本文講的是<b>自稱世界上最權威監控軟體FlexiSpy被黑删庫,怎麼做到的?</b>,
FlexiSpy是什麼
FlexiSpy是一款非常知名的手機、電腦監控軟體,也就是我們常說的遠控。
4月22日,Tek在推特聲稱竊取了FlexiSpy的源代碼和二進制檔案。
4月24日,Flexidie在推特公布了入侵FlexiSpy公司的細節,下文是嘶吼編輯的全文翻譯。
入侵細節分析
第1步:資訊收集
查詢子域名
發現伺服器位于Cloudflare後面,這就比較尴尬了。因為Cloudflare帶有WAF,沒法進行掃描、爆破等自動化的滲透。
但是發現了一個域名,是admin.flexispy.com。可能是一個管理面闆。
嘗試sql注入
在登入頁面上嘗試了一些sql注入,沒發現問題。
之後嘗試了下常見預設密碼,admin:admin,測試的時候發現驚喜,是的,就這樣登入進去了。
但是這個賬戶登入之後有限制, 無法使用。通過背景頁面檢視發現某個頁面可以于檢視使用者詳細資訊,包括許可證詳細資訊以及編輯使用者詳細資訊(如使用者名、密碼等)的功能。
網址如下所示:
這個頁面存在平行越權漏洞,隻需将id = 1更改為id = 2,就能顯示另一個使用者的詳細資訊,并允許在界面上重置密碼。
于是我寫了個腳本,指定id值的範圍是1-99999,把周遊結果存儲為文本檔案。搜尋下有沒有感興趣的使用者,倒是找到了那麼幾個,但是沒太多用,對FlexiSpy啟不到緻命的打擊。
第2步:繼續打破邊界
之前收集資訊發現了兩組IP,用nmap掃描。
有幾台伺服器運作着ssh服務,還有一個Microsoft Exchange伺服器和一些開放着rdp服務的伺服器,以及運作着WildFly(Jboss)預設頁面的網站跟CRM網站。這些資訊收集表明,FlexiSpy内部網絡裡有Linux和Windows,不過這時候我沒有通路權限,還需要繼續看。
發現有個伺服器上開放了端口8081,似乎是一個Sonatype Nexus存儲庫,其中存在一些jar檔案,可能是用于指令和控制Web應用程式。或許裡面存放的檔案是FlexiSpy故意放着的,以便其客戶安裝?
我下載下傳了一份,并使用procyon(Java反編譯器)開始逆向檢視審計java代碼。
我下載下傳了幾個有趣的公共項目,第一個是他們的Mailchimp API密鑰,可以看到他們向新客戶發送的電子郵件(他們鼓勵客戶改變預設密碼)。
這個密碼看起來應該是共享的預設密碼:tcpip123。我嘗試用這個密碼登入ssh、WildFly,但是沒有成功。
最後我決定試試登入CRM,效果很贊,登入成功了并能操作某些子產品的安裝,最終上傳了shell。
第3步:内網滲透
通過第2步拿到的webshell,我們已經進入到了FlexiSpy的内部網絡。
拿到的主機權限是低權限,核心版本較新,可以使用DirtyCow提權,但是許多公開的漏洞利用風險較高,更可靠更穩定的方法是建立與CRM伺服器相同的虛拟機,這将需要很長的時間。
放棄了以上的方法,我通過代理進入内網,把一個端口掃描器跟弱密碼掃描放在伺服器上,開始掃描22、3339和23端口。
我做的第一件事是部署SSH掃描器,來測試root:tcpip123、admin:tcpip123和Administrator:tcpip123等簡單組合。
通過掃描,我拿到了三台NAS伺服器,都是Linux x86-64機器。之後把自己寫的工具上傳到其中的一台伺服器,繼續搜集内網的資訊。通過幾天的分析,我發現了備份主目錄、HR文檔、公司檔案、一些SSH密鑰、密碼備份、内部網絡圖等等。大多數檔案已經過時,但是我将密碼/使用者名組合,收集到了幾個具有sudo權限的伺服器(services:tcpip123 and services:**tcpip!23)。
我從其中一台伺服器竊取了SSH密鑰,對Jenkins伺服器進行了控制,将所有存儲庫下載下傳回來,并将其發送到随後控制的網際網路上的伺服器上。
我留意到現在可以通路所有Windows域的域控制器,于是開始删除了一些惡意軟體,并慢慢從入侵到的裝置中從記憶體中提取憑據。這些憑證中的一個屬于IT負責人員,這使我能夠通路内部SharePoint伺服器。
到目前為止,我認識到FlexiSpy的安全就是胡扯。為了盡可能多地提供不同的通路點,我将Tor安裝到Linux基礎設施部署,将每個伺服器的SSHd設定為隐藏服務。我盡可能地離開,停止幾個星期滲透,嘗試從Exchange Server傳輸EDB檔案,這些檔案的大小超過了100GB。最終,我嘗試多次滲透他們後放棄了,因為我覺得如果繼續弄,FlexiSpy會發現。
第4步:格式化FlexiSpy資料
格式化内部伺服器;之後通過從SharePoint、NAS裝置和其它地方拿到的賬号密碼登入Cloudflare,删除了他們的帳戶;後登入到Rackspace,登出其伺服器;并登入到他們的多個Amazon 帳戶,删除了亞馬遜雲服務上的備份。
攻擊手法還原
1.老外通過Sonatype Nexus下載下傳到檔案,逆向檔案,找到了一個密碼
2.通過拿到的密碼進入登入CRM,擷取到了webshell
3.内網滲透,搞定了源代碼。
原文釋出時間為:2017年4月25日
本文作者:愣娃
本文來自雲栖社群合作夥伴嘶吼,了解相關資訊可以關注嘶吼網站。
<a href="http://www.4hou.com/technology/4441.html" target="_blank">原文連結</a>