安全查

信息安全查询官网

维基解密每周一更:CIA三款工具齐上阵,Mac和Linux用户频躺枪

2017-7-30 admin

维基解密本周继续揭秘 CIA ,但与以往的 Vault 7 系列不同,本次维基解密披露的是 CIA 的另一个项目 Imperial 中的三款工具,主要针对运行 OS X 系统以及其他 Linux 系统的计算机,目的性较强。这是维基解密自3月以来每周一更的第 18 弹了,看来是越来越精彩啊。

头图.png

Achilles——针对 OS X DMG 镜像的后门工具

这款工具可以让 CIA 工作人员将捆绑恶意木马的合法 Mac OS 应用植入到 DMG 文件中。这个工具的 shell 脚本用 Bash 写成,可以进行一次性命令执行,依据操作者意愿执行一份或多份指定的可执行文件。

一旦警惕性不高的用户在自己的苹果电脑上下载了被感染了恶意代码的 DMG 应用,而且将其打开并安装,那么可执行的恶意文件就可以在后台运行(一次性命令执行)。此后, Achilles 会从所捆绑的应用文件中“安全地移除”payload,让该应用看起来与正常、未受感染的应用“绝无二致”。这样一来,扫描软件和杀毒软件就很难检测到原始感染向量。美国网络情报机构常常使用一次性命令执行的做法,这样可以长期隐藏在被入侵的设备中,避开检测。

Achilles 1.0 版本在2011年就已经开发出来,不过只在 Mac OS X 10.6 版本上测试过。 Mac OS X 10.6 又叫“雪豹(Snow Leopard)”,是苹果公司2009年发布的系统版本。

Achilles.jpg

SeaPea—— OS X 系统中的秘密 Rootkit

第二款工具叫做 SeaPea ,是 OS X 中的 Rootkit,可以让 CIA 工作人员隐藏重要文件、目录、进程以及来自用户的 socket 连接,进而秘密安装工具,在用户不知情的情况下访问其电脑。在维基解密今年三月份揭秘的 DarkSeaSkies 资料中,SeaPea 就已经被提到过了。

这款工具也是在 2011 年开发的,可以在最新版本的 Mac OS X 10.6(雪豹)系统(32 位或 64 位兼容内核)以及 Mac OS X 10.7(狮子)系统中运行。

这个工具运行时需要获得目标 Mac 电脑的 root 权限, CIA 可以利用其进行内核级别的植入,即使系统重启也能持续感染。只有将启动盘格式化或者将被感染的 Mac 升级到新版本的系统,才能移除这个 Rootkit。

Aeris——针对 Linux 系统的自动植入工具

第三款工具叫 Aeris ,是用 C 语言写成的自动植入工具,专门针对 Linux(Debian, CentOS, Red Hat, FreeBSD 以及 Solaris)植入后门。

利用 Aeris,CIA 工作人员可以针对不同电脑进行不同隐蔽操作,以达到不同的目的。

Aeris 支持自动提取文件,攻击者常常用于这种方法通过 TLS 加密信道从被入侵的设备中窃取信息。

它与 NOD 加密标准兼容,可以提供结构化命令和控制,这与一些 Windows 植入工具所用的命令和控制相似。

根据披露的文档内容, Aeris 主要影响的是如下系统:

Debian Linux 7 (i386)

Debian Linux 7 (amd64)

Debian Linux 7 (ARM)

Red Hat Enterprise Linux 6 (i386)

Red Hat Enterprise Linux 6 (amd64)

Solaris 11 (i386)

Solaris 11 (SPARC)

FreeBSD 8 (i386)

FreeBSD 8 (amd64)

CentOS 5.3 (i386)

CentOS 5.7 (i386)

关于此次披露的文档,可以点击这里了解详情。

以下是维基解密披露 Vault 7 系列文档的时间线,详细报道可以点击关键词超链接进行阅读:

ᗙ UMBRAGE / Raytheon Blackbird - CIA 承包商 Raytheon Blackbird Technologies 为 UMBRAGE 项目提供的恶意程序详细解析文档 (2017.7.19)

 HighRise - 拦截 SMS 消息并重定向至远程 CIA 服务器的安卓恶意程序(2017.7.13)

ᗙ BothanSpy & Gyrfalcon - 窃取 SSH 登录凭证的工具(2017.7.6) 

 OutlawCountry - 入侵 Linux 系统的工具(2017.6.30) 

ᗙ ELSA -  可以对 Windows 用户实施定位的恶意软件(2017.6.28) 

ᗙ Brutal Kangaroo - 入侵隔离网络的工具(2017.6.22) 

ᗙ CherryBlossom - 入侵 SOHO 无线路由器的工具(2017.6.15) 

ᗙ Pandemic – 用恶意程序代替合法文件的工具(2017.6.1) 

ᗙ Athena - 与某美国公司共同开发的恶意软件框架(2017.5.19) 

ᗙ AfterMidnight and Assassin ——  Windows 恶意软件框架(2017.5.12) 

ᗙ Archimedes —— 实施中间人攻击的工具(2017.5.5) 

ᗙ  Scribble —— Office 文档追踪工具(2017.4.28) 

ᗙ Weeping Angel ——入侵 Samsung 智能电视的工具(2017.4.21)

ᗙ HIVE—— 多平台入侵植入和管理控制工具(2017.4.14)

ᗙ Grasshopper —— Windows 恶意软件生成器(2017.4.7)

ᗙ   Marble Framework —— 秘密反监识框架(2017.3.31) 

ᗙ Dark Matter —— 入侵 iPhone 和 Mac 的工具(2017.3.23)

评论(0) 浏览(406)

色情广告挂马分析:记一次挂马与挖矿之间的“亲密接触”

2017-7-30 admin

1. 背景

近日,腾讯安全反病毒实验室发现,有一类木马通过网页广告挂马的方式大规模传播广告内容色情链接,诱导用户点击。链接中嵌入了一段触发IE漏洞的JS脚本,如果用户电脑IE浏览器没有及时打好补丁那么点击链接后将会中招。 木马除了给受害者电脑上添加后门、窃取隐私信息之外,还会运行数字货币挖矿的程序从中获利。同时反病毒实验室还发现,木马作者服务器上还保存着 linux 等平台的木马,以及大量受控服务器后台地址,有可能进一步发动挖矿等更大规模的攻击。

下面带来详细的分析

2. 技术分析

2.1. 挂马

色情广告网页中内嵌带有混淆JS脚本

挂马脚本

解密后是利用 CVE-2016-0189 漏洞

漏洞利用

CVE-2016-0189 漏洞是 IE 浏览器脚本引擎漏洞,影响 IE9/10/11 浏览器,由于漏洞利用简单且影响范围大,稳定性好,不容易造成崩溃, CVE-2016-0189 漏洞已经成为黑客最常用的漏洞工具之一。木马会从服务器上下载可执行文件在用户电脑上执行。

木马下载文件执行

登录到木马的服务器,发现木马服务器上存放着pe elf压缩包 等格式的文件。文件包含了后门木马程序,开源挖矿工具以及疑似被攻击目标,下面我们从这几个方面进行 详细介绍 

文件详情

2.2. 后门木马

服务器Server.exebuild.exe dashu.exe三个文件,是同一类型的后门程序。 通过对比,只是在创建服务程序,服务名称和描述不一样

后门木马 

后门程序第一次运行时会检查服务是否已经存在,如果不存在的话,会把自己重命名为随机文件名,然后拷贝到 C:\windows\system32 文件夹下, 以服务 形式启动

后门程序运行

如果通过服务的形式启动,就执行后门逻辑。

执行后门逻辑 

目前分析,后门主要的危害包括:下载执行恶意文件,启动IE访问某个 恶意URL等。

后门主要危害 

这里下载的可执行文件,黑客可以根据自己的需求进行配置。如果配置了服务器上存放的挖矿程序 system.exe,那么此时 肉鸡就变成了黑客的发财工具。

除了以上两个功能外,还包含了大概31其他的与服务器进行交互的功能。基本思路是接受服务器 传来的参数,解密并执行

经过分析,服务器上存放 sbwang、gnmbs 等 elf 文件,也是带有后门功能的 linux 木马 

带有后门的木马

2.3  挖矿工具

服务器中的最后一个 system.exe 是与挖矿有关的可执行文件。运行后,system.exe 会在 C:\sys  目录下释放多个 文件,随后拉起 nheqminer1.exe 进程,运行参数包含矿池地址钱包地址 修改注册表 设置 system.exe 开机自启动,这样中招用户每次开机后,都会执行挖矿的程序,给木马作者带来 源源不断的收益。

挖矿工具

上图展示的 system.exe 所释放的文件,属于 github 开源的挖 框架 nheqminer 。这里挖掘的是 Zcash ,Zcash 类似比特币 ,但又有所不同。比特币等数字货币以交易的隐蔽性著称,但可以通过比特币区块链的记录追踪交易,人们可以准确获知比特币的发送者。Zcash 对交易数据进行了匿名处理,而不是像比特币那样要将交易数据公布于大众。同时 , 挖矿消耗资源较少,个人电脑即可满足挖矿的需求。

2.4. 被攻击目标

ips.rar 文件存放的扫描到的部署有 phpmyadmin 的服务器地址

服务器地址 

这些 ip 基本都是 服务服务器地址,黑客目标可能是想攻击 部署在其服务上的应用。搜索黑客挂马服务器的ip,也能看出一些端倪。

黑客挂马服务器的ip 

这个ip曾经进行过各种类型的攻击,包括端口扫描,ssh登录。猜测目的应该为了攻击并获取云上服务器的权限 进行挂马或者部署 自己的恶意程序,从而完成 规模更大,目的性更明确的攻击。

3. 溯源

3.1 影响范围

下面第一幅图展示漏洞每日拦截趋势情况第二幅图是 后门样本的广度情况。对比两幅图,可以看到七月中旬以后,拦截次数病毒广度都呈现上升趋势

漏洞每日拦截趋势情况 

后门样本的广度情况 

查看受害人的地理分布,发现广东和山东江苏 河南等,是本次挂马挖矿的重灾区。

受害人的地理分布 

3.2. 挖矿地址

木马运行时会通过隐藏窗口创建一个挖矿进程,通过监控木马命令行行为可以发现,运行参数中配置有挖矿池地址,钱包地址等参数。

关键行为与进程行为 

查询地址钱包的信息,能够看到为此钱包挖矿的机器。两天内已有 500个机器为此地址挖过矿。

地址钱包信息 

查询到的挖矿机器数据来看,挖矿数小于 后门中招的机器数。可以看出,木马作者并没有利用挂马的后门程序给全体受害者推送挖矿程序,只有部分受害者变成了 矿工如果 黑客哪天想多赚钱,下发挖矿程序 这么多肉鸡的帮助下, 实现财富自由也是分分钟的事情。

3.3 C&C服务器

挖掘现有C&C服务器信息我们还发现了作者其他的 C&C 服务器地址  通过现有掌握的数据,我们整理出来了 C&C 服务器,挂马服务器还有样本之间的关联。 图中的紫色样本,表示此样本部署在了挂马服务器 同时也连接了 C&C 服务器。 两类服务器之间的关联通过样本建立了起来。

C&C服务器 与挂马服务器

总结

前文分析看到,此次挂马挖矿在七月中旬后有个爆发 漏洞拦截次数和样本的广度都有一个明显的上升。并且挂马服务器的挖矿样本频繁更新, 病毒目前活跃度较大  

评论(0) 浏览(255)

深度报道:乌克兰如何会沦为俄罗斯的网络战试验场

2017-7-30 admin

当WannaCry勒索病毒余波未尽时,Petya又让欧美告急,乌克兰全国沦陷。作为此次网络攻击的重灾区,乌克兰政府宣称其所受到的攻击规模“前所未见”,而俄罗斯国家黑客就是攻击的“幕后黑手”。两年前的乌克兰电网攻击事件还历历在目,余惊未息,俄罗斯黑客暗影又再次袭来。乌克兰近年遭受的多次大规模网络攻击间接与俄罗斯相关,多方专家声称乌克兰已经成为俄罗斯进行网络攻击的试验场。《连线》记者安迪·格林伯格(Andy Greenberg)围绕乌克兰两次电网攻击事件,以基辅安全分析师、美情报机构前雇员和SANS高级研究员为采访主线,侧面揭露乌克兰如何成为专家口中的“俄罗斯网络战试验场”。

突如其来的停电事故

2016年12月的某个周六晚上, 40岁的网络安全专家沃勒克斯·亚辛斯基(Oleksii Yasinsky)所在的小区突然停电了。此前,他和老婆孩子一家人正在电视上观看奥利弗斯通的电影《斯诺登》。

亚辛斯基老婆开玩笑地说道:“可能是黑客不想让我们看完电影吧”,她指的是2015年圣诞节前两天,乌克兰电力网络受到黑客攻击导致停电,影响二十多万户居民的事件。老婆的话并没让亚辛斯基有一丝笑意,作为基辅某安全公司首席分析师,他深知这并不是没有可能。他扫了一眼桌子上的闹钟,时间刚好指向午夜零点。

房间的电视机与备用电源相连,屏幕上闪烁跳跃的图标画面照亮了整个房间。电源插线板不知怎的开始嗞嗞作响,亚辛斯基起身关闭按钮,房间霎时陷入沉静。

他走进厨房,拿出一把蜡烛各自点上,然后走到厨房望向窗外。此刻,外面的景象是他从来没有看到过的:整个小区完全陷入黑暗,只有天边灰暗的余光从阴沉的天空洒下来,把地面的现代公寓和苏联老式高层建筑勾勒得像一堆焦黑的残骸。

离2015年12月的电网攻击事件已过去一年左右,但在亚辛斯基心里,他明显觉得今天应该不是正常停电。黑暗和外面近在眼前的寒冬让他心绪沉重,在没有电力供应的情况下,不断降低的温度会把水管慢慢冻住、暖气供给停止,数千万家庭的温暖即将被吞噬。

在过去10多个月亚辛斯基发现自己似乎正处于一场危机漩涡中心,越来越多的公司和政府机构都相继找他协助分析一些网络攻击事件,而且这些网络攻击大多都是一系列快速且影响严重的破坏性攻击。经他分析调查,一支黑客团队可能是这些攻击的幕后黑手。此刻,难以抑制而又偏执的想法划过亚辛斯基脑海:这些黑客又出现了,他们通过网络,遁入无形,跨过门窗,像幽灵一样出现在他的家中。

俄罗斯对乌克兰发起网络战的历史缘由

几十年来,网络预言家就一直发出警告,黑客行为将会超越单纯的制造数字混乱,最终将对现实世界造成真正物理破坏。2009年,“潜入”伊朗核设施的NSA震网病毒(Stuxnet)对数百台离心机的加速破坏,预示着网络武器新时代的到来。

美国前NSA和CIA局长迈克尔·海登在一次演讲中透露,震网病毒的出现就像1945年的原子弹核爆一样,某些人使用了新型武器,打开了潘多拉魔盒,从此便进入了一发不可收拾的状态。

现在在乌克兰,那些原先只存在人们脑海中典型的网络战场景已经悄然而至,对现实生活造成影响。未知攻击者曾在不同时间点发起过两次电网攻击,造成停电事故导致成百上千家庭陷入黑暗,每次停电将会持续数小时,直至手忙脚乱的工程师进行手动电源切换。这种攻击已经从概念性证明方面开创了先例,几十年来的噩梦恍然成真:黑客操控现代社会已经成为现实。而这一切背后,似乎都有着俄罗斯的影子。

停电仅只是黑客对乌克兰发起网络闪电战中的一部分。在过去三年里,一支黑客部队已经对乌克兰全国几乎各行业都发起过系统性的网络攻击,媒体、金融、运输、军事、政治、能源等,这种大规模持续性的网络攻击在全世界任何一个地方都不曾发生过。一波接一波的黑客入侵,造成了数据被删除、电脑被破坏,甚至让一些组织机构基本运转都陷入瘫痪。长期关注网络安全的的北约大使肯尼斯·杰尔斯(Kenneth Geers)说:“黑客在乌克兰无孔不入,几乎找不到一片能免受网络攻击的净土!”。

在去年12月的一份公开声明中,乌克兰总统波罗申科(Petro Poroshenko)称,在过去的两个月,发生了6500次针对36个乌克兰目标的网络攻击。虽然一些国际网络安全专家由于缺乏明显指向克里姆林宫的证据而停止了调查,但波罗申科却非常肯定地说:“据乌克兰自己调查发现,这些攻击间接或直接与俄罗斯联邦安全局有关,俄罗斯已经向乌克兰发起了网络战!”。而对此,俄罗斯外交部却不予置评。

在该问题上,如果要明白这些网络攻击背后的实质意义,就必须对当今的地缘政治有所认知,也助于我们了解俄罗斯与与西方最大邻国的独特关系。长久以来,俄罗斯一直认为乌克兰是俄沙皇帝国的合法组成部分,也是俄罗斯与北约势力之间的战略缓冲地带,当然还是通往欧洲的一条利益通道,这里还与俄罗斯仅有的几个温水港接壤。基于这些种种原因,以大国心态自居的俄罗斯世代以来都极力想把乌克兰变成自己的“跟班小弟”。

但是,在过去十多年间,俄罗斯对乌克兰的控制和影响逐渐弱化,乌克兰国内支持北约和欧盟的呼声持续高涨。2004年,乌克兰国内爆发橙色革命,大批民众抗议俄罗斯干涉乌克兰总统选举。也就是在那一年,俄罗斯特工曾试图毒杀亲西方的乌克兰总统候选人维克托·尤先科。历经十年,2014年的乌克兰亲欧革命,最终导致有俄罗斯支持背景的总统亚努科维奇下台。(亚努科维奇多年的前政治顾问Paul Manafort现曾为川普的竞选团队主席)

后期,俄罗斯军队迅速吞并克里米亚半岛南部,并入侵了顿涅茨东部俄语系地区。此后,乌克兰一直与俄罗斯处于不宣而战状态,导致国内近200万难民流离失所和1万多人伤亡。

从一开始,这场战争的主旋律便是数字化的网络攻击。2014年,乌克兰革命后的总统选举最后关键时刻,被称为CyberBerkut的亲俄黑客组织通过入侵操纵乌中央选举委员会网站,恶意宣传右翼组织总统候选人德米特里·雅罗什(Dmytro Yarosh)获胜,幸亏网站管理员在选举结果公布前一小时就检测到了网站篡改情况。此次攻击拉开了俄罗斯网络战试验的序幕,一系列频繁的网络攻击瞄准乌克兰接踵而来,一度在2015年秋达到白热化阶段并愈演愈烈。后经证实,CyberBerkut与后期入侵美国民主党委员会(DNC)的俄罗斯国家黑客组织APT28有关。

曾于2005年至2010年担任乌克兰总统的维克多·尤先科表示,俄罗斯的互联网战略目的只有一个,那就是“破坏乌克兰国内局势,使乌克兰政府陷入瘫痪状态”。他还坚定地认为,停电事故、网络攻击、俄罗斯在乌克兰媒体的大肆造谣行为、乌东部的恐怖主义活动和他自己数年前遭遇的毒害经历都是俄罗斯一手制造的事端,目的就是让乌克兰政权崩坍。带着一脸曾遭化学中毒遗留下的伤疤,他说:“俄罗斯永远不会把乌克兰当成一个主权独立的国家来看待,虽然苏联时代已于二十年五年前就解体了,但俄罗斯始终还患有帝国主义综合症”。

但很多国际网络安全分析师对乌克兰遭受的黑客攻击“疫情”有着更深入的看法,他们认为:俄罗斯正在把乌克兰当作网络战试验场,以完善和构建全球网络战的新形式和新秩序。而俄罗斯在乌克兰多次引爆的“数字化爆炸物”也曾被植入到美国民用基础设施的信息系统中。

黑客利用BlackEnergy和KillDisk的试探性攻击

2015年10月的一个周日早晨,正在家吃早餐的亚辛斯基突然接到单位电话,那时他正担任乌克兰国内最大的电视广播集团-星光传媒公司(StarLightMedia)信息安全主管。在来电中,公司IT管理员说,两台服务器在半夜突然下线,但现在已从备份中恢复运行。但亚辛斯基感觉这不正常。他说,“如果只是一台服务器,还说得过去,但两台服务器几乎同一时间就突然宕机了,这值得怀疑”。

就别想着过周末了,亚辛斯基匆忙离开家,坐了40分钟地铁赶到公司。之后,亚辛斯基和IT部门同事对其中一台受损服务器内置的磁盘镜像作了检查。他们发现服务器硬盘主引导记录区被一串0字节代码精准重写覆盖。毫无疑问,这两台服务器被入侵攻击了。由于这两台服务器用于公司内部的域控制器托管,具备管理控制公司内部网络数百台计算机的高权限。此刻,发生这种麻烦情况非常令人不安。

之后亚辛斯基发现,这次网络攻击比预想的更严重:攻击者通过这两台服务器向星光传媒13位雇员的笔记本电脑中植入了恶意软件,这些受感染电脑同样受到了主引导记录重写攻击,而此时,传媒公司员工正在准备全国地方选举相关的晨间电视新闻简报。

幸运的是,亚辛斯基通过公司网络日志发现,其域控制器似乎在攻击发生后不久就提前自动断开连接了,否则200多台公司计算机将会受到攻击影响。但很快,亚辛斯基听说同行媒体公司TRK就没那么幸运了,他们受到了同样方式的网络攻击,并且有100多台计算机被入侵感染。

亚辛斯基设法从公司网络中提取出了一份攻击所利用的恶意程序,带回家进行分析。经过仔细的代码逆向分析,他发现,该恶意程序具备精巧的混淆加壳功能,实现了对所有杀毒软件的免杀,并且还伪装成了另一款安全软件Microsoft Windows Defender。在家人熟睡后,亚辛斯基把分析相关的逆向代码全部打印出来放到厨房的地板和桌子上,用彩笔和交叉线着重标记那些隐蔽字符和命令,试图找出恶意程序的真实面目。对于亚辛斯基本人来说,他有着20年的大型网络管理和信息安全工作经验,并曾成功阻止和防御了数次黑客攻击,但在此之前,他却从未分析和见识过如此精良的网络武器。

拨开重重迷雾,亚辛斯基发现,该恶意程序属于一种流行于黑客界近十年之久的数据破坏类恶意软件KillDisk。为了弄清楚黑客入侵公司网络系统的具体方式,亚辛斯基和两位同事利用晚上和周末的时间对公司网络日志进行了深入的比对分析。最终,黑客的指纹数据水落石出:数个被入侵控制的Youtube账户,以及属于某位生病请假IT管理员所有,但现仍然在用的登录凭据。综合这些线索,亚辛斯基和同事发现了一个恐怖的事实:在攻击发生之前,黑客已经潜伏于公司网络系统长达6个多月!黑客最终将向计算机系统植入一个全功能木马BlackEnergy,以实现持久驻留控制。

很快,亚辛斯基很多政府机构和公司同行纷纷反映,他们所在单位也遭受了严重的网络攻击,而这些攻击方式都如出一辙。就连乌克兰最大的铁路公司Ukrzaliznytsia也难于幸免,还有多家亚辛斯基不愿透露的企业。接下来,黑客发起了一波接一波的网络攻击浪潮,BlackEnergy用来入侵控制,KillDisk用来破坏硬盘数据。虽然黑客动机成谜,但基踪迹却似乎无处不在。

亚辛斯基说,“我们每向前深入研究一步,隐藏在水面下的冰山就会逐渐显露,可以算是越深入,越恐怖”。即便如此,亚辛斯基还是难于窥见真正的攻击威胁规模,就比如2015年12月,黑客再次利用事先植入计算机系统的BlackEnergy和KillDisk,致使乌克兰三个主要电力公司陷入瘫痪,造成乌克兰全国大面积停电事故。

blackout1.png

罗伯特·李的发现

一开始,罗伯特·李(Robert Lee)认为这是松鼠的错。

这是2015年的平安夜,也是罗伯特·李(Robert Lee)打算在家乡亚拉巴马卡尔曼举行大婚的前一天。蓄有一头红发和大胡子的罗伯特·李刚刚从三个字母的美国情报机构离职,在那里他曾专注于关键基础设施的网络安全研究。而现在,他打算安定下来创建自己的安全公司,并与在国外结识的德国女友完婚。

正当李忙于筹备婚礼时,他看到新闻头条声称黑客攻击了乌克兰西部的某电站,导致乌全国大面积陷入了六小时的停电。而李此前曾听闻过多次电网受黑客攻击的虚假案例,在乱遭遭的婚礼前夜,他完全不把这个新闻当回事。发生此类停电事故,最有可能是啮齿类动物或飞鸟造成的,在业内甚至有这么一个玩笑:松鼠对电网的威胁比黑客还大。

然而,就在婚礼当天,李收到了来自SANS高级安全研究者麦克·阿桑特(Mike Assante)的短信,在短信中,阿桑特向李透露,乌克兰电网黑客攻击事件貌似是真的。在电网信息安全领域,阿桑特可以算是全球的权威专家,李开始觉得此次停电事故非同寻常。

刚刚举办完婚礼仪式,李在乌克兰的一个公司联络人也通过短信告知他:黑客电网攻击事故是真的,现正需要李的帮助。对于长期职业生涯专注关键基础设施网络安全研究的李来说,真正派上用场的时候到了。他走出宾客的恭贺,还来不及脱下婚礼礼服,就急忙在一个安静的角落与阿桑特进行短信沟通。

李最终偷偷溜出了宴会厅,来到父母家的台式电脑前,与正在爱达荷州参加圣诞聚会的阿桑特在线交流。他们一起对乌克兰地图和电网路线进行查看后,发现三家受攻击的电网公司变电站都分布于乌克兰不同地区,各变电站之间相隔数百英里且网络系统互不相连。松鼠可没这本事,李暗自兴奋。

就像几个月前星光传媒受攻击后亚辛斯基所做的那样,当晚,李就在电脑前忙着分析乌克兰联络人从受攻击电网公司取样并发给他的KillDisk恶意软件样本。李幽默地说道:“还好,我娶了一个非常有耐心的妻子”。几天后,李收到了一份攻击所使用的BlackEnergy源码和取证数据。这些线索显示,攻击者开始时冒充乌克兰议会人员发送钓鱼邮件,当受害者收到这些邮件后,其中的恶意Word附件将会执行一个BlackEnergy木马植入脚本,实现对受害者计算机系统的感染控制。以此为突破口,攻击者深入传播渗透,最终入侵了电网公司某个用于远程办公内网接入的VPN系统,而要命的是,办公内网中运行有远程操控断路器等电网控制设备的工控软件。

在梳理了攻击者使用的技术方法后,李发现这些手法竟然与臭名昭著的黑客组织-沙虫(Sandworm)惊人相似。沙虫组织主要针对工控系统为目标,曾于2014年对波兰能源公司和乌克兰政府机构发起了入侵攻击,后被火眼公司(Fireeye)曝光,因其攻击利用代码中多次引用了科幻小说沙丘(Dune)中沙虫肆虐的干旱星球哈肯尼(Harkonnen)和亚瑞克斯(Arrakis),故被命名为“沙虫”。

没人知道沙虫组织的具体意图,但所有迹象表明其幕后黑客为俄罗斯人:火眼公司发现沙虫的某个独特入侵技术来自于一位俄罗斯黑客的会议报告,另外,火眼通过反向入侵,接管了沙虫组织某个不安全的C2服务器后发现,该服务器中存放了俄语版的BlackEnergy木马使用说明和其它大量俄语文件。

让美国安全分析师不安的是,沙虫的入侵攻击竟然蔓延到了大西洋一岸。2014年初,美国政府通报黑客在美国电力和水利设施中植入了BlackEnergy木马,结合政府的证据,火眼再次见识了沙虫的攻击威胁。综合这些信息,李发现此次乌克兰电网攻击和2014年美国电力公司受攻击中都出现了相同的恶意软件,这两起入侵攻击事件可能为同一黑客组织所为。

乌克兰的圣诞停电事故已经过去几天了,阿桑特认为把这种攻击事件归罪于任何黑客组织甚至是政府势力都可能为时过早。但在李的脑海中,警报已经响起。此次乌克兰电网攻击事件绝不仅仅是一个千里之外的异国案例,“对手其实早已把目标越界瞄准了美国能源设施,并且已经入侵了一个电网公司”,李说道,“对美国来说,这已经是一个迫在眉睫的威胁”。

美方调查团队的乌克兰之行

几个星期后的一个寒冷冬日,来自美国FBI、DHS、DOE(能源部)和北美电力可靠性协会(NERC)的调查团队抵达基辅,入住在圣索菲亚大教堂附近的凯悦酒店。之后,这些美方人员都将深入电网攻击事故区开展调查。

同时,FBI也从怀俄明州把阿桑特作为专家顾问邀请到了乌克兰。由于李比较固执,坚持认为FBI应该马上公布攻击事件细节,所以没在受邀之列。

调查开始第一天,所有人衣冠楚楚集中在一个干明亮洁净的会议室内,同来的还有三个受攻击电网公司之一的Kyivoblenergo相关人员。接下来的几个小时里,Kyivoblenergo公司高管和工程师详述了他们的网络系统如何遭到了一场复杂而深入的攻击:正如李和阿桑特之前发现的那样,恶意软件中没有包含任何能够实际控制断路器的命令。12月23日下午,一切都没有任何征兆,Kyivoblenergo公司员工突然无奈地看到,几乎可以横跨马萨诸塞州地区大小的数十个变电站的断路器不知如何被纷纷开启,而控制命令似乎来自于其公司内网所属计算机。

事实上,在停电事故后,经Kyivoblenergo工程师确定,攻击者早已在电网公司某台偏远的控制系统PC内植入了远控软件,之后,由此恶意软件发起了切断供电的命令。这些断路器一旦开启,成千上万的乌克兰人电力供应就被切断。随后,黑客发起了第二阶段攻击,他们通过数周时间研究,重写变电站服务器机柜内用来执行以太网和固件设备通讯的串口转换器(Serial to Ethernet Connector),这种硬件代码重写技术将使转换器设备完全瘫痪,导致电网管理者无法对断路器作出进一步操作控制。坐在会议室桌子旁聆听讲述的阿桑特,对这种攻击的彻底性心生感叹。

入侵之余,黑客也不忘实施他们的恶行,利用KillDisk破坏公司大量内网电脑数据,但其中数对变电站电源备份系统的破坏最为恶毒。就这样,当地区供电被切断后,变电站本身也掉电了,当危机发生时,变电站也陷入了无边际的茫茫黑暗中。黑客以这种精准打击的方式,让乌克兰处于层层黑暗之中。

“站在黑客角度,他们似乎想要让人觉得,看看,我能让你到处都这种,这里,这里,这里,还有这里……,他们就要制造出这种可以控制一切的效果。所以,你可以想像,作为电网管理者来说,这种情况下该有多么不知所措”,阿桑特说道。

当天晚上,调查团队飞往坐落在喀尔巴阡山脉附近的乌克兰西部城市伊万诺-弗兰科夫斯克(Ivano-Frankivsk)。在满天暴风雪中,飞机缓慢降落在一个小型的苏式机场。第二天,调查团队继续奔赴此次受攻击最为严重的电力公司Prykarpattyaoblenergo总部。

在附近满是废弃燃煤电厂若隐若现的烟囱包围下,电力公司高管客气地把美国人招呼进了他们的现代化办公楼内。进入会议室,大家围坐在一张长条形木桌旁,墙上映入眼帘的是一大幅中世纪战争相关的油画。

接下来的攻击描述大多与Kyivoblenergo公司的情况相差无几:BlackEnergy木马、固件被重写、电源备份系统被破坏、KillDisk。但在此次行动中,攻击者还采用了另一种方式:创建虚假电话对电力公司呼叫中心进行连续的电话呼叫攻击,目的可能是为了延误用户的停电通知或是制造出另外的混乱。

还有另外一个不同之处。当美国人问,是否像基辅Kyivoblenergo公司那样,黑客通过远控软件发送命令切断电源,Prykarpattyaoblenergo工程师说没有,因为公司的断路器被黑客通过另外一种方式开启。此时,Prykarpattyaoblenergo公司高个子技术主管开始插话进来,他没有通过翻译向美国人解释黑客的攻击方法,只是用他破旧的iPhone 5s向大家展示了一段他自己拍摄的视频。

56秒的视频片段显示了电力公司操控室内一台电脑的光标在不断移动,指针移动到断路器图标处,然后单击命令打开。可以看到,视频中与三星显示器相连的鼠标并没有被人为移动,而其屏幕光标却自动在桌面上来回移动,最终停留在一个110KW断路器上试图执行电源切断操作。而房间内的工程师则非常疑惑地询问这到底是谁在进行操作。

黑客并不像攻击Kyivoblenergo公司那样,利用自动化软件或受控主机发送电源切断指令,而是通过入侵了公司的IT服务帮助台工具(helpdesk tool),直接对变电站控制系统鼠标进行操控。这种攻击方式下,电网管理者的用户界面和系统操作将被锁定限制,展现在他们眼前的是一只只幽灵鼠标对多个电路断路器进行开启,而这些断路器共同控制了该地区的电力分布。

亚辛斯基的新工作

2016年8月,距离圣诞停电事故已有8个多月,亚辛斯基辞去了星光传媒(StarLightMedia)的工作。他认为,在现在的传媒行业,从某种意义上来说,要保护一家公司免受来自乌克兰社会各阶层的冲击,目前的状况有些难堪。为了与黑客们保持同步,他需要重新审视自己的职业生涯。而当面对“沙虫”等复杂无耻的黑客组织时,亚辛斯基认为乌克兰也需要一些更加强势和连贯的回应。

因此,亚辛斯基选择在基辅的ISSP公司(Information Systems Security Partners)担任分析取证总监,虽然公司不怎么出名,但亚辛斯基在这里负责针对网络攻击的应急响应服务。

亚辛斯基换工作不久后,果然不出所料,乌克兰再次遭受了一波更广泛的攻击,乌克兰退休基金部、国家财政部、海港管理局、基础设施部、国防部和财政部都纷纷中招。而且,黑客再次攻击了乌克兰铁路公司,让正值旅游旺季期间的订票系统瘫痪数日。就像2015年那样,此波攻击最终在受害系统硬盘上激活了KillDisk病毒,造成众多机构大量数据被严重破坏。以财政部为例,黑客使用逻辑炸弹删除了包括下一年度预算在内的近百万兆字节数据信息。总之,与去年的攻击相比,黑客此次发起的冬季攻势取得了“完美”胜利。

黑客袭来:变电站值班员的恐怖之夜

2016年12月16日晚,当亚辛斯基和家人围座在客厅观看电影《斯诺登》时,年轻的工程师奥列格·萨切科(Oleg Zaychenko)正在基辅北部的Ukrenergo变电站内值夜班。当班时间已过去4小时,萨切科坐在一间老旧的苏联时代控制室内,淡黄色墙壁,硕大一个从地板顶到天花板的操作控制台。变电站的虎斑猫阿扎(Aza)不知跑哪去了,陪伴萨切科的只有角落里那台反复播放MTV的电视。

这貌似又是一个平静如常的周六晚上。正当萨切科在纸上填写值班日志时,变电站的警报突然响起,震耳欲聋,不断持续。萨切科发现,右边控制台上的变电系统电路状态灯已从红色变为绿色,用电气工程师的话来说,它已经处于停机状态。慌乱之际,他赶紧拿起左边的黑色座机通知Ukrenergo总部管理者,此时,控制台上另一个状态灯又突然变为绿色。霎时,萨切科的心都提到了嗓子眼上,他急忙向电话那头的管理者语无伦次地解释着这个意外状况。一排排的状态灯仍然在不停忽闪:一个接一个地,红变绿,红变绿,10个,12个…。

随着危机升级,管理者命令萨切科赶紧去外面检查变电设备是否受到物理破坏,正当此时,控制台最后一条电路落闸了,控制室天花板上的灯突然熄灭,电脑和电视也瞬间掉电了。萨切科急忙拽起一件大衣披在蓝黄相间的制服上,冲门而出。

变电站运转的电器设备占地20多公顷,有十几个足球场那么大,通常来说,就像走入了一片茫茫无边且嗡嗡作响的丛林。但当萨切科走入寒冷夜空时,外面的气氛变得比以往更加恐怖:排列在楼旁负责首都五分之一供电量的三个大型变压器变得无比安静。直到一阵嘀嘀的电子设备自检声才让萨切科回过神来,当他跑过一堆堆瘫痪的电器设备时,脑海中认过一个念头:黑客再次来袭!

电网大杀器CrashOverride

这一次,黑客没有对负责输电线路调配的配电站下手,而是把目标对准了乌克兰电网的循环控制系统,直接击中电网要害。萨切科所在的那个基辅变电站可以承载200兆瓦的电力传输,超过2015年被黑客攻击的50多个配电站电量总和。幸运的是,在造成当地民众恐慌和大面积受冻之前,Ukrenergo工程师通过手动检修闭合线路,让光明重现,黑暗仅仅持续了不到一小时。

此次短暂的停电事件虽然算是2016年不具威胁的黑客攻击,但一些安全公司事后分析认为,此次攻击比2015年更为高级:黑客使用了一个高度复杂且通用的恶意软件执行主要攻击,而这个恶意软件就是现在被称为电网大杀器的自动化程序CrashOverride。

罗伯特·李的关键基础设施安全初创公司Dragos,是完整分析了CrashOverride代码的两家公司之一。Dragos从斯洛伐克安全公司ESET获得了一份CrashOverride样本,两家公司都发现,在攻击过程中,CrashOverride竟然能用电网的模糊控制系统协议语言进行“通信交流”,因此可以直接向电网设备发送执行命令。相比黑客在2015年攻击中所用的“幽灵鼠标”和远控技术,该恶意程序能通过编程实现内网拓扑探测、预定时间运行和准时打开电路等强大功能,甚至还不会产生任何与黑客的回连控制。换句话说,这是自Stuxnet以来,在野生网络中发现的第一个专门针对物理基础设施进行系统破坏的恶意软件。

另外,CrashOverride不只是针对乌克兰电网的一次性利用工具,据研究人员介绍,它是一种可重复使用且适应性极强的电力设备中断武器。在CrashOverride的模块化结构中,乌克兰Ukrenergo公司的控制系统协议很容易被替换成欧洲或美国地区使用的电力通信协议,从而针对其它目标发起攻击。

霍尼韦尔公司(Honeywell)工控安全研究员玛丽娜·克罗菲尔(Marina Krotofil)也对乌克兰Ukrenergo公司的电网攻击事件作了分析,她认为黑客这一次比2015年发起的攻击更为简单有效,“2015年,他们就像一群野蛮的街头战士,但2016年,他们就变为忍者了”,克罗菲尔说道。而且,这些黑客可能为同一组织,据Dragos研究员不对外公布的分析结果显示,CrashOverride的作者来自于沙虫黑客团队(Sandworm)。

对罗伯特·李来说,Sandworm团队的这种不断演变进化进程令人不安。在他巴尔的摩的Dragos办公室外,远处隐约可见一排架设有输电线的电缆塔,李告诉我,它们负责为18英里外的华盛顿特区供电。

罗伯特·李指出,确切迹象表明某个黑客组织已经把关键基础设施作为目标,并且具备相应的攻击能力。他们不断改进完善攻击技术,并成功在美国电网系统中植入过BlackEnergy木马。“专业人士都知道,美国电网一样会受到攻击”,李说。

李还认为,对沙虫黑客团队来说,美国电网可以算是一个更明显或合适的攻击目标。尽管美国电力公司更重视网络安全,但其运行系统比乌克兰更自动化、更现代化,而这就意味着存在更多的数字化“攻击面”,并且,美国的电气工程师相对缺乏一些停电检修动手经验。

没人知道,沙虫将如何实施下一场攻击,但其目标可能不再会是配电站或变电站,而是实际的发电厂,攻击目的可能也不是简单的停电而是直接破坏摧毁。2007年,那时麦克·阿桑特还在的爱达荷州国家实验室研究团队测试表明,对电网的黑客攻击可以形成致命伤亡:在称为Aurora的实验中,简单的数字命令就能彻底破坏一台2.25兆瓦的柴油发电机,实验视频显示,客厅大小的发电机最终在一阵噗噗声和烟雾中歇火报废了。这种发电机与实际变电站内发送数百兆瓦的设备大致相同,在经过某种方式的漏洞利用后,攻击者就能关闭发电设备或是对变电系统骨干网络造成大规模的致命性破坏。李说,“国家支持的黑客团队花两个月时间进行相关研究和攻击,就能让华盛顿特区陷入黑暗”。

事实上,ESET对恶意软件CrashOverride分析后发现,CrashOverride已经具备了某种类型的破坏能力。ESET研究人员指出,CrashOverride代码中包含了针对某种西门子设备的攻击代码,该设备广泛应用于电站中输电线和变压器的危险电涌防护。一旦CrashOverride对这种防护措施发起攻击,将会对电网硬件设备造成永久性破坏。

乌克兰电网攻击事件对美国的影响

对黑客来说,一个孤立的物理破坏事件并不是他们想要实现的效果。就像现在安全社区的热门话题–APT(高级可持续威胁)一样,高级别的入侵者并不是为了破坏而攻击,他们的目的是对目标形成潜伏控制。李说,美国基础设施遭到这种持久性攻击的场景曾一次次出现在他的噩梦中:交通网络、排水管道或电网系统被主要对手一次又一次地摧毁。他说:“如果黑客对多个地方发起攻击,那么整个地区将可能会陷入上月的停电荒。美国一半主要城市停电一个月会是什么效果,那简直无法想像”。

乌克兰事件也会引人深思,像俄罗斯这样的对手是否会对美国电网下手?毫无疑问,攻击美国电网设施将是对美国最直接最严重的打击方式。一些网络安全分析师认为,俄罗斯的网络攻击目标是为了限制美国自身的网络战发展策略:让基辅停电无非是向美国表明,我们一样可以入侵你美国电网。莫斯科似乎在向美国发出震慑警告:千万别想对我俄罗斯或叙利亚等盟友国实施类似震网病毒(Stuxnet)的攻击,否则,我们将会以牙还牙。

但对曾经在情报机构见惯了这类战争游戏的李来说,他认为如果莫斯科的某些立场被逼到墙角,如在乌克兰或叙利亚的军事利益遭到美国干涉威胁,那么作为报复措施,俄罗斯很有可能会发起对美国基础设施的网络攻击。“就像军事干预一样,当你对我的空投能力造成干扰时,我就要给你点颜色看看”。

北美电力可靠性协会(NERC)首席安全官马库斯·萨克斯(Marcus Sachs)说,美国电力公司已经从乌克兰的受害事件中汲取了教训。在2015年的乌克兰电网攻击事件发生后,NERC开始路演会议,向各电力公司灌输网络安全理念,提醒他们需要加强基本的网络安全措施并且关闭一些关键设施的远程访问功能。“很难保证我们就是绝对安全的,因为接入设备都存在风险,可以说任何毫秒级的崩溃都将造成不稳定威胁”。

但对于那些一直关注沙虫组织(Sandworm)将近三年的安全研究者来说,拉响对美国电网的攻击警报不再是谎报军情。首次曝光沙虫组织的火眼公司(FireEye)研究总监约翰·霍特奎斯特(John Hultquist)表示,狼已经来了。“我们已经看到该攻击组织具备强大的停电攻击能力,并且还对美国的相关控制系统非常感兴趣”,霍特奎斯特说。

blackout3.png

亚辛斯基持续对沙虫组织进行关注研究

亚辛斯基的公司ISSP( Information Systems Security Partners),一栋坐落在工业园区内的低矮建筑,被一个泥泞的运动场和数座破败的苏式灰色高楼包围着。亚辛斯基坐在一间光线稍暗的办公室内,一张圆桌上摆满了六尺长的标有复杂节点和连接的网络图,每张图都代表了沙虫组织的一个攻击时间线。从星光传媒公司到现在,他对沙虫组织的关注研究已有近两年时间。

亚辛斯基说他现在尽量保护平常心态来看待那些入侵攻击乌克兰的黑客,但提到4个月以前那场让他们家遭遇停电的电网攻击,他还是显得异常激动,“就像被抢劫了一样,当你觉得自己的私人空间都受干扰时,这完全就是一种违法行为”。

亚辛斯基说,在持续升级的网络攻击活动中,没法确切知道到底有多少乌克兰机构已经或正在成为受害者,任何数目都可能被低估,还有一些不愿公开承认的秘密受害者,和那些未发现自己被入侵攻击的。

在ISSP会议室,亚辛斯基向我们透露,黑客已经发起了新一轮网络攻击,他们已经从一波钓鱼邮件中捕获了一些新型的恶意软件样本。亚辛斯基注意到,这些攻击似乎遵循一定的季节规律:年初的几个月,黑客会找准目标,进行隐蔽渗透和据点建立;年末,黑客便会执行他们的攻击载荷。亚辛斯基表示,在2016年的电网攻击中,黑客其实已经为2017年底的攻击作好准备了。

乌克兰已经成为俄罗斯的网络战试验场

亚辛斯基觉得,黑客每年就像在认真准备一场期末考试一样,而在黑客的宏伟计划中,乌克兰在过去三年就像一个被拿来就用的试验场。他用一个更贴切的俄语来形容攻击者的意图:Poligon(练兵场)。亚辛斯基发现,黑客在攻击最疯狂时期本可以走得更远,但却只是浅尝辄止,如他们还可以进一步对财政部备份数据下手,或对Ukrenergo变电站造成更长时间停电或永久性破坏攻击。这一点,罗伯特·李和阿桑特同样也注意到了。“他们就像在逗我们玩一样”,亚辛斯基说。在每次实现最大程度的破坏后,黑客会选择撤退,像是为后续的攻击积攒实力。

许多全球网络安全分析师都得出了同样的结论。在克里姆林宫势力范围影响之地,训练培养克里姆林宫黑客军团莫过于是一种最好的练兵方式。“来吧,取下你们的手套,在这里你们可以不惧任何报复或制裁,为所欲为!乌克兰不像法国或德国,甚至很多美国人都不了解,你们可以尽情在此操练”,北约大使肯尼思·杰尔斯(Kenneth Geers)用这种半开玩笑的口吻解释道。

伦敦大学国王学院的战争研究系教授托马斯·里德(Thomas Rid)认为,在这种容易被忽视的阴影下,俄罗斯不断寻求突破其技术极限,也不断对国际社会的容忍度底线提出考验。“俄罗斯干涉乌克兰选举无果后,接着又对德国、法国和美国都来整一遍。他们就像在探究别人的底线一样,得寸进尺,蹬鼻子上脸”。

尾声

下一步将会如何?在灰暗的ISSP实验室里,亚辛斯基表示他也无从而知。有可能又是一场大停电,或是对水利设施的定向攻击。他也坦率地说道,“你可以充分发挥你的想象力”。

逐渐的落日余晖透过百叶窗,把亚辛斯基的脸映衬成一个黑色轮廓。“网络空间并不是目标本身,它仅只是一个媒介”,他说。是啊,这个媒介四通八达,连接到每一台代表着现代文明的各种机器设备上。

评论(0) 浏览(385)

NagaScan:针对Web应用的分布式被动扫描器

2017-7-30 admin

今天给大家介绍的是一款名叫NagaScan的针对Web应用程序的分布式被动漏洞扫描器,NagaScan目前支持包括XSS、SQL注入、以及文件包含等漏洞。

NagaScan:针对Web应用的分布式被动扫描器

NagaScan的运行机制

首先NagaScan会设置一个代理,例如Web浏览器代理或移动Wi-Fi代理。随后目标Web应用的网络流量副本会被传到NagaScan的中央数据库中进行解析处理,接下分布式扫描器便会自动分配NagaScan来扫描常见的Web应用安全漏洞。

工具及组件要求

Web控制台

sudo pip install mysql-connector
sudo pip install jinja2
sudo pip install bleach

扫描器

sudo apt-get install python-pip python-devlibmysqlclient-dev
sudo pip install requests
sudo pip install MySQL-python
sudo pip install -U selenium
sudo apt-get install libfontconfig

代理

sudo apt-get install python-pip python-devlibmysqlclient-dev
sudo pip install MySQL-python 

安装与配置

数据库

1.      安装MySQL,创建一个数据库用户名,并设置密码,例如root/toor;

2.      为NagaScan创建一个数据库,使用命令:source schema.sql

Web控制台

1.      使用我们自己的数据库配置信息修改Web控制台的配置文件www/config_override.py:

configs = {
    'db': {
        'host':'127.0.0.1',
        'user':'root',
        'password':'toor'     }
}

2.      运行下列命令开启Web控制台:

sudo python www/wsgiapp.py

扫描器

1.      用我们自己的数据库配置信息修改扫描器的配置文件scanner/lib/db_operation.py:

def db_conn():     try:
        user ="root"         pwd ="toor"         hostname ="127.0.0.1"

2.      安装PhantomJS

Linux 64位:

wget https://bitbucket.org/ariya/phantomjs/downloads/phantomjs-2.1.1-linux-x86_64.tar.bz2
tar -jxvfphantomjs-2.1.1-linux-x86_64.tar.bz2

Linux 32位:

wget https://bitbucket.org/ariya/phantomjs/downloads/phantomjs-2.1.1-linux-i686.tar.bz2
tar -jxvf phantomjs-2.1.1-linux-i686.tar.bz2

3.      按照下列代码修改scanner/lib/hack_requests.py的第28行代码:

self.executable_path='[Your Own Phantomjs Binary Path]' #e.g. /home/ubuntu/phantomjs-2.1.1-linux-x86_64/bin/phantomjs

4.      运行下列命令启动扫描器:

扫描文件包含漏洞

python scanner/scan_fi.py

扫描XSS漏洞

python scanner/scan_xss.py

扫描SQL注入漏洞

python scanner/scan_sqli.py

代理&解析器

1.      安装MitmProxy

Ubuntu 16.04(首选):

sudo apt-get install python3-dev python3-pip libffi-devlibssl-dev
sudo pip3 install mitmproxy

Ubuntu 14.04:

sudo apt-get install python-pip python-dev libffi-devlibssl-dev libxml2-dev libxslt1-dev libjpeg8-dev zlib1g-dev
sudo pip install "mitmproxy==0.18.2"

MacOS:

brew install python3
brew install mitmproxy

2.      运行下列命令开启代理

mitmdump -p 443 -s "proxy/proxy_mitmproxy.py/tmp/logs.txt"

3.      用我们自己的数据库配置信息修改解析器的配置文件parser/lib/db_operation.py:

def db_conn():     try:
        user ="root"         pwd ="toor"         hostname ="127.0.0.1"

4.      运行下列命令开启解析器:

python parser/parser_mitmproxy.py /tmp/logs.txt

工具的使用

使用默认的用户名和密码(nagascan@example.com/Naga5c@n)访问Web控制台,完成一些基本的配置并增加SQLMAP服务器:

NagaScan:针对Web应用的分布式被动扫描器NagaScan:针对Web应用的分布式被动扫描器NagaScan:针对Web应用的分布式被动扫描器针对Web应用的分布式被动扫描器

操作步骤

1.      为浏览器或移动设备安装MitmProxy证书【证书安装教程

2.      添加一个代理(Web浏览器或移动Wi-Fi)

3.      使用浏览器访问目标网站,或在移动设备上使用待测试的App

4.      祝大家好运!

评论(0) 浏览(373)

使用windows文件审计检测honeyfile访问

2017-7-30 admin

简介

XSStrike 是一款用于探测并利用XSS漏洞的脚本

XSStrike目前所提供的产品特性:

对参数进行模糊测试之后构建合适的payload

使用payload对参数进行穷举匹配

内置爬虫功能

检测并尝试绕过WAF

同时支持GET及POST方式

大多数payload都是由作者精心构造

误报率极低

debian及kali系统可直接下载本.deb安装包

通用安装方法

使用如下命令进行下载:

git clone https://github.com/UltimateHackers/XSStrike/ 

完成下载之后,进入XSStrike目录:

cd XSStrike 

接下来使用如下命令安装依赖模块:

pip install -r requirements.txt 

完成安装,使用如下命令即可运行XSStrike:

python xsstrike 

注意:本脚本仅支持Python 2.7

使用说明

键入目标URL

这时便可以键入目标URL,但请通过插入”d3v<”以标记最重要的参数 
例如:target.com/search.php?q=d3v&category=1 
键入目标URL之后,XSStrike将检测该目标是否有WAF保护,如果不受WAF保护你将看到下面4个选项

1. Fuzzer: 检测输入内容是如何在网页下进行反映的,之后据此尝试构建payload

构建payload

2. Striker: 对所有参数逐一进行穷举匹配,并在浏览器窗口中生成POC

生成 POC

3. Spider: 提取目标页面上所有存在的链接,并对这些链接进行XSS测试

进行XSS测试

4. Hulk: 使用了一种不同寻常的方式,直接无视掉输入所对应的网页内容变化。其有一个 polyglots 列表以及可靠的payload,它会逐一在目标参数中键入并在浏览器窗口中打开这些组合URL

目标参数中键入并在浏览器窗口中打开这些组合URL

XSStrike同样也可以绕过WAF

XSStrike绕过WAF

XSStrike 也支持 POST 方式

XSStrike 也支持 POST 方式

你也可向 XSStrike 提供 cookies

向 XSStrike 提供 cookies

与其他使用蛮力算法的程序不同,XSStrike有着少而精的payload,其中大多数都是由作者精心构造的。如果你发现其中的BUG或者对程序有更好的建议,欢迎到我的Facebook主页下或者GitHub仓库留言

演示视频

看不到视频?点这里

*参考来源:github,freebuf小编鸢尾编译,转载请注明来自FreeBuf.com

评论(0) 浏览(330)

欢迎使用emlog

2017-7-30 admin

恭喜您成功安装了emlog,这是系统自动生成的演示文章。编辑或者删除它,然后开始您的创作吧!

评论(0) 浏览(208)