斯諾登事件已過一年有余，情報組小編翻看眾多公布的材料，挑選其中一篇2012年時候的“NSA的內部帖子”，來看看一個NSA黑闊如何利用“大數據”拿下網絡系統管理員的攻擊思維。

“情報”是攻擊的最終目的

在NSA里面的SID(SignalsIntelligence Directorate)“信號情報部門”顧名思義他的終極目標是產出情報，供決策者使用。無論什么時候，目標使用高科技去進行通信，NSA黑客就要想盡辦法去收集它、分析它、然后輸出報告。聽起來是很簡單，除非他已經在目標的通信網絡中。而他們其實也不是任何時候都能收集到所有的信息，特別是他們的目標通信的網絡并不在他們的收集范圍內。這個時候他們就需要一些手工的“跑腿”去幫助他們完成這個任務了。這個“跑腿”就是這篇帖子《I hunt sys admins》想介紹的“系統管理員”

科普廣告插播

SID，全稱Signals Intelligence Directorate信號情報指揮部，在NSA組織架構中代號為“S”，主要負責收集、分析、產生和傳播信號情報。下屬若干個分支機構，其中就包括大名鼎鼎的TAO，具體如下：

- S1—主攻客戶關系

- S2—主要分析和制作中心，下屬若干“生產線”

S2A:南亞，S2B：中國與韓國，S2C：國際安全，S2E：中東和亞洲，S2F：國際犯罪，S2G：反擴散，S2H：俄羅斯，S2I：反恐……

- S3—數據獲得，主要負責“收集”工作，下屬包括：

S31——Cryptanalysis and Exploitation Services密碼與漏洞利用服務簡稱CES

S32——TailoredAccessOperations，簡稱TAO，負責黑進外國的計算機以事實網絡間諜活動，被譽為NSA“信號情報指揮部”最大最重要的部分，有1000名軍隊級和平民電腦黑客、情報分析員、targeting專家、電腦軟件硬件設計師，電子工程師等組成。

S33——Global Access Operations，簡稱GAO，主要負責攔截衛星或其他國際SIGINT平臺的信號。

S34——收集戰略及需要中心

S35——Special Source Operations，簡稱SSO，主要負責美國國內的收集計劃，例如大名鼎鼎的“棱鏡計劃”PRISM

網絡系統管理員是最好的“跑腿”

事實上“系統管理員”并不是這些NSA黑客的最后目標，他的最后目標是“極端分子/恐怖分子”或者官方政府要使用的這些網絡，而這個網絡是由這些“系統管理員”所管理的。比如他的目標正使用的是在外國網絡的一個CDMA終端，很可能NSA魔爪已經收集過目標手機的電話、SMS短信，(PS：用帖子里的原話是說“where we passively collect his phone call/SMS out in the wild”。從這個側面看NSA的確已經能夠廣泛性的“被動”采集電話通信數據)但是如果真的能夠進入到本地的基礎設施，從而可以任何時候更直接的監視目標從哪個基站進行了連接，甚至監視電話和數據的流量。但是通常直接以基礎設置為攻擊目標是很困難的，一般需要一系列的信息以幫助開展行動。例如：

– 目標網絡的拓撲

– 基礎設施設備的憑證(密碼)

– 目標網絡的行事情況，例如只有管理員的源IP限制策略的允許接入清單

– 一些總概述的背景，例如網絡是如何組成的，如何配制的

所以為了拿到以上信息，還有誰比目標網絡的管理員更合適?很多時候，當NSA黑客看到目標出現在一個新的網絡，他的第一個目標就是能否通過CNE(Computer Network Exploitation)攻陷網絡上的這個管理員。這個時候通常就依賴于“QUANTUM”來訪問他們的帳號。當然你可以通過釣魚郵件，但是NSA黑客認為現在人們比過去5-10年已經越來越聰明，所以這種攻擊方法已經不再靠譜了。因此，為了使QUANTUM攻擊對這些管理員有效，NSA黑客需要一些webmail/facebook類型的SELECTOR。

科普廣告插播：

SELECTOR：又稱“分揀器”，說白了就是NSA從龐大的數據流量中用于識別定位的特定目標的“選擇子”，例如Hotmail GUIDs，GoogleprefIDs，Apple IMEIs,Apple UDIDs,Nokia IMEIs,Wireless MACs等等，而這個Selector又跟下面要說到的“Quantum”密切相關。

QUANTUM：這個可跟量子計算沒有多大關系，主要是NSA的一個代號，是一種man-on-the-side的中間劫持技術，在骨干網中秘密放置一些服務器，通過Selector識別出被攻擊的目標，然后利用比正常服務器更快的反應時間，把漏洞利用代碼發向受攻擊的目標(也就是這里說的管理員)，使得攻擊成功。隨著近年來的發展，已經不止最開始2005年的“Quantuminsert”，還有2007年的QuantumBOT，2008年的QuantumDNS等等，如下圖所示：

CNE：Computer Network Exploitation，如果說CNE是注重從目標計算機和網絡中挖掘情報，那么另一個叫CAN(Computer Network Attack)的則是試圖瓦解、損害和摧毀目標。

攻擊思路：

如果說希望通過whois等手段，查找目標網絡IP地址空間或者域名信息的注冊信息來發現這些管理員的個人信息。那NSA黑客的實踐表明，這個成功率并不高，因為這些信息通常是管理員的官方郵箱地址，這些郵件服務器就部署在目標的網絡中，而NSA黑客的大殺器Quantum成功的秘訣不是用在這類型郵件系統中的。他們真正想要的是管理員的個人郵箱、facebook等這樣的賬號。(因為這些賬號才能篩選出Selector，從而使用Quantum技術來實施對管理員的控制。這里可以使用“dumpster-dive技術”(翻管理員公司附近的垃圾箱找)或“Google搜索技術”(看看管理員是否有在什么官方的非官方的論壇中暴露這些信息)。

攻擊線路：

NSA大黑闊——〉“恐怖分子”——〉恐怖分子所在的網絡——〉該網絡管理員——〉控制網絡

攻擊所需條件(反向推導)：

網絡管理員〈——Quantum攻擊〈——可識別出管理員的Selector〈——個人賬號如facebook〈——???

在繼續之前，先得介紹一下DISCOROUTE——NSA內專門用于在telnet sessions流量中“被動”收集和存儲路由器配置文件的工具。

有這樣的工具，有這樣的數據，都對入侵這個目標網絡，了解它的網絡結構有莫大的幫助，但是，這些配置文件似乎跟找到網絡管理員的個人webmail或者facebook似乎還沒有啥關系。離成功入侵這個網絡還遠著。為此，NSA黑闊隨機選了一個肯尼亞的路由配置來做個示范。(從這個側面看，NSA還說沒有入侵，沒有監聽別國的通信?拿路由器配置信息都是信手拈來的事情了。)接下來作為一名分析師，最基本的水平是基于這份配置文件做出大膽的假設：

- 我們有一臺路由器，路由器有一個管理員

- 通過DISCOROUTE工具獲得的配置文件，可以知道這個管理員通過telnet登陸到路由器

- 管理員可能不會讓任何人或者每個人都能登陸到路由器

- 管理員可能設置了ACL，只允許他自己的IP telnet到路由器中

下面看看路由器的配置文件：

從上面可以看到管理員的確設置了源地址訪問的ACL——access-class，以及密碼屬性設置為代表密文的7，當然這個也是很好破解的。網上基本上就有現成的工具專門對付這類password 7 hash。

從下面的配置列表可以看到：

可以看到，如果想要telnet到這臺路由器，你必須要從這些(已經打黑的)IP地址去訪問。稍微有點網絡知識的你都可以知道，就算你知道路由器的認證信息，就算你知道這些白名單，你都不可能偽造這些源地址去登到路由器上，因為，你無法看到response包。所以你是必須接入到其中一臺這些IP地址，才能去登陸路由器。

讓我們回顧一下，NSA黑客的假設——一個管理員只允許他自己去telnet，而禁止了來自其他地址的登陸。因此我們可以進一步大膽假設這是這些acl地址，就是管理這個肯尼亞網絡的管理員地址。

繼而，利用這些地址就可以去查找，從這些IP地址登陸hotmail，yahoo，facebook的活動賬號。從而就能夠識別出這個肯尼亞網絡的管理員個人賬號信息了。把這些信息作為selector，就可以用QUANTUM技術去攻擊這些管理員，從而通過這些管理員控制網絡。

總結一下以上大致兩個步驟

步驟一：從DISCOROUTE中的路由器配置信息中識別有有telnet的acl信息，導出這些acl的公網IP地址。

步驟二：從ASDF(全稱Atomic SIGINT Data Format，是NSA從被動收集信息系統——PassiveSIGINT system收集的所有session信息中生成的metadata。)中，根據步驟一得到的公網IP關聯出活躍用戶。