每小时50哈希——看看一个内部员工是如何摧毁整个公司网络的?

简介: 本文讲的是每小时50哈希——看看一个内部员工是如何摧毁整个公司网络的?,我们以前曾调查过黑客会通过连接在USB端口的正在充电的手机实施攻击,在这项研究中,我们重新审视了USB端口的安全性。我们发现,手机充电时,即使电脑处于锁屏状态
本文讲的是 每小时50哈希——看看一个内部员工是如何摧毁整个公司网络的?

每小时50哈希——看看一个内部员工是如何摧毁整个公司网络的?

我们以前曾调查过黑客会通过连接在USB端口的正在充电的手机实施攻击,在这项研究中,我们重新审视了USB端口的安全性。我们发现,手机充电时,即使电脑处于锁屏状态,黑客也可以通过对USB端口的攻击成功地入侵用户的电脑甚至可以获取管理员登录凭据。这让人想起了2015年发现的Carbanak病毒,当时它的所窃总金额就已经高达10亿美元,它在盗取资金相关的账号信息同时,能入侵银行系统管理员账号,让犯罪分子获得权限,通过内部视频监控镜头观察员工的一举一动。

在本文中,我们将介绍如何通过一位连接在电脑USB的手机的员工那里开始,扩展到对整个公司范围内的任何计算机的管理员凭据进行窃取。其最终目的就是获取用户名和密码哈希值,但我们不会详细介绍如何解密检索到的哈希值,或者如何在攻击中使用这些哈希值。

我们要强调的是,这种攻击的硬件成本不超过20美元,可以由没有任何编程背景的人员执行。不过唯一的难点就是要对企业电脑进行物理访问,就是要让一个员工将受感染的手机插到未关机电脑的USB上。

每小时50哈希——看看一个内部员工是如何摧毁整个公司网络的?

我们在实验中使用了一款新的代号为树莓派零(Raspberry Pi Zero)的版本,有史以来最小的树莓派尺寸,65mm x 30mm x 5mm,采用512MB LPDDR2 SDRAM,带一个micro-SD卡槽,一个mini-HDMI接口,支持1080p 60fps视频输出,两个microUSB接口——其中一个用于供电,可以运行 Raspbian 以及任何你喜欢的应用,包括 Scratch, Minecraft 和 Sonic Pi等。

每小时50哈希——看看一个内部员工是如何摧毁整个公司网络的?

使用Raspberry Pi微型电脑来拦截和分析网络数据包或甚至作为通用渗透测试平台的做法是非常常见的。大多数已知的微型电脑都建立在ARM微处理器上,Kali Linux是基于Debian的Linux发行版, 是专门设计用于数字取证和渗透测试的操作系统。

有专门用于渗透测试目的的计算棒,例如USB Armory。然而,集成USB A型连接器(Raspberry Pi需要适配器)要比USB Armory的成本要高出许多(约135美元),而与Raspberry Pi Zero相比,它的实用性却相当不错。在2016年,Raspberry Pi就号称可以通过USB连接到PC或Mac用于窃取电脑的哈希值,紧接着Raspberry Pi Zero声称也可用于从3个浏览器中窃取cookies。

那么,就让我们检测一下。

首先,我们尝试拦截企业网络中的用户凭据,利用Raspberry Pi连接到运行不同操作系统的笔记本电脑和台式机中。

第二,我们尝试利用Raspberry Pi Zero检索并窃取cookie,以恢复热门网站上的用户会话。

实验1:窃取域凭据

方法

这种攻击背后的关键点就是利用网络适配器的仿真,在树莓派的操作系统Raspbian下找到模拟以太网适配器的模块非常简单。我们在cmdline.txt和config.txt文件中进行了一些配置更改,以便在启动时加载模块。

每小时50哈希——看看一个内部员工是如何摧毁整个公司网络的?

每小时50哈希——看看一个内部员工是如何摧毁整个公司网络的?

还有一些额外的步骤包括安装python解释器,sqlite3数据库库和一个名为Responder的特殊应用程序,用于数据包嗅探。

除此之外,我们还设置了我们自己的DHCP服务器,并定义了IP地址的范围和子网掩码,将其与我们要进入的网络分开。最后一步包括配置usb0接口,并在启动时自动加载Responder和DHCP服务器。

检测结果

只要我们将模拟的Raspberry Pi Zero连接到Windows 10,就可以看到连接的Raspberry Pi被确定为有线局域网连接。网络设置对话框将此适配器显示为远程NDIS Internet共享设备,从而被自动分配比其他适配器更高的优先级。

每小时50哈希——看看一个内部员工是如何摧毁整个公司网络的?

响应程序会扫描流经仿真网络的数据包,并且在看到用户名和密码哈希值后,将它们引导到假的HTTP / HTTPS / NTLM(它支持v1和v2)服务器。每次应用程序(包括在后台运行的应用程序)发送身份验证数据或用户在网络浏览器的标准对话窗口中输入攻击时,例如,当用户尝试连接到共享文件夹或打印机时,就将触发攻击。

每小时50哈希——看看一个内部员工是如何摧毁整个公司网络的?

在自动模式下拦截的哈希值,即使系统被锁定也是有效的,不过只有在计算机具有另一个活动的本地网络连接时才能运行。

如上所述,我们对三种情况下的Poc进行了测试:

1.针对登录域名的公司电脑
2.针对公共电脑上的公用电脑
3.针对家用电脑

在第一种情况下,我们发现Raspberry Pi不仅拦截来自通过USB连接的系统的数据包,还拦截了域中其他企业网络用户的NTLM身份验证请求。

在观察了几分钟之后,我们已经证明,Raspberry Pi连接的时间越长,就从网络中提取的数量就越多。通过模拟数据,我们可以得出结论,在我们的设置中可以提取的哈希数量大约是每小时50个哈希。当然,实际的数量还要取决于网络拓扑结构,即一个段内的用户数量及其活动。在此,要说明的是,我们的实验运行时间没有超过半小时,因为我们也偶然发现了一些奇怪的副作用,这些会在稍后描述。

提取的哈希存储在纯文本文件中,如下图所示:

每小时50哈希——看看一个内部员工是如何摧毁整个公司网络的?

在第二种情况下,我们只能提取连接系统的用户凭据:域或Windows名称、密码哈希。如果我们设置了用户可以尝试访问的共享网络资源,就可能会得到更多用户信息。

在第三种情况下,我们只能获取系统所有者的凭据,该凭证未连接到域验证服务。如果我们设置共享网络资源并允许其他用户连接到它们,可能会出现第一种情况的结果。

以上所描述的这些在Windows系统的拦截哈希的方法也同样适用于Mac 系统。当我们尝试连接需要输入域名的内部网站时,就会看到此对话框警告安全证书无效。

每小时50哈希——看看一个内部员工是如何摧毁整个公司网络的?

现在,我们来说明一下,上面提到的超过半小时运行时发生的有趣副作用,当设备连接到网络中的[ny]系统时,从同一网络中的其他设备发送到网络打印机的任务会在打印机队列中被搁置。当用户尝试在验证对话窗口中输入凭据时,队列还没有被清除。经过分析,这些凭据并未到达网络打印机,而是进入到Raspberry Pi的闪存。当尝试从Mac系统通过SMB协议连接到远程文件夹时,也会发现类似的行为。

每小时50哈希——看看一个内部员工是如何摧毁整个公司网络的?

Raspberry Pi Zero与Raspberry Pi 3

一旦我们看到Windows和Mac的NTLM系统受到微型电脑的攻击,我们就要尝试使用Linux。此外,我们决定攻击Raspberry Pi本身,因为Raspbian操作系统是建立在Debian Weezy核心之上的。

现在我们要做个专门针对Raspberry Pi 3的实验,顺便说一下,连接到企业网络本身就是一项具有挑战性的任务,但是可行,所以我们不会在这个试验中重点关注这个。要注意的是,Raspbian操作系统拒绝为USB设备网络分配更高的优先级,默认的选择是内置以太网。在这种情况下,Responder应用程序就会处于运行状态,但由于数据包未经过设备,因此无法执行任何操作。当我们手动删除内置的以太网连接时,看到的与以前在Windows中所观察到的相似。

每小时50哈希——看看一个内部员工是如何摧毁整个公司网络的?

在Chromebook上运行的桌面版Debian上也出现了类似的情况,系统不会自动将USB将太网适配器设置为默认设置。因此,如果我们将Raspberry Pi Zero连接到运行Debian的系统上,则攻击测试将失败。其实,我们不认为创建Raspberry Pi-in-the-middle攻击可能会成功,因为这更难实现,更容易检测。

实验二:窃取cookie

方法

在第一个实验中,就已经说到,当Raspberry Pi Zero通过USB连接到电脑时,可以从PC窃取cookies。其实,我们还发现了一个名为HackPi的应用程序,它是一个具有响应程序的PoisonTap(XSS JavaScript)的变体,我们在上面描述过。

本实验中的微型计电脑配置与上一个实验相似。 HackPi可以更好地建立自己的网络适配器,因为它具有增强的桌面操作系统发现机制,它能够在Windows 7/8/10,Mac和-nix操作系统上自动安装网络设备驱动程序。在第一个实验中,如果远程NDIS Internet共享设备没有自动安装(特别是当PC被锁定时),Windows 7,8或Vista上的攻击就可能会失败。而且, HackPi从来不会在Mac系统下分配自己的默认网络适配器优先级。

与第一个实验不同的是,这个实验会使用从本地存储的网页,来启动恶意Java脚本窃取cookie。如果攻击成功,PoisonTap的脚本将保存从站点拦截的cookie,其列表也会位于本地存储。

实验结果

如果计算机未锁定并且用户的浏览器还处于打开状态,则Java脚本将启动网络请求,将正在浏览的网页重定向到恶意的本地网页。然后浏览器从先前定义的列表中打开网站。

每小时50哈希——看看一个内部员工是如何摧毁整个公司网络的?

如果用户在未关机的电脑上打开任何运行程序,则Raspberry Pi Zero会在短暂的超时后在地址行中启动带有URL go.microsoft.com的默认浏览器,然后如上所述的那样进行攻击。但前提是,默认浏览器在浏览器历史记录中有Cookie,否则攻击者什么信息都不会获得。

在我们实验的脚本中,从提供的列表中看到的网站有youtube.com,google.com,vk.com,facebook.com,twitter.com,yandex.ru,mail.ru和超过100个其他网址。以下就是被盗的cookies日志:

每小时50哈希——看看一个内部员工是如何摧毁整个公司网络的?

我们就以使用pikabu.ru网站检查被盗cookies的有效性为例,将信息粘贴到其他设备的干净浏览器字段中,并能够掌握用户帐户以及所有统计信息。在属于铁路公司售货服务的另一个网站上,我们能够检索到用户的令牌并在另一台计算机上接管用户的帐户,因为认证协议仅使用一个LtpaToken2进行会话识别。

每小时50哈希——看看一个内部员工是如何摧毁整个公司网络的?

在这种情况下,攻击者可以得到有关受害人以前使用过的命令、护照号码、姓名、出生日期、电子邮件和电话号码的信息。

每小时50哈希——看看一个内部员工是如何摧毁整个公司网络的?

这种攻击的一个特点是,爱好者已经学会了如何在当今企业环境中找到的所有系统上自动安装网络设备驱动程序:Windows 7/8/10,Mac OS X,但是,在一个锁定的系统中,该攻击方法并不奏效。不过我们认为这只是一个时间问题,因为网络爱好者也会克服这些困难。

不过要说明的是,本文中的这些恶意测试网页已被卡巴斯基实验室给阻止了,并将其检测命名为Trojan.JS.Poisontap.a。

每小时50哈希——看看一个内部员工是如何摧毁整个公司网络的?

总结

目前已经有了各种各样的单板微型电脑,从廉价和通用的Raspberry Pi Zero到专门针对渗透测试的计算棒,它们在大小上已经与USB相当了。

从以上的实验可以看出, Windows PC是最容易发生攻击的系统,旨在通过USB连接的Raspberry Pi就可以拦截身份验证名称和密码。即使用户没有本地或系统管理员权限,只要可以检索其他用户(包括具有管理员权限的用户)的域凭据,该攻击就会发生。它也适用于Mac 操作系统。

每小时50哈希——看看一个内部员工是如何摧毁整个公司网络的?

到目前为止,窃取Cookie的第二种攻击类型仅在系统解锁时才起作用。该方法会将流量重定向到恶意页面,这很容易被安全解决方案检测到并阻止。当然,被盗的cookies只适用于那些不采用严格的HTTP传输策略的网站。

防护建议

我们提供了一些建议,以避免被攻击者的轻松攻击。

对用户来说:

1.如果你在公共场合,要离开电脑一会儿,请关闭电脑。

2.如果未关闭,重新进入电脑后,检查是电脑端口是否被插入任何额外的USB设备。如果看到立即拔出,并将其配置信息删除。

3.你被要求通过外部闪存驱动器,比如USB设备,分享过一些东西吗?建议使用云端传输或电子邮件发送文件。

4.如果有网站要对你的身份进行验证,请立即关闭该网站。

5.定期更改密码,无论是对PC上还是对经常登录的网站。请记住,并不是所有的网站都会使用防护机制来防范Cookie数据被替换的,你可以使用专门的密码管理软件轻松管理密码。

6.启用双因素身份验证,例如,请求登录确认或动态令牌。

当然,这一切的前提是,强烈建议你安装并定期更新杀软产品。

对管理员来说:

1.如果网络拓扑结构允许,我们建议仅使用Kerberos协议来验证域用户。不过,如果需要使用LLNMR和NTLM身份验证来支持传统系统的话,我们建议将网络分解成段,这样即使一个网段受到威胁,攻击者也无法访问整个网络。

2.限制特权域用户登录遗留系统,特别是域管理员。

3.域用户密码应定期更改。

4.企业网络中的所有计算机都配置安全保护产品,并定期更新。

5.为防止未经授权的USB设备连接,请激活安全产品套件中提供的设备控制功能。

6.如果你拥有网络资源,我们建议你激活HSTS(HTTP严格传输安全性),以防止从HTTPS转换为HTTP协议并从被盗cookie中欺骗凭据。

7.如果可能,禁用监听模式并激活Wi-Fi路由器和交换机中的客户端(AP)隔离设置,禁止其监听其他工作站的流量。

8.激活DHCP Snooping设置,保护企业网络用户免受假DHCP服务器的DHCP请求的诱导。

最后对于所有的人来说,不管是通过在线还是物理方式,你并不确定你的登录凭据是否已经被泄露。因此,我们强烈建议你在HaveIbeenPwned网站上检查你的凭据,以确保安全性。




原文发布时间为:2017年6月12日
本文作者:xiaohui
本文来自云栖社区合作伙伴嘶吼,了解相关信息可以关注嘶吼网站。
目录
相关文章
|
2月前
|
监控 安全
从 Racket 语言出发,创新员工网络监控软件的框架
在数字化企业环境中,员工网络监控软件对于保障信息安全和提升效率至关重要。Racket 语言凭借其独特特性和强大功能,为开发创新的监控软件提供了新可能。通过捕获和分析网络数据包、记录员工网络活动日志,甚至构建复杂的监控框架,Racket 能够满足企业的定制化需求,为企业信息安全和管理提供强有力支持。未来,基于 Racket 的创新解决方案将不断涌现。
45 6
|
7月前
|
移动开发 JSON 监控
网络协议解析:在员工上网监控软件中实现HTTP流量分析
随着企业对员工网络活动的监控需求不断增加,开发一套能够实现HTTP流量分析的网络协议解析系统变得愈发重要。本文将深入探讨如何在员工上网监控软件中实现HTTP流量分析,通过代码示例演示关键步骤。
289 0
|
1月前
|
数据可视化 算法 安全
员工上网行为管理软件:S - PLUS 在网络统计分析中的应用
在数字化办公环境中,S-PLUS 员工上网行为管理软件通过精准的数据收集、深入的流量分析和直观的可视化呈现,有效帮助企业管理员工上网行为,保障网络安全和提高运营效率。
27 1
|
29天前
|
监控 网络协议 安全
员工网络监控软件:PowerShell 在网络监控自动化中的应用
在数字化办公环境中,企业对员工网络活动的监控需求日益增长。PowerShell 作为一种强大的脚本语言,能够有效实现员工网络监控自动化。本文介绍了如何使用 PowerShell 获取网络连接信息、监控特定网址的访问情况,并生成自动化报告,帮助企业高效管理员工网络活动,确保网络安全和合规性。
43 0
|
7月前
|
监控 安全 数据可视化
如何使用这些上网行为管理软件一键管控员工网络
使用WorkWin、Hubstaff和Veriato等上网行为管理软件,企业可以有效监控和提升员工工作效率。这些工具提供实时员工监控、时间统计、移动部署、权限控制、远程管理及安全监控等功能,确保工作安全,优化时间分配,防止数据泄露,并通过任务追踪促进项目进展。通过生成报告和分析,企业能识别生产力瓶颈和安全风险,从而制定改进策略。
151 3
|
4月前
|
监控
员工网络监控软件大赏,哪款是你的心选
在这个快节奏的商业环境中,员工效率至关重要。面对员工摸鱼问题,合适的监控软件能助企业一臂之力。以下是几款精选软件: - **GFI LanGuard**: 提供深入的行为分析,帮助发现潜在问题并优化员工效率。 - **WorkWin**: 国产软件,实时监控网络行为,屏幕抓图及录像,精细管理网络流量。 - **OsMonitor**: 记录员工操作活动,限制应用使用,异常行为实时警报。 - **Cacti**: 防止敏感信息泄露,强大日志记录便于审计追踪。 每款软件各具特色,可根据具体需求挑选最合适的解决方案。例如,WorkWin适合寻求全面监控的企业;OsMonitor满足基本监控需求。
47 1
|
6月前
|
监控 安全 搜索推荐
用员工上网行为监控实现员工网络管理,这些软件超给力
【摘要】面对员工工作时间的不专注,网络管理软件成为解决方案。WorkWin提供远程监控,实时保障工作安全与效率;RescueTime关注员工生产力,自动跟踪时间使用;InterGuard则在监控中保护员工隐私,确保数据安全。这些工具助力企业提升效率,优化管理,同时确保合规运营。
162 0
|
7月前
|
监控 安全 数据处理
Groovy脚本技巧:在员工网络监控软件中应用脚本语言的代码演示
在当今数字时代,企业越来越关注员工的网络活动,以确保信息安全和工作效率。为了实现这一目标,许多公司使用了先进的员工网络监控软件。本文将介绍如何利用Groovy脚本语言,通过一些巧妙的技巧,更好地应用于员工网络监控软件,以实现定制化的监控和数据处理。
243 0
|
网络协议 网络性能优化 网络安全
阿里P8呕血搞出内部专用网络协议笔记,却被员工无意泄露,亏大了
计算机网络核心内容就是网络协议的学习。网络协议是为计算机网络中进行数据交换而建立的规则、标准或者说是约定的集合。 计算机网络协议同我们的语言一样,多种多样。而ARPA公司与1977年到1979年推出了一种名为ARPANET的网络协议受到了广泛的热捧,其中最主要的原因就是它推出了人尽皆知的TCP/IP标准网络协议。目前TCP/IP协议已经成为Internet中的“通用语言”
77 1
|
安全 数据库
“伦敦蓝”网络犯罪组织针对亚洲员工发起邮件攻击
“伦敦蓝”依赖于一个新的数据库,该数据库包含来自全球近 7800 家不同公司(大部分在美国)的约 8500 名财务主管的详细信息。
237 0