駭客入侵企業網站技術不斷推陳出新,究竟入侵行為有哪些?而又是如何進行入侵?
史蒂芬擔任網路工程師已經有10年的時間,但由於大環境經濟的不景氣使然,公司資遣了將近半數的員工,史蒂芬就是其中之一。離開原來的公司後,史蒂芬求職四處碰壁,在失業一段很長的時間之後,今天早上史蒂芬又在台中應徵網路工程師的時候受到挫折,整個面試的過程讓史蒂芬覺得自己受到了不公平的對待,於是在當天晚上,沮喪又憤怒的史蒂芬決定要向這間沒有錄用他的公司證明,他們做了一個錯誤的決定。」
史蒂芬會運用什麼方式?又將從哪裡下手?駭客入侵可分成五個階段,現在我
們要針對每一個階段做較為細部的討論,首先是第一階段─勘(Reconnaissance)。
何謂Footprinting?
一個有經驗的駭客在對一個特定目標進行攻擊之前,會盡可能的去偵查及蒐集相關的資訊,所使用的技術我們統稱之為Footprinting(足跡探測)。這是一個需要長時間持續進行的情報收集過程。就像現實生活中的搶匪在進行搶劫之前,也一定會先去勘察目標周圍的地理環境,為自己策劃一條最佳的逃跑路線,還要觀察警衛的配置與運作規則、門禁及警報系統的種類規格,再透過蒐集警報系統及保險櫃的生產製造廠商,取得解除警報及開鎖的方法等等手段來確保搶劫任務的成功。
Footprinting是指「有系統」及「有組織」地去收集一個目標組織的基本資料,目的在描繪出該目標組織的安全機制藍圖。為達到目的,需要長時間的情報蒐集,一般來說在這個階段所花費的時間約佔從開始到完成入侵總時間的90%左右。透過Footprinting的過程所蒐集的資料,歸納整理出一份有關入侵目標的整體安全架構藍圖,內容包含入侵目標的整體網路系統,可細分為外部網路、內部網路、無線網路,以及電腦系統組成與架構等訊息。
Footprinting收集資料的內容有:入侵目標的基本資料、網路範圍、主機數量、已開啟之通訊埠或存取切入點、作業系統及版本及其所執行的網路服務類型等。
先從蒐集入侵目標的基本資料來說,基本資料包含網域名稱、目標所在地點的地理位置、電話號碼或聯絡人的電子郵件等,通常駭客可經由公用公開資源的管道取得,比如說討論區,部落格等等,皆能輕易查到任何一家公司的網址,透過Google搜尋引擎或是Sam Spade這一類的工具,有時甚至可以搜尋到公司的內部網路位址(Internal URL),這些本來是僅供內部使用不應該公開的網路位址。如果想要了解目標公司的發展歷史,Archive資料庫(www.archive.org)裡面詳細完整的資料,可以讓你輕易找到該公司網站的完整記錄。再者,求職網站如104、1111,為了讓求職者對求才公司有更多了解,往往也提供了相當多正確的公司資訊,這也是一個很好的情報來源。以上這些行為稱作「被動式資訊收集」(Passive Information Gathering),就是在完全不與目標組織的系統網路接觸之下,使用公開合法的方式在網路上或其他地方收集目標組織的詳細資訊。
利用whois獲資訊
「經過基本資料的蒐集,史蒂芬得知目標公司的總部在台北,他決定親自去一探究竟。他使用網路上的whois查探得知該公司的網域名稱資訊,其中也包含了網管人員的連絡方式。史蒂芬記下了這些聯絡人的電子郵件地址與電話號碼,同時也得到了網域伺服器的IP位址,接下來他將利用Nslookup來獲取更多的資訊…。」
史蒂芬已經收集到哪些資訊?他如何利用現有的資訊來得到更多更重要的資訊?對於駭客而言,找出目標組織的網路範圍要做到以下兩點,先要找出目標組織的IP 位址(IP Address)範圍;再來要確定子網路遮罩(Subnet Mask)。最常用的就是nslookup,這個應用程式能夠查詢網際網路上的網域名稱解析伺服器 (Domain Name Servers),根據所查詢出來的資訊可用來分析了解一個組織網域命名之規則及網路架構。利用Whois查詢,更可列出任一個組織的正式DNS伺服器網址,再經由nslookup就可協助駭客發掘該組織所用的其他IP網段網址,或是利用MX記錄選項查出郵件伺服器的IP位址。
網路上充斥著許多公開的資訊來源,比方說ARIN(American Registry of Internet Numbers),它允許任何人進行whois的查詢,在此可以查到AutonomousSystem Numbers (ASNs)、其他網路相關資訊、以及聯絡人資料 (Point of Contact,POC)。ARIN的whois查詢更可進一步使用進階查詢功能查詢 IP 位址範圍,輕易就可以幫助我們查出子網路遮罩確定該IP位址範圍內子網路的分割方法。利用Traceroute也是一個偵測網路結構的方法,它的運作原理是利用TCP/IP網路協定內的一個功能─TTL (Time To Live),Traceroute 利用不斷傳送持續增加 TTL 的 UDP 封包,來顯現IP封包在2個系統間傳遞的路徑。因為當路由器(Router)處理一個 IP 封包的時候,它會逐漸遞減此封包的TTL數值,不同的系統所預設減少的數值各不相同。當TTL數值遞減至零時,路由器便會使用 ICMP 協定傳送一個「TTL exceeded 」訊息給封包的原始發送者,告知IP封包已經失效。利用Traceroute,可以幫助駭客判別目標網路的架構與系統的差異。
再者,駭客也可使用VisualLookout這一類的工具取得更進一步的資訊,VisualLookout提供詳盡的網路流量資訊,其中包含即時訊息與過往歷史記錄等2種。駭客可以利用connections視窗的功能來查詢任何一台伺服器目前連線狀態:像是誰現在正在連線?什麼服務現在是開啟的?連線是外對內還是內對外?有多少連線正在進行中?連線時間有多長等。
運用社交工程避偵測
「史蒂芬做了一些搜尋的動作後得到了幾個公司內部的聯絡資訊。他打電話至公司的總機,假裝有人事部門的人告訴他需要與 IT 部門的某位網管人員聯絡,但目前是午餐時間,所以想先寄E-mail給對方就好。利用社交工程的手法,史蒂芬輕易的騙取到電子郵件地址,開始利用它在許多newsgroups來做搜尋。這樣史帝芬很快又掌握到更多有關這個電子郵件地址的IP來源位址記錄,針對這些IP位址做trace的動作,史蒂芬進一步了解了公司內部郵件主機的資訊。」
史蒂芬試圖取得組織內部敏感的資訊,組織有何應對方式?史蒂芬可利用所收集到的資訊做什麼?利用人性的弱點,一般人會對與他說話的人預設立場,我們稱之為社交工程,如接到某通自稱為公司高級幹部的電話,總機人員都不敢怠慢對方,常不加思索的將公司內部機密資料告訴對方,因此,社交工程往往可以跨越配置完美的防火牆,擊破高度防禦的網路系統,避開精細的入侵偵測機制,對資訊安全造成嚴重的傷害,我們應該加強內部人員在應對上的危機意識,以避免這一類無謂的損失。
當史蒂芬利用社交工程等方法取得了相關資訊, 如電子郵件地址, 他便可透過M a i l T r a c k i n g進一步取得其他資訊。M a i l T r a c k i n g是一種E - m a i l追蹤查詢服務,它可以允許使用者查詢他們電子郵件何時被收件者讀取,被開啟多久, 以及多常被閱讀。另外, 它也會記錄此郵件被轉寄和傳遞的網路主機等資料。
總結
最後我們就這個攻擊階段來做個總結:
* Footprinting (足跡搜尋也稱為網路拓墣)是指有系統地去收集一個目標組織的資料,用以描繪出該目標組織的安全機制藍圖。
* whois和ARIN可以提供一個網域的公開資訊。這些資訊可以被利用來做入侵準備的參考。
* Traceroute和 Mail Tracking 可以被利用來鎖定特定的IP以進行攻擊,或是拿來做假冒 IP 攻擊 (IP spoofing)。
* nslookup可以查詢目標組織的使用者及主機資料,更可利用 Zone Transfers 來危及目標 DNS 的安全。
現在,史蒂芬已經蒐集好他進行攻擊時所需要的資訊,他就要進入到下一階段─掃描(Scanning),尋找系統漏洞作為發動攻擊時的切入點,他會怎麼做?該公司的網管人員能夠及時發現進而阻止史帝芬的行為嗎?我們下一次再來討論。