實戰(zhàn)ERP系統(tǒng)攻擊

從注冊表中釋放加密口令的能力。

對敏感數據或應用軟件的權限

一個跳板系統(tǒng)，可用于攻擊其他系統(tǒng)。通常適當位置的技術控制比“信任的”系統(tǒng)更低。

修改系統(tǒng)安全功能，以便通過后門進入系統(tǒng)的能力。

在系統(tǒng)中植入按鍵記錄器，以便秘密記錄用戶行動的能力

這些選擇提供了逐步提高特權級的能力，直到在一個域級別或重要系統(tǒng)上獲得管理員級別的權限。

要點-對應物

我們感興趣的WEB服務器運行著開放的SSL，我們認為對它也許可以進行暴力口令破解攻擊。連接被拒絕，對該機器的一個快速重新掃描顯示打開了一下的端口立刻又關閉了。我們猜想我們的活動被監(jiān)控了，一個系統(tǒng)管理員正在守護著這臺服務器（盡管管理層的指令是不要這么做）。我們檢查了這臺服務器上運行的FTP和SMTP服務，通過這個我們發(fā)現存在一個用戶帳戶叫做“ERPadmin”，但是我們的枚舉口令猜測攻擊在5次嘗試猜測失敗后就被鎖定了，從而宣告了攻擊的失敗。我們通過推斷這個帳戶的存在，是因為對該帳戶的回應，明顯和一個已知不存在的帳戶（比如Pivotpoint?。┑幕貞煌舻逆i定，加上技術漏洞很少，加強了我們認為子網非常安全的觀點。

因為我們感興趣的網絡設備同時還支持其他產品的應用程序，所以我們推遲了評估這些設備，取而代之的是企業(yè)的局域網。

差點錯過的機會

在合約的一開始，當我們建議安全評估應當包括局域網時，我們遇到了極其強大的抵制。我們的信念（基于類似情景的多個合約所形成）是那些可能有存取優(yōu)先權的局域網段，或者是有不同優(yōu)先級用戶的網段，都是一個特別的風險來源，即使應用程序是在一個完全不同的子網上。

我們在局域網上進行的漏洞掃描，和我們在產品所在子網上的結果一樣，干干凈凈。這幾乎是同類的Windows網絡（2000服務器，XP主機），所有的主機配置本質上都一樣。這個“幾乎”成了我們的一大難題，直到我們意識到在局域網中有臺孤零零的NT4服務器，運行了一個古老的傳統(tǒng)程序。口令復雜性設置是由Windows SMS中央分發(fā)的，不幸的是對NT4并不適用。這導致我們用一個Net bios列舉工具（NBTEnum），通過該工具尋找常見的口令缺陷，從而找到了那些使用同一用戶名/密碼（jimmy/jimmy）的帳戶。當我們發(fā)現到jimmy帳戶是一個本地域的管理帳戶時，我們意識到我們有了第一個落腳點。

上升，繼續(xù)

一旦在一個系統(tǒng)上獲得了本地管理權限，就可能使用一個工具（比如，PWDump）來獲得機器上的SAM。SAM是一個口令的加密列表。我們使用一個口令破解軟件來對付SAM（比如，LOphtCrack 5），并執(zhí)行一個詞典攻擊。詞典攻擊破解了另外2個用戶帳號，但是沒有一個帳戶比我們已經獲得的權限更高。另外還有一個帳號，我們根據它的名字，猜測它是一個通用局域網管理帳號。我們對這個帳戶扔了一個暴力破解上去，然后就走開了。在破解工具進行暴力破解時，我們開始喝咖啡。

等我們喝完咖啡回來，我們找到并獲得了許可，對一個有趣的網絡交換機實施我們的滲透測試活動。這臺機器運行的是一個較老版本的Cisco IOS，我們認為可能存在有ARP Spoof（ARP欺騙）漏洞。果然，ARP Spoof哄騙該交換機，讓它相信我們的攻擊主機就是所有該局域網段上所有通信的目標主機。本質上來說，這導致我們的攻擊主機成為了一臺交換機，所有的網絡通訊都要經過我們的主機。

通過留意網絡數據，我們注意到，所有的網絡用戶都使用NTLM（Windows NT與2000的默認加密）進行認證。我們發(fā)回經過修改的數據包到終端用戶的工作站上，告訴他們“我們不明白NTLM，請發(fā)送未經加密的密碼”。可惜，這招騙術并沒有生效。而“請發(fā)送使用LM認證的密碼給我們”卻成功了。LM使用一種較弱的加密認證，破解的可能較大。我們收集了這些加密的密碼，留著日后破解。緩慢而有系統(tǒng)的，我們在不斷拓寬我們的優(yōu)先級提升之路，而確信我們的行動將得到獎勵的自信心也在不斷增長。

加油以及本地admin權限

早餐吃起來略有點甜，然后我們注意到通過整晚口令破解器的工作，我們已經破解了其他的本地管理權限帳戶密碼，而該密碼后來被證明是一個管理局域網上所有機器的通用密碼。這大大拓寬了我們所需的獲取erp系統(tǒng)管理員級別權限的道路。不過首先我們需要確認，是否有一個按鍵記錄器能逃過我們客戶反病毒方案的監(jiān)查（在本例中，該反病毒方案來自于一個行業(yè)中非常卓越的企業(yè)安全公司）。

基于我們對反病毒制造商網站，多個按鍵記錄器網站，以及多個黑客論壇的研究，我們選擇了一個不曾大范圍流行，高度隱蔽的鍵盤記錄器。我們通過RDP連接到我們的目標工作站上，通過手指交叉，我們將記錄器放到一臺非技術人員的電腦上，這樣萬一產生警報信息，我們可以將目標指到此人身上，從而混淆視聽。當鍵盤記錄器開始報告用戶的活動時——我們知道，我們只剩下最后一步了。等到了午餐時間（這樣可以避免被人發(fā)現），我們又在另外4臺工作站上放進了鍵盤記錄器；這4臺機器分別屬于一個ERP管理員，一個數據庫管理員，以及一個AIX管理員。一個小時之內，每個用戶已經分別作為自己所管理系統(tǒng)的管理員進行了登錄，于是我們的鍵盤記錄器向我們報告了他們的密碼。在使用我們新找到的管理權限登陸進入系統(tǒng)后，我們已經擁有完全的能力危及ERP軟件的安全，包括它的所有系統(tǒng)，以及其中保存的數據。我們已經擁有完全的，無拘無束的權限，可以獲得客戶保存在數據庫中的所有高度機密信息，包括姓名，地址，社會保險號，薪水信息——信息之豐富，足可以讓別有用心的人以無數的方法去利用它。

當場被抓

為了測試那些已經被我們危及安全的個人帳號的威力，我們使用我們的本地管理權限繼續(xù)登錄在他們的機器上。結果，我們的活動，包括我們的按鍵記錄器迅速被人發(fā)現了，其速度之快令我們印象深刻。管理員頗有見地，他運行了一個軟件來獲取該組合中所有運行進程的視圖，以及一個監(jiān)控網絡連接的軟件（比如，Vision和netstat）。當他注意到他的機器連到我們的IP上時，我們被當場擒獲。

這次ERP安全的真實練習說明了，那些對軟件本身，對數據庫，以及局域子網加密的重大努力，會如何被企業(yè)局域網控制環(huán)境中一個表面上小小的弱點徹底推翻。技術控制的強力集合（本例中，是ERP軟件整體的高安全級別）會被一個內部控制的軟弱集合而相對迅速的破壞，本例中，沒有對“jimmy”賬戶強迫執(zhí)行強力口令的疏忽，造成了一系列擴大的問題，最終居然導致企業(yè)重要數據被暴露的危險。我們的ARP欺騙奏效，也導致了一個整體系統(tǒng)的安全受到威脅。

這很重要，要注意到我們也實施了程序級別的滲透測試，以及對重要控制的深度審核，包括數據隔離區(qū)域，數據庫所有者，認證，授權，以及修改管理。這些努力提供給管理層一個高級擔?！P鍵的安全目標已經達到。

根據我們對管理層所遞交的“發(fā)現”，該政府機構將那臺擁有“jimmy”賬戶的NT機器斷網，并在一個相似的Windows 2000環(huán)境中有效地強制執(zhí)行安全策略，更新了他們所有電腦中的系統(tǒng)和反病毒引擎，以檢測按鍵記錄器，還更新了所有Cisco設備上的IOS，以避免再受到ARP欺騙攻擊。