实战ERP系统攻击 | ||||||||||||||||
来源:名易软件 对敏感数据或应用软件的权限 一个跳板系统,可用于攻击其他系统。通常适当位置的技术控制比“信任的”系统更低。 修改系统安全功能,以便通过后门进入系统的能力。 在系统中植入按键记录器,以便秘密记录用户行动的能力 要点-对应物 因为我们感兴趣的网络设备同时还支持其他产品的应用程序,所以我们推迟了评估这些设备,取而代之的是企业的局域网。 差点错过的机会 我们在局域网上进行的漏洞扫描,和我们在产品所在子网上的结果一样,干干净净。这几乎是同类的Windows网络(2000服务器,XP主机),所有的主机配置本质上都一样。这个“几乎”成了我们的一大难题,直到我们意识到在局域网中有台孤零零的NT4服务器,运行了一个古老的传统程序。口令复杂性设置是由WindowsSMS中央分发的,不幸的是对NT4并不适用。这导致我们用一个Netbios列举工具(NBTEnum),通过该工具寻找常见的口令缺陷,从而找到了那些使用同一用户名密码(jimmyjimmy)的帐户。当我们发现到jimmy帐户是一个本地域的管理帐户时,我们意识到我们有了第一个落脚点。 上升,继续 等我们喝完咖啡回来,我们找到并获得了许可,对一个有趣的网络交换机实施我们的渗透测试活动。这台机器运行的是一个较老版本的CiscoIOS,我们认为可能存在有ARPSpoof(ARP欺骗)漏洞。果然,ARPSpoof哄骗该交换机,让它相信我们的攻击主机就是所有该局域网段上所有通信的目标主机。本质上来说,这导致我们的攻击主机成为了一台交换机,所有的网络通讯都要经过我们的主机。 通过留意网络数据,我们注意到,所有的网络用户都使用NTLM(WindowsNT与2000的默认加密)进行认证。我们发回经过修改的数据包到终端用户的工作站上,告诉他们“我们不明白NTLM,请发送未经加密的密码”。可惜,这招骗术并没有生效。而“请发送使用LM认证的密码给我们”却成功了。LM使用一种较弱的加密认证,破解的可能较大。我们收集了这些加密的密码,留着日后破解。缓慢而有系统的,我们在不断拓宽我们的优先级提升之路,而确信我们的行动将得到奖励的自信心也在不断增长。 加油以及本地admin权限 基于我们对反病毒制造商网站,多个按键记录器网站,以及多个黑客论坛的研究,我们选择了一个不曾大范围流行,高度隐蔽的键盘记录器。我们通过RDP连接到我们的目标工作站上,通过手指交叉,我们将记录器放到一台非技术人员的电脑上,这样万一产生警报信息,我们可以将目标指到此人身上,从而混淆视听。当键盘记录器开始报告用户的活动时——我们知道,我们只剩下最后一步了。等到了午餐时间(这样可以避免被人发现),我们又在另外4台工作站上放进了键盘记录器;这4台机器分别属于一个ERP管理员,一个数据库管理员,以及一个AIX管理员。一个小时之内,每个用户已经分别作为自己所管理系统的管理员进行了登录,于是我们的键盘记录器向我们报告了他们的密码。在使用我们新找到的管理权限登陆进入系统后,我们已经拥有完全的能力危及的安全,包括它的所有系统,以及其中保存的数据。我们已经拥有完全的,无拘无束的权限,可以获得客户保存在数据库中的所有高度机密信息,包括姓名,地址,社会保险号,薪水信息——信息之丰富,足可以让别有用心的人以无数的方法去利用它。 当场被抓 这次ERP安全的真实练习说明了,那些对软件本身,对数据库,以及局域子网加密的重大努力,会如何被企业局域网控制环境中一个表面上小小的弱点彻底推翻。技术控制的强力集合(本例中,是ERP软件整体的高安全级别)会被一个内部控制的软弱集合而相对迅速的破坏,本例中,没有对“jimmy”账户强迫执行强力口令的疏忽,造成了一系列扩大的问题,最终居然导致企业重要数据被暴露的危险。我们的ARP欺骗奏效,也导致了一个整体系统的安全受到威胁。 这很重要,要注意到我们也实施了程序级别的渗透测试,以及对重要控制的深度审核,包括数据隔离区域,数据库所有者,认证,授权,以及修改管理。这些努力提供给管理层一个高级担保——关键的安全目标已经达到。 根据我们对管理层所递交的“发现”,该政府机构将那台拥有“jimmy”账户的NT机器断网,并在一个相似的Windows2000环境中有效地强制执行安全策略,更新了他们所有电脑中的系统和反病毒引擎,以检测按键记录器,还更新了所有Cisco设备上的IOS,以避免再受到ARP欺骗攻击。 作为我们所用方法和所获发现正式报告的结果,组织的管理层获得了一个保证,那就是因部署该ERP系统而暴露敏感雇员信息的风险已经被减轻到了一个可接受的低水平上。注意到这次练习的价值,以及面向最佳实践的进步,客户已经计划在所有未来的项目阶段中安排安全评估活动。(zdnet)
|