驱蚊器喵的翻译平台

Can you hear the gravity?

《Mr. Robot》是我看过的最为精彩的黑客电视剧,剧中有大量真实的黑客元素,几年前看的时候有些看不太懂,直到最近才发现《Mr. Robot》技术顾问 Ryan Kazanciyan 写的揭秘文章,文章内有一些创作来源和幕后故事,看了以后觉得非常有趣,决定翻译后放到翻译平台上。


原文地址:https://medium.com/@ryankazanciyan/mr-robot-disassembled-eps3-3-m3tadata-par2-baa1e8486dd5
原文标题:Mr. Robot Disassembled: eps3.3_m3tadata.par2
原文作者:Ryan Kazanciyan
原文写于:2017/11/02

译者:驱蚊器喵#ΦωΦ
翻译水平有限,有不通顺的语句,请见谅。


朋友们你们好。我是 Ryan Kazanciyan,《Mr. Robot》 的技术顾问。从第二季的后半部分,我开始与 Kor Adana (作家、制片人和 ARG 背后的策划者) ,以及《Mr. Robot》团队的其他成员一起工作。在整个第三季中,我将负责编写剧中描述的黑客,他们是如何聚集在一起的,以及他们的现实基础。

剧透警告! 本文讨论的是第三季第 4 集中的事件。


每一季的《Mr. Robot》剧中都至少有一次黑客攻击事件,由于纯粹的巧合,最终在现实生活中类似的事件附近播出。让人没有感到惊讶的是,第三季也是这样。本周剧集的亮点是,剧中使用的软件漏洞和导致 2017 年最广为人知的泄漏事件中的软件是同一个。

在 S3E01 的结尾,Mr. Robot 与 Tyrell 重逢,并开始共同努力,重新进入 E 公司的网络。他从被动侦查开始,在 Shodan.io 上进行查询,寻找运行着 Apache Tomcat 的 E 公司服务器 - 这是一个流行的基于 Java 的网站开源服务器平台(也是一个经常不打补丁或被配置错误的平台)。

本周,我们了解到他们已取得了进展。Elliot 告诉 Darlene,他在 E 公司的网络上发现了一个被破坏的网络服务器,并怀疑 Dark Army 仍然在进行第二阶段(Stage Two)的工作。在这一幕中,我们可以在屏幕上看到他的研究过程。

Elliot 查看 E 公司网络服务器被入侵的证据

屏幕的左侧有两个浏览器窗口。背景的窗口是 2013 年 7 月发布的 Apache Struts 安全公告 S2-016。Struts 是一个开发框架,用于构建基于 Java 的网络应用程序;通常与 Apache Tomcat 一起使用,以便部署和托管。S2-016 是一个高危漏洞,为任何远程攻击者提供了执行恶意代码的能力。这是最糟糕的情况。

如果 “Apache Struts” 对你来说听起来很熟悉,那么你可能已经了解它在 2017 年 9月(译者注:本文发布于2017年11月)公开的 Equifax 黑客事件中扮演的角色。同样的软件,不同的是,漏洞更新了。不幸的是,Struts 的严重安全漏洞由来已久。早在 2014 年,我就为那些受到各种基于 Struts 攻击的公司进行过取证调查,甚至在补丁出现很久之后,他们同样受到了攻击。3 月份,当 Kor 和我开始在现场工作时,我从这些经验中获得了灵感。但我们没有想到的是,Struts 会在今年晚些时候再次成为新闻!

屏幕右侧的终端窗口包含了 Tomcat 的访问日志。日志中显示的网络请求,展现了在 Struts 的一个演示程序 “struts2-blank” 中有尝试测试漏洞的记录,这个程序有时会被遗留在生产系统中。

Tomcat 网页的访问日志,显示了对 Struts 漏洞的检查情况

我通过模拟 Metasploit 框架进行的检查来创建这些日志条目,作为其 Struts Struts Default Action Mapper 攻击的一部分。在一次完整的攻击中,这些请求之后会有更多的尝试来利用这个漏洞,这些尝试是针对受害者主机的操作系统和配置而定制的。

位于前面的浏览器窗口暗示 E 公司的一个网络服务器上的另一个潜在问题:一个暴露在公网的 Apache Tomcat Web Application Manager (网络应用程序管理器)。

Tomcat 管理界面的屏幕截图

这个页面支持许多服务器管理功能,包括部署新应用程序的能力。默认情况下,Tomcat 将其托管在 8080 端口的 URL “/manager”,尽管这两种设置都可以重新配置。最佳做法是,管理页面应受安全密码的保护,并且只限于内部访问。

不幸的是,许多组织没有修改默认的 Tomcat 管理员用户名和密码(admin / admin),并无意中允许远程访问管理界面。还有一些企业可能一开始就把网页锁定了,但在升级或重新安装时又退回到了不安全的设置。即使没有 Struts 漏洞,能够访问 E Corp 服务器上的 Tomcat Web 应用管理器的攻击者也可以部署一个恶意的应用程序,例如基于 Java 的 “webshell“ 后门。

在 Struts 漏洞和暴露的 Tomcat 管理器页面之间,黑暗军团显然有办法在 E 公司至少一个面向互联网的网络服务器上建立一个突破口。这对他们有什么作用?许多现实世界中的攻击都是从入侵一个不重要的系统开始的。这台服务器可能只是 Mr. Robot 试图重新进入 E 公司内部网络的一个垫脚石。

幸运的是, Elliot 现在可以跟踪访问痕迹,并试图跟上 Dark Army 的下一步行动…

本文作者 : meow
This blog is under a CC BY-NC-SA 4.0 Unported License
本文链接 : https://translation.meow.page/post/mr-robot-disassembled-eps3-3-m3tadata-par2/

本文最后更新于 天前,文中所描述的信息可能已发生改变