• 黑客
    纯技术角度:从 MONGODB “赎金事件” 看安全问题 今天上午(2017年1月7日),我的微信群中同时出现了两个MongoDB被黑掉要赎金的情况,于是在调查这个事的过程中,我发现了这个事。这个事件应该是2017年开年的第一次比较大的安全事件吧,发现国内居然没有什么报道,国内安全圈也没有什么动静(当然,他们也许知道,只是不想说吧),Anyway,让我这个非安全领域的人来帮补补位。 事件回顾 这个事情应该是从2017年1月3日开始的,是由安全圈的大拿 Victor Gevers (网名:0xDUDE,GDI.foundation 的Chairman),他在2016年12月27日,他发现了一些在互联网上用户的MongoDB没有任何的保护措施,被攻击击把数据库删除了,并留下了一个叫 WARNING 的数据库,这张表的内容如下: { "_id" : ObjectId("5859a0370b8e49f123fcc7da"), "mail" : "harak1r1@sigaint.org", "note" : "SEND 0.2 BTC TO THIS ADDRESS 13zaxGVjj9MNc2jyvDRhLyYpkCh323MsMq AND CONTACT THIS EMAIL WITH YOUR IP OF YOUR SERVER TO RECOVER YOUR DATABASE !" } 基本上如下所示: MongoDB ransom demand (via Victor Gevers)说白了就是黑客留下的东西——老子把你的MongoDB里的数据库给转走了,如果你要你的数据的话,给我0.2个的比特币(大约USD200)。然后,他的twitter上不断地发布这个“赎金事件”的跟踪报道。与此同时,中国区的V2EX上也发现了相关的攻击问题 《自己装的 mongo 没有设置密码结果被黑了》 然后,在接下来的几天内,全球大约有1800个MongoDB的数据库被黑,这个行为来自一个叫 Harak1r1 的黑客组织(这个组织似乎就好黑MongoDB,据说他们历史上干了近8500个MongoDB的数据库,几乎都是在祼奔的MongoDB)。 不过,这个组织干了两天后就停手了,可能是因为这事已经引起了全球科技媒体的注意,产生了大量的报道(如果你在Google News里查一下“mongodb ransom”,你会看到大量的报道(中文社区中,只有台湾有相关的报道)),他们也许是不敢再搞下去了。 不过,很快,有几个copycats开始接着干, 马上跟进的是 own3d ,他们留下的数据库的名字叫 WARNING_ALERT,他们至少干掉了 930个MongoDB,赎金0.5个比特币(USD500),至少有3个用户付费了 然后是0704341626asdf,他们留下的数据库名字叫PWNED,他们至少干掉了740个MongoDB,赎金0.15个比特币(USD150),看看他们在数据库里留下的文字——你的MongoDB没有任何的认证,并且暴露在公网里(你TMD是怎么想的?)…… 0704341626asdf group ransom note (via Victor Gerves)就在这两天,有两个新的黑客也来了 先是kraken0,发现到现在1天了,干了13个MongoDB,赎金 0.1个比特币。 然后是 3lix1r,发现到现在5个小时,干了17个MongoDB,赎金0.25比特币。 BBC新闻也于昨天报道了这一情况——《Web databases hit in ransom attacks》,现在这个事情应该是一个Big News了。 关于MongoDB的安全 安全问题重来都是需要多方面一起努力,但是安全问题最大的短板就是在用户这边。这次的这个事,说白了,就是用户没有给MongoDB设置上用户名和口令,然后还把服务公开到了公网上。 是的,这个安全事件,相当的匪夷所思,为什么这些用户要在公网上祼奔自己的数据库?他们的脑子是怎么想的? 让我们去看一下Shodan上可以看到的有多少个在暴露在公网上而且没有防范的MongoDB?我了个去!4万7千个,还是很触目惊心的(下图来自我刚刚创建的 Shodan关于MongoDB的报表)   那么,怎么会有这么多的有对象显露的MongoDB?看了一下Shodan的报告,发现主要还是来自公有云平台,Amazon,Alibaba,Digital Ocean,OVH,Azure 的云平台上有很多这样的服务。不过,像AWS这样的云平台,有很完善的默认安全组设置和VPC是可以不把这样的后端服务暴露到公有云上的,为什么还会有那么多?   这么大量的暴露在公网上的服务是怎么回事?有人发现(参看这篇文章《It’s the Data, Stupid!》 ),MongoDB历史上一直都是把侦听端口绑在所有的IP上的,这个问题在5年前(2011年11月)就报给了MongoDB (SERVER-4216),结果2014年4月才解决掉。所以,他觉得可能似乎 MongoDB的 2.6之前的版本都会默认上侦听在0.0.0.0 。 于是我做了一个小试验,到我拉Ubuntu 14.04上去 apt-get install mongodb(2.4.9版),然后我在/etc/mongodb.conf 文件中,看到了默认的配置是127.0.0.1,mongod启动也侦听在了127.0.0.1这台机器上。一切正常。不过,可能是时过境迁,debain的安装包里已加上了这个默认配置文件。不管怎么样,MongoDB似乎是有一些问题的。 再到Shodan上看到相关的在公网裸奔的MongoDB的版本如下,发现3.x的也是主流:   虽然,3.x的版本成为了主流,但是似乎,还是有很多人把MongoDB的服务开到了互联网上来,而且可以随意访问。 你看,我在阿里云随便找了几台机器,一登就登上去了,还都是3.2.8的版本。 真是如那些黑客中的邮件所说的:WTF,你们是怎么想的? 后续的反思 为什么还是有这么多的MongoDB在公网上祼奔呢?难道有这么多的用户都是小白?这个原因,是什么呢?我觉得可能会是如下两个原因: 1)一是技术人员下载了mongod的软包,一般来说,mongodb的压缩包只有binary文件 ,没有配置文件 ,所以直接解开后运行,结果就没有安全认证,也绑在了公网上。也许,MongoDB这么做的原因就是为了可以快速上手,不要在环境上花太多的时间,这个有助于软件方面的推广。但是,这样可能就坑了更多的人。 2)因为MongoDB是后端基础服务,所以,需要很多内部机器防问,按道理呢,应该绑定在内网IP上,但是呢,可能是技术人员不小心,绑在了0.0.0.0的IP上。 那么,这个问题在云平台上是否可以更好的解决呢? 关于公网的IP。一般来说,公有云平台上的虚拟主机都会有一个公网的IP地址,老实说,这并不是一个好的方法,因为有很多主机是不需要暴露到公网上的,所以,也就不需要使用公网IP,于是,就会出现弹性IP或虚拟路由器以及VPC这样的虚拟网络服务,这样用户在公有云就可以很容易的组网,也就没有必要每台机器都需要一个公网IP,使用云平台,最好还是使用组网方案比较好的平台。 关于安全组。在AWS上,你开一台EC2,会有一个非常严格的安全组——只暴露22端口,其它的全部对外网关闭。这样做,其实是可以帮用户防止一下不小心把不必要的服务Open到公网上。按道理来说,AWS上应该是帮用户防了这些的。但是,AWS上的MongoDB祼奔的机器数量是最多的,估计和AWS的EC2R 基数有关系吧(据说AWS有千万台左右的EC2了) 最后,提醒大家一下,被黑了也不要去付赎金,因为目前来说没有任何证据证明黑客们真正保存了你的数据,因为,被黑的服务器太多了,估计有几百T的数据,估计是不会为你保存的。下面也是Victor Gevers的提示: (全文完) 关注CoolShell微信公众账号可以在手机端搜索文章 (转载本站文章请注明作者和出处 酷 壳 – CoolShell ,请勿用于任何商业用途) http://coolshell.cn/articles/17607.html
    黑客
    2017年01月07日
  • 黑客
    黑客盗取企业用户邮箱信息炒股 SEC追查 [摘要]美国企业和政府机构遭遇的网络攻击越来越令人担忧。 Recode中文站 6月24日报道   据知情人士透露,美国证券监管机构SEC(美国证券交易委员会)正在调查一伙黑客,这些黑客涉嫌攻击企业用户电子邮箱帐户,并窃取和交易邮箱内部信息,例如有关公司合并等绝密信息,并进一步利用这些信息从事企业相关的内部交易。   其中的一位知情人士声称,SCE已经要求至少八家上市公司提供各自数据被窃取的详细情况。SEC此次不寻常的举措也体现了美国企业和政府机构遭遇的网络攻击越来越令人担忧。   SEC互联网政策执行业务的前主管约翰·里德·斯塔克(John Reed Stark)对此称,SEC调查企业被黑客攻击以及黑客可能窃取企业内部交易相关情况,这肯定是SEC的“绝对先例”。目前担任私人网络安全顾问的斯塔克还表示:“SEC之所以关注此事,主要是由于网络安全领域的失败事故已经让人感到越来越多的安全风险,以及引发的不正当内部交易所带来的危害。而且还诱发了不正当内部交易的危险新特征。”   知情人士透露,SEC的调查以及美国特勤局的相关调查都根源于安全公司FireEye在去年12月份发布的一份有关资深黑客组织“FIN4”的报告。SEC和美国特勤局都调查网络犯罪和金融欺诈等事务。   FireEye的报告显示,自从2013年中期以来,FIN4组织就已经尝试攻击100多家公司的电子邮箱帐号,寻找企业合并以及其它市场活动等相关的绝密信息,其攻击目标包括60多家上市的生物技术公司和其它医疗卫生相关的公司,例如那些生产医疗仪器、医院设备和药品的公司。   目前,对于上述传闻,SCE方面一直拒绝置评。美国特勤局的一位发言人也表示,该机构也不会对即将展开的调查事宜发表评论。   据知情人士透露,SEC已经要求那些遭遇网络攻击或攻击失败的企业提供相关的数据以及未知黑客用来诱使企业员发提供电子邮箱密码的策略的相关信息。   斯塔克声称,他看到了SEC向企业提出的提交相关文件的要求,但他不了解具体的调查范围和内容。目前,斯塔克与其他消息人士也都因为他们的客户关系以及SEC调查的涉密性而拒绝指明SEC调查的目标公司。与此同时,至于SEC是只调查FIN4组织攻击的企业还是有更大的调查范围,目前也不得而知。   FireEye公司声称,其认为FIN4黑客可能来自美国或欧洲地区,因为这些黑客的英语水平无可挑剔,而且也非常了解金融市场和投资银行的工作方式。   黑客以医疗和生物医药公司为攻击目标,主要是因为这些公司的股票容易不稳定,因而也可能会让他们赚取更多的利润。FireEye的报告称,在一起案例中,黑客曾经搜寻医疗补助回扣以及政府购买决策相关的信息。   FireEye的部分客户也是黑客组织攻击的目标,这些黑客利用伪装的微软Outlook登录页面,以此欺骗企业律师、高管以及顾问等输入他们的企业邮箱用户名与密码,从而实施黑客攻击。对此,FireEye公司经理劳拉·加兰特(Laura Galante)称:“非常危险的情况是,黑客可能会进入电子邮箱,并窃取非常重要的信息。”加兰特还声称,黑客还使用窃取的绝密信息,包括企业采购相关的重要信息在内,以此诱使相关人员参与讨论此事,并诈骗这些人员的电子邮箱与密码。   事实上,随着网络安全引发越来越多的担忧,SCE早在2011年开始就发布了上市公司网络安全防护相关的指南。当然,SEC展开类似的调查也的确不同寻常。SCE的调查行动也主要是围绕企业股票交易行为而展开。另外,SCE也只有权力调查民事案件,而任何可能的刑事案件则需要由联帮检察机构调查。(悦潼)    
    黑客
    2015年06月24日
  • 黑客
    微软称Outlook邮箱在中国遭黑客攻击 [摘要]微软称黑客伪装成Outlook.com恶意攻击服务器,少数用户因此受到影响。 据外媒报道,微软证实其Outlook电子邮件服务被中国黑客作为攻击目标,这是其在中国遭遇的最新挫折。微软目前正在华接受反垄断调查。   微软发言人周二在声明中说,他们注意到黑客伪装成Outlook.com恶意攻击服务器,少数用户因此受到影响。   微软发言人称,如果客户看到证书警告,应该与服务供应商联系,寻求帮助。   微软用户仅在中国受到影响。   腾讯科技讯 1月21日
    黑客
    2015年01月21日
  • 黑客
    【注意】SAP客户受到安全威胁 黑客盯上SAP后门盗取用户信息 据国外媒体报道一只以网络银行账号为目标的新木马程序变种,也包含了可侦测受感染计算机是否安装SAP应用的能力,显示未来可能将攻击SAP系统。 俄罗斯防毒公司Doctor Web此前曾发现这只恶意程序,并通报专门针对SAP安全监控产品的开发商ERPScan。ERPScan的CTO Alexander Polyakov并在RSA Europe安全大会上展示这只恶意程序。   如果一只恶意程序企图侦测已安装的特定软件,表示攻击者可能计划把此工具销售给其他具有意图的网络罪犯,或是日后自行使用。   SAP的工作站用户端软件的组态档很容易被找到,当中又包括连结的SAP服务器IP位址。攻击者可循此分析应用流程,或从组态档及GUI自动描述程序找出SAP的用户密码。   一旦找出密码后,SAP服务器危机重重。视黑客获得权限,他们可以窃取客户信息及商业机密,或设立不合法支付或变更现有户的银行账户付款目的地,以从中获取财富。   Polyakov表示,虽然有些企业可以根据用户角色限制SAP用户的职权,但都是庞杂艰巨的项目,通常大部分的企业对使用者权限都没有什么限制。   就算被窃的用户资料未提供攻击者想要的入侵资料,他们仍旧能拿到管理员权限,而大部份企业的某些系统也未曾或忘记更改密码,使得部份公司资料外流。   如果能入侵SAP用户端软件,攻击者就能窃取机密资料,象是财务信息、公司机密、客户名单或人资资料,并转售给竞争者。他们甚至可以对SAP服务器发动阻断攻击服务来破坏商业运作,造成财务损失,Polyakov说。如果时机抓准,有些攻击甚至能影响公司股价表现。   而这支恶意软件专门偷SAP客户端应用程序的账号密码,并存取SAP ERP系统,微软方面也证实有此恶意软件,并命名为:   TrojanSpy:Win32/Gamker.A。 微软恶意软件保护中心(MMPC)的研究人员表示,这个恶意软件具有键盘侧录功能,当执行某个应用程序后,每一次的点击或输入都会以存文字的方式侧录并储存在 "%APPDATA%\"目录下。   不过,这个恶意软件除了进行键盘侧录外,如果比对到特定的应用程序,就会去搜集或记录其他包括用户名称、服务器名称或其他的机敏数据。像是该恶意软件在被骇计算机中,比对到有安装微软操作系统端SAP ERP登入的saplogon.exe执行档时,恶意软件就会下达其他的命令参数,定期对计算机画面执行10次截图,每间隔1秒钟后,分批将截图回传黑客发动攻击的C&C(命令与控制)服务器,回避企业内资安设备对可疑外传数据侦测。   当黑客取得登入SAP ERP系统的帐密后,就可以透过远程登录的方式控制受骇计算机,甚至可以直接登入SAP ERP系统,控制企业的核心系统与信息。   ERPScan表示,恶意软件不是SAP企业用户唯一的威胁,另外一个存在SAProuter中,未经身份验证的远程执行代码漏洞,对SAP系统危害更大。SAProuter是一个存在SAP系统与外部应用网络之间的连接,可以控制外部对SAP系统的存取,进而确保SAP系统的网络安全性。   ERPScan指出,这个漏洞修补程序已经在6个月前释出,但5,000个SAProuter用户中,只有15%已修补该漏洞。   微软建议,除了安装防恶意软件及入侵检测防御系统,并且落实微软操作系统端的漏洞更新外,更必须严格根据使用者职务给予最低限度的访问权限;另外也可以透过采用双因素认证(OTP)提高用户系统使用的安全性。   Dr. Web侦测到这只恶意程序变种是属于Trojan.Ibank家族之一,但可能取自常见的化名。它是已知银行木马程序的变种,但又不像Zeus或SpyEye那么知名。   不过,SAP客户受到的威胁还不只于此。ERPScan还发现SAProuter有一重大未经授权的远端程序码执行弱点,可作为公司内部SAP系统与网际网络间的代理服务器。6个月前SAP已发布修补程序,但ERPScan发现网络上可连上的SAProuter高达5,000个,仅15%已安装修补程序。 SAP全球有近25万家客户,几乎都是大型企业,包括80%的500强大企业。   【文章来源:人称T客】
    黑客
    2014年05月28日