黑客:这就是我闯入黑客团队的方式
近一年后意大利监控软件制造商黑客团队有其内部电子邮件和文件在线泄露,负责违约的黑客发布了他如何渗透公司的网络。
作为Phineas Fisher在线已知的黑客周六发布的文件旨在作为其他黑客活动者的指南,但也会闪耀任何公司对某种坚定和熟练的攻击者捍卫自己的努力。
Hacker与西班牙语和英文版本的编写方式从一个名为@gammagrouppr的模型,他于2014年成立,以促进他违反伽玛国际的另一个监督软件供应商。他使用同样的账户来推动2015年7月的黑客团队袭击。
基于Fisher的新报告,意大利公司确实在内部基础设施中有一些漏洞,但也有一些良好的安全实践。例如,它没有向Internet公开许多设备以及托管其软件源代码的开发服务器都在隔离网段上。
根据黑客,从互联网到达的公司系统是:客户支持门户网站,需要客户端证书访问,一个基于Joomla CMS的网站,没有明显漏洞,这是一对路由器,两个VPN网关和垃圾邮件过滤器具。
“我有三个选择:在Joomla寻找一个0day,在Postfix中寻找一个0day,或者在其中一个嵌入式设备中寻找0天,”Hacker表示,参考以前未知 - 或零日 - 漏洞。“在嵌入式设备中的一个0day似乎是最简单的选择,经过两周的工作逆向工程,我得到了一个远程根爆炸。”
任何需要先前未知漏洞的攻击会为攻击者提高栏。然而,由于更容易的目标突出了嵌入式设备安全性差,因此,费舍尔观看路由器和VPN设备的事实。
黑客没有提供有关他被剥削的漏洞或他妥协的特定设备的任何其他信息,因为缺陷尚未修补,所以它据说它仍然有用其他攻击。但是,值得指出的是,该路由器,VPN网关和反垃圾邮件设备都是许多公司可能已连接到互联网的设备。
事实上,黑客声称他测试了利用,后卫固件和剥离后的工具,以便在将它们反对黑客团队之前针对其他公司创建的嵌入式设备。这是为了确保他们不会在部署时产生可能会提醒公司员工的任何错误或崩溃。
受损设备在黑客队的内部网络内部提供了渔业,以及从哪里扫描其他易受伤害或康普特系统的地方。在他发现一些之前,这不是很久。
首先,他找到了一些未经身份验证的MongoDB数据库,该数据库包含来自名为RCS的Hacking Team Surveilly软件的测试安装中的音频文件。然后,他发现两个Synology网络附加的存储器(NAS)设备用于存储备份并无需通过Internet小型计算机系统接口(iSCSI)身份验证。
这允许他远程安装其文件系统并访问存储在它们上的虚拟机备份,包括用于Microsoft Exchange电子邮件服务器的虚拟机备份。在另一个备份中的Windows注册表蜂拥而至为他提供了BlackBerry Enterprise Server的本地管理员密码。
使用Live Server上的密码允许黑客提取其他凭据,包括用于Windows域管理员的凭据。通过网络的横向移动继续使用PowerShell,Metasploit的MeterProrder等许多其他公用事业的工具以及窗口中的许多其他实用程序。
他针对系统管理员使用的计算机,并窃取了他们的密码,打开访问网络的其他部分,包括托管RCS源代码的访问权限。
除了初始漏洞和后卫固件外,似乎Fisher并没有使用任何其他符合恶意软件的其他程序。其中大多数是用于系统管理的工具,其在计算机上的存在不会触发安全警报。
“那是黑客的美丽和不对称:拥有100个小时的工作,一个人可以通过多百万美元的公司撤消多年的工作,”黑客在他的报帖结束时表示。“黑客为失败者提供了争取和赢得的机会。”
Fisher针对黑客队伍,因为据报道,一些政府的软件被一些政府用于人权滥用的记录,但他的结论应该是对可能吸引Hacktivists IRE的所有公司或其知识产权可能构成兴趣的公司的警告对网络表。