台;

Belan通过他植入的网页后门从某应用服务器中间接获取了该公司服务端数据库信息;

利用工具mysqldump将数据库备份为1.txt,经过压缩、分割和转移方式从上述中转应用服务器中逐步窃取整个数据库文件。

总结与建议

目前,据官方初步调查,Alexsey Belan入侵窃取了多家美国科技公司和行业系统数据,这些数据包括用户名、密码哈希和安全提问答案等多达12亿信息,而受影响的公司除了雅虎(Yahoo)之外,还有Evernote、Scribd和Zappos等知名企业。而据估计,Alexsey Belan还可能从其它我们尚未掌握的受害者系统内窃取了多达数百万条用户数据。被Belan Belan“盯上”并入侵攻击的组织机构,大多都提供顾客和用户在线服务,或架设有企业管理、项目开发和协作交流平台等应用系统,比如:

销售和营销相关的门户网站;

涉及Outlook部署的公司邮件服务系统或在线Gmail邮箱;

与Slack、HipChat、SharePoint和Confluence等系统整合的企业沟通协作平台;

开发运维一体化平台DevOps;

支持Github、JIRA(项目状态跟踪管理)、持续集成和持续交付(CI/CD)工具的研发平台 。另外,一些公司用户也经常把内部VPN配置信息无意间泄露、保存或遗留于邮件、票务或聊天系统中,这也间接对企业安全造成了风险隐患。

综上所述,作为建议,可以考虑在整个网络系统边界和服务系统中采取以下安全防护措施:

隔离存在风险的联网服务(如第三方PHP站点);

尽量不要在公司内部Wiki网页、票务、项目跟踪等系统中留下个人密码信息,不要使用email发送敏感保密材料(如密码、认证证书、密钥等);

不要在多个网络设备服务或非正式使用环境(如开发或过渡系统)中使用相同的密钥、种子或密码信息;

鉴于一些被入侵的服务器可能会偶尔向外发送DNS请求,可以考虑使用一些DNS分析工具来识别这些恶意请求;

可以考虑使用安全的双因素认证(2FA)机制或一些安全密钥硬件设备,如YUBIKEY便携式外连认证设备。

极客网企业会员

免责声明:本网站内容主要来自原创、合作伙伴供稿和第三方自媒体作者投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。任何单位或个人认为本网站中的网页或链接内容可能涉嫌侵犯其知识产权或存在不实内容时,应及时向本网站提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明。本网站在收到上述法律文件后,将会依法尽快联系相关文章源头核实,沟通删除相关内容或断开相关链接。