當你下班準備回家時，你會關電腦麼？

 

我們打賭你根本就不會關，這樣第二天的早上就無需等它啟動即可使用。當您離開工作場所時，IT人員可能會因為安全原因要求你鎖定系統。但是鎖定系統並不會讓您的計算機倖免於一種新的攻擊型別。這種攻擊方法在樹莓派（Raspberry Pi）愛好者論壇上不斷得到普及。

 

我們之前調查過通過USB埠連線為智慧手機充電可能會造成的安全問題。在這項研究中，我們對USB埠有了新的認識—微型電腦對USB的連線嘗試會攔截到系統上的使用者認證資料。我們發現，這種型別的攻擊能令入侵者成功檢索使用者認證資料，哪怕目標系統被鎖定。

 

此外，這種攻擊也能幫助入侵者獲取管理員憑據。還記得Carbanak麼？就是那個製造2015年銀行搶劫案，直接竊取十億美元的黑客組織。通過管理許可權查詢

和檢索使用者憑據是這些搶劫方案的重要組成部分。

 

 

在研究中，我們將展示通過簡單地將微型電腦通過USB連線到公司範圍內的任何計算機來竊取管理員憑據。本文中的憑據指的是使用者名稱和密碼雜湊值。這裡不會詳細介紹如何解密檢索到的雜湊值，或者如何在傳遞攻擊中使用它。

 

有一點值得注意，這種攻擊的硬體成本不超過20美元，攻擊執行者無需任何特殊技能或從業資格。唯一需要的是通過物理手段訪問企業電腦。比如說，某個清潔員可能會被要求將“這個東西”插入任何沒有關閉的電腦USB口。

 

 

我們在實驗中使用的是Raspberry Pi Zero。根據Raspberry Pi Zero的配置，在其插入裝置後，會被系統識別為乙太網介面卡。論壇上樹莓派愛好者關於如何使用單板計算機進入資訊系統的熱烈討論促成了Raspberry Pi Zero這一特性的誕生。結合考慮到裝置的功能、尺寸及價格等方面，不難理解Raspberry Pi Zero的飽受歡迎。

開發人員可將晶片和介面進行打包，尺寸僅比普通USB快閃記憶體稍大。

 

是的，使用微型電腦裝置攔截和分析網路資料包，乃至作為通用滲透測試平臺來使用早已不是什麼新鮮事。大多數已知的微型計算裝置採用ARM微處理器，有些裝置還會搭載專為滲透測試而設計的 Kali Linux 。

 

有些特殊的形似U盤的計算裝置專為滲透測試而設計，如USB Armory。相比Raspberry Pi Zero，使用這類計算裝置在具備種種優點（比如整合USB A型聯結器，而Raspberry Pi則需要另加介面卡）的同時，也帶來了更高的成本（約135美元），當然，還有更好的可用性

。2016年，曾有傳言稱Raspberry Pi可在通過USB連線到PC或Mac時用於竊取雜湊資訊，不久又有傳言稱使用Raspberry Pi Zero還可從3個瀏覽器中竊取cookies 。這些都是此次調查需要確認的。

 

那麼，在配備了當前應用最廣泛且可用性最強的微型計算機之一後，我們進行了兩輪實驗。我們在第一輪實驗裡會嘗試攔截企業網路中的使用者憑據，並以此連線到搭載不同作業系統的膝上型電腦/桌上型電腦。而在第二輪實驗裡，我們會嘗試檢索cookie，以恢復使用者在熱門網站上的會話內容。

 

實驗1 竊取域憑據

 

方法：攻擊背後的關鍵原則是網路介面卡的模擬。

 

對網路介面卡的模擬是此類攻擊的關鍵要點。我們幾乎不費吹灰之力便找到Raspbian OS下的乙太網介面卡模擬模組（作為對照，截止本文撰寫完成，我們並沒有找到類似的Kali Linux模組）。我們在cmdline.txt和config.txt檔案中進行了一些配置更改，以便在啟動時載入該模組。

 

 

 

還有一些額外的工作，這些工作包括安裝python直譯器、sqlite3資料庫及一個名為Responder的特殊應用程式（用於資料包嗅探）：

apt-get install -y python git python-pip python-dev screen sqlite3
pip install pycrypto
git clone https://github.com/spiderlabs/responder

 

此外， 我們設定了自有DHCP伺服器，定義了IP地址範圍和一個子網掩碼（用於將其與我們要進入的網路分開）。最後一步則是配置usb0介面，在啟動時自動載入Responder和DHCP伺服器。

 

結果：

在將“充電”微型計算機連線到搭載Windows 10的裝置之後，我們看到連線的Raspberry Pi被識別為有線LAN連線。網路設定對話方塊將此介面卡顯示為遠端NDIS Internet共享裝置。系統自動分配了該裝置相較比其他裝置而言更高的優先順序。

 

 

響應程式掃描了流經模擬網路的資料包，並且在看到使用者名稱/密碼雜湊後，將它們引導到“冒牌貨”HTTP / HTTPS / NTLM（它支援v1和v2）伺服器。每當應用程式（包括在後臺執行的應用程式）傳送身份驗證資料或使用者在Web瀏覽器的標準對話視窗中輸入身份驗證資料時，攻擊便會觸發。比如，當用戶嘗試連線到共享資料夾或印表機時，攻擊便會觸發。

 

 

即使系統被鎖定，對雜湊資料的自動攔截依然生效。為了驗證上述觀點，我們在以下三種場景下分別進行實驗：

 

1.將公司計算機登入到域中；

2.在公共網路上使用公司計算機；

3.使用家庭計算機。

 

在場景一，我們發現裝置管理不僅可以攔截來自通過USB連線的系統的資料包，還可以攔截域中其他企業網路使用者的NTLM身份驗證請求。我們將擷取的雜湊資料與對映的時間進行了對應處理，如後圖所示：

 

“黑匣子”中的幾分鐘實驗證明了以下事實：裝置連線時間越長，從網路中提取的使用者雜湊資料越多。通過這些“實驗”資料，我們可以得出結論，在我們的設定中可以提取的雜湊數量大約是每小時50個雜湊。當然，具體資料取決於網路拓撲，即一個段內的使用者數量及其活動。我們沒有讓實驗時長超過半小時，具體原因會在後面提及。

 

提取的雜湊儲存在純文字檔案中

 

而在場景二，我們只能提取連線的系統中的使用者憑據：域/ Windows名稱和密碼雜湊。如果我們設定了使用者可以嘗試訪問的共享網路資源，或許還能獲取更多資料。但這並不在在本次研究的目標範圍內。

 

在場景三，我們只能獲取系統所有者的憑據，該憑證未連線到域驗證服務。我們猜測設定共享網路資源並允許其他使用者連線到它們可能會導致類似於我們在公司網路中觀察到的結果。

 

上述攔截雜湊的方法同樣也適用於Mac OS。當我們嘗試連結需要輸入域名的內部網站時，會出現一個安全證書無效的警告對話方塊。

 

 

上文提及未將實驗市場放寬到半小時以上的原因是，當裝置連線到網路中系統時，從同一網路中的其他機器傳送到網路印表機的任務在印表機佇列中將堵塞。當用戶嘗試在驗證對話視窗中輸入憑據時，佇列也未清除。原因在於這些憑據沒有到達網路印表機，而是傳到Raspberry Pi的快閃記憶體。這種情況同樣也會發生在Mac系統上。

 

 

意外之喜：

Raspberry Pi Zero VS Raspberry Pi 3

 

在確認無論是Windows，還是Mac，其中的NTLM系統都會面臨微型電腦的攻擊威脅後，我們決定嘗試使用Linux來進行實驗。此外，由於Raspbian作業系統基於Debian Weezy核心，具備Linux血統，我們決定將攻擊物件直接設定為Raspberry Pi。

 

我們重現了實驗，只是這次針對的目標換成了Raspberry Pi 3（順便說一下，連線到企業網路這件事本身就頗具難度，但是鑑於終究具有一定可行度，因此對這部分內容不會重點關注）。實驗結果讓我們感到驚喜，Raspbian作業系統拒絕為USB裝置網路分配更高的優先順序，預設選擇內建乙太網。此時，儘管Responder應用程式處於活動狀態，但由於資料包未流過裝置，因此無法執行任何操作。而當我們手動刪除內建的乙太網連線時，圖片與以前在Windows中所觀察到的相似。

 

 

類似結果也發生在了Chromebook上執行的桌面版Debian上 - 系統不會自動將USB乙太網介面卡設定為預設設定。因此，如果我們將Raspberry Pi Zero連線到執行Debian的系統上，攻擊將失敗。我們不認為建立Raspberry Pi-in-the-middle攻擊就能成功，因為這種攻擊實現難度更大，也更易被檢測。

 

實驗2

竊取cookies

 

方法：

在進行第一輪實驗時，我們聽到傳言稱通過USB將Raspberry Pi Zero連線到PC，即可從PC中竊取cookie。我們發現了一個名為HackPi的應用程式，它PoisonTap（XSS JavaScript）的變體，具備Responder，我們在上文曾提及過。

 

本輪實驗中的微型電腦配置與上一輪相似。 HackPi在讓系統識別成網路介面卡方面功效更佳，原因在於它具有增強的桌面作業系統發現機制：它能夠在Windows 7/8/10，Mac和-nix作業系統上自動安裝網路裝置驅動程式。在第一系列實驗中，如果遠端NDIS Internet共享裝置沒有自動安裝（特別是當PC被鎖定時），Windows 7,8或Vista上的攻擊可能會失敗。

 

HackPi與其他產品的不同之處在於它不會在Mac OS下分配自己的預設網路介面卡優先順序。

與第一輪實驗不同，cookie是通過使用從本地儲存的網頁啟動的惡意Java指令碼竊取的。若竊取成功，PoisonTap的指令碼將儲存從站點攔截的cookie，其列表也將在本地儲存。

 

結果：

若計算機未鎖定且使用者開啟瀏覽器，Java Script會將Web請求重定向到惡意本地網頁。然後瀏覽器從先前定義的列表中開啟網站。效果很是驚人：

 

 

如果使用者沒有任何操作，Raspberry Pi Zero會在短暫的超時後在地址行中啟動帶有URL go.microsoft.com的預設瀏覽器。後面的處理流程與上文相同。但是如果預設瀏覽器的歷史記錄中並不存在Cookie，攻擊者將一無所獲。

 

我們在指令碼中提供的列表裡記錄的網站有youtube.com，google.com，vk.com，facebook.com，twitter.com，yandex.ru，mail.ru，此外還有100多個其他網址。cookies被盜日誌內容如下：

 

 

我們以使用pikabu.ru網站檢查被盜cookies的有效性作為示例，通過將資訊貼上到其他機器上的乾淨瀏覽器欄位中，掌握使用者帳戶以及所有統計資訊。在隸屬於鐵路公司售貨服務的某個網站上，由於認證協議僅使用一個LtpaToken2進行會話識別，我們檢索到使用者的令牌並接管另一臺計算機上的使用者帳戶。

 

 

這種場景下無疑後果更為嚴重。因為此時，攻擊者可以獲取相關受害人之前輸入的內容，這些內容可能會護照號碼，姓名，出生日期，電子郵件和電話號碼等資訊。

 

 

這種攻擊的優勢在於黑客們已經掌握了在當今企業環境中所能找到的所有系統上（Windows 7/8/10，Mac OS X）自動安裝網路裝置驅動程式的方法。但至少現在，這種攻擊對鎖定的系統無效 。但是我們不認為因此就可以放鬆警惕，黑客們突破這個限制只是時間問題。特別是在如今樹莓派愛好者數量每天都在增長這個大背景下。

 

結論：

目前市場上充斥著各種各樣的單板微型電腦：從廉價通用的Raspberry Pi Zero到專為滲透測試設計的計算棒，其中，後者在視覺上無法與U盤進行區分。關於微型電腦帶來的威脅有多嚴重這個關鍵問題，我們更傾向於目前這個威脅被高估。另外，我們認為不應低估些物聯網裝置愛好者的能力，我們在實驗中發現的攻擊發動面臨的限制被突破是遲早的事情。

 

目前來說，Windows PC是最易被攻擊的系統。通過USB連線系統的Raspberry Pi可攔截身份驗證名稱和密碼。即使使用者沒有本地或系統管理員許可權，也可檢索獲取其他使用者（包括具有管理員許可權的使用者）的域憑據，最終發生效應。上述情況同樣也適用於Mac OS系統。

 

 

至少到目前為止，目的在於竊取Cookie的攻擊僅在系統解鎖時方能生效。這種攻擊可將流量重定向到惡意頁面，市面上安全解決方案基本都能對此進行防禦。當然，被盜cookies只適用於那些不採用嚴格的HTTP傳輸策略的網站。

 

 建議：

 

使用者：

1.在需要離開電腦所在區域時，切記一定要鎖定系統，尤其是在公共場所時更要注意。

 

2.回到電腦所在區域時，檢查是否有任何不明USB裝置插在裝置埠上。比如說，一個U盤，或者，一個看起來像U盤的裝置。如果你不確定該裝置來源，我們建議你立即移除裝置。

 

3.你曾被要求通過U盤分享一些資料麼？首先，確認該裝置確實是U盤。其次，我們更建議通過雲端或電子郵件傳送這些資料。

 

4.養成在需要身份驗證的站點上結束會話的習慣。通常，這意味著點選“登出”按鈕。

 

5.定期更改密碼 - 無論是在電腦本地上還是經常使用的網站。請記住，並不是所有網站都會採用可防範Cookie資料替換的安全機制。您可以使用專門的密碼管理軟體輕鬆管理密碼。

 

6.啟用雙重身份驗證，例如，通過請求或硬體令牌登入確認。當然，強烈建議您安裝並定期更新來自可靠供應商且經過驗證的的安全解決方案。

 

管理員：

1.如果網路拓撲允許，我們建議僅使用Kerberos協議來驗證域使用者。如果需要使用LLNMR和NTLM身份驗證來支援傳統系統，青松建議將網路分解成段，這樣，即使一個網段受到威脅，攻擊者也無法訪問整個網路。

 

2.限制特權域使用者登入遺留系統，特別是域管理員。

 

3.域使用者密碼應定期更改。

 

4.企業網路中的所有計算機都必須採用安全解決方案進行保護，並定期更新。

 

5.若存在Web資源，建議啟用HSTS，以防止HTTPS訪問變為HTTP，cookie被盜，並從中獲取憑據。

 

6.儘量禁用監聽模式並激活Wi-Fi路由器和交換機中的客戶端（AP）隔離設定，禁止其監聽其他工作站的流量。

 

7.啟用DHCP Snooping設定，保護企業網路使用者免受偽造DHCP伺服器的DHCP請求侵擾。

 

最後，你永遠不知道您的憑據是否已被洩露，無論是通過線上或物理。因此，我們強烈建議在HaveIbeenPwned網站上檢查憑據。

*參考來源：Kaspersky Lab，青松編譯，轉載請註明。