2000P's Blog

最初のページ

nsa(米国安局)リークファイル深度分析(part 1)

著者 winterton 時間 2020-04-15
all

はじめに

ファイアウォールはネットマシンをネット攻撃者から保護する第一コースであり、最も基本的な機能は外部の人がネットにアクセスできないマシンであり、内部の人がインターネットに正常にアクセスすることができます。

1993年にファイアウォールが発明されて以来、ネット攻撃者にとっては依然として越えがたい天険であるが、越えられないものではない。多くの企業が設備を盲目的に信じています。これは全面的ではありません。

関連するファイアウォールのブランドは中国で60%を超えています。世界中でもっとひどいです。大袈裟に言えば、中国全体の60%の会社と部門内ネットワークは工具所有者に直接訪問されます。これは文書の60%を大衆に公開するもので、核心機密工具の40%が高値で競売されています。

二、フォルダ概要

三、テスト

1.プログラムはSNMPを通じていくつかの目標の基本情報を取得する。

2.version ucheckを実行する:

3.現在のバージョン番号がサポートリストにあるかどうかを確認します。

4.ターゲットバージョン番号が現在のサポートリストにある場合、shellcodeを作成します。

5.オプションに従ってオープン検証またはクローズ検証のパスロードを生成します。

6.EXPを生成し、実行:

このEXPを実行する効果は、ファイアウォールを閉じて管理インターフェース(TELNETまたはSSH)を認証することで、攻撃者が接続によって検証不要な管理インターフェース(TELNETまたはSSH)を許可することができます。

文書の要約には、以下の3つの条件があります。

1.ASAのバージョン番号は8.4.4及び以下の2.telnetまたはSSH管理インターフェースを開く3.SNMPが使用するUDP 161ポートを開く必要があります。

この3つの条件は合わせて厳しいです。8.4.4バージョンは本当に古いです。検索したASAは基本的に8.5以上で、一番近いのは8.4.5です。管理インターフェースとSNMPポートもオープンします。現在は適切なネットワークデバイスが見つからず、仮想環境でしか検証できません。

四、TURBO分析

1.ファーウェイのデバイスでFTPサービスを開始し、ユーザーにFTPディレクトリと権限を与える。

ftp server enable aa local-user USER ft-directory flash:/local-user USER service-type current privs ftp

2.アップロードしたいファイルを一括してTURBOのupladディレクトリに入れ、完全な権限を与える

mkdir/current/bin/FW/TTURBO/uuuubload cd/current/bin/FW/TTTURBO/uuload cp/current/BBfile//bfile.cp/current/BBBBBBBBBBBBBBBBBBBBBBBW///BBBBBBBBBW//BBBBBBBBW/BBBBBBBBBBBBBBW/BBBBBBBBBBBBBBBBBBW/BBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBB7*

3.接続機器のFTP、grat(PolarSneeze)&PBD(PolarPaws)をアップロードする

nftp-r REDIRECTORORUIP-N 127..0.1 FIREWALL IP dir put test.bat test.bat binary put sfile put bfile bile_file_file_file_bit

4.test.batのインストールを実行する

execute test.bat

5.裏口の接続

./pandrockov 1.10.0.1.bin settip 127..1 settport 3146 setsport 3123

注意:

まとめ:

バージョンについては詳しく述べていませんが、全バージョンのファーウェイを殺害した疑いがあります。NSAはファーウェイ製品に対してよく知っています。全カバーの撤退操作基準も含まれています。

その中のscrubuserとcrubhidden命令はファーウェイの命令ではありませんて、後門のプログラムのために機能を持つべきです。

デバイスの型番とバージョン番号については説明していませんので、HUAWEIのeNSPではルータを選択して簡単にテストしましたが、成功していませんでした。

また、デバイス、TURBOの構成上の問題なのか、それともバージョンサポートと仮想化の問題なのかは不明です。

すべてのバックドアの接続は*キーファイルを使わなければなりません。安全意識が高く、ほとんど爆破されません。

五、BAANAGLEE

このプロジェクトはJunniperデバイスとCISCO ASAデバイスに対して行うべきで、「BAANAGLEE」ディレクトリの下にはBGから始まる五つのディレクトリと一つのBAANASURPERディレクトリ(アップグレードファイル)があります。

フォルダ名はBGで始まり、数字は終わります。冒頭の「BG」はツール「BAANAGLEE」の略称であるべきで、最後の数字はjunniper設備の型番であり、番号は3121フォルダでCISCO ASA設備に専用です。

部分はBGに関するchange ogです。

そしてこのuserscript.FWは全体の起動プログラムであるべきです。

「eqgrp-free-file/Firewall/BAANAGLEE/BG 2100/Install/LP/」のlpでBGの機能を起動します。その中の一つの主要なモジュールはredirectorで、ファイアウォールで流量暗号化、転送を実現します。

Choose option 1 to Open a session Choose option 9 to close your session.Choose option 30 to List Uploadable Modules Choose option 31 to Upload the BUSRPER-1212.modmodule Choose option 32 to Activate the BUSER-226.module module module

ipFilt.txt tcpFilt.txt ipFilt.txt ipFilt-extr.txt tcpFilt-extr.txt

1.profilerモジュールは2つのモジュールを持ち、それぞれfilterとextractionである。

3.流量を導出するためには、IPヘッダからのオフセット量とバイト長を特に指定しなければなりません。実際にあなたが導き出す流量は、パケットがIPヘッダから始まり、ある長さの一定長さのデータをオフセットします。

4.filterとextractionをコンパイルしたら、「Profiler module」にアップロードして実行できます。

Sample:/xtrctcompp tcpPort-extr.txt tcpPort-extr.bin

5.収集した流量をextractに書き込み、ファイルはjunniperのファイアウォールにあります。また、収集したデータをpcap形式に変換するために、変換ツールを提供しています。

Sample:/xtractiplease--i colleced profile--o output file--s number of bytes skyped--t Number of bytes colleced--p optionl flagt to specify TCP,or ICMP

三つの比較的核心ツール:LP(制御端)、redirector+tunnel(暗号化トンネルを作る)、profiler(流量を取得する)。

ローカルのtxtにtarget流量の特徴を書き込み、IPアドレス、マスク、プロトコル、ポート番号などを含む。編集してファイアウォールにアップロードして実行します。

ファイアウォールは設定によって流量をキャプチャし、必要なデータをextracファイルに書き込みます。その後、使用者はこのファイルをミーティングし、特定の処理スクリプトでデータをpcap形式に変換する。

redirectorモジュールについては、starturedirectorを実行します。プログラムはPacketDropperというfilterファイルを作成してアップロードします。ローカル傍受プログラムを起動してデータを暗号化して転送します。

tunnelプログラムの場所:

このプログラムは2つのモードがあると分析しました。それぞれ:

FOR A GENERAL PIX FOR A PIX ASA

また、biosMoudeleyouの多様なモデルは、一般的にAM 29 F.modを使用しています。

照会により、AMD/AM 29F 4シリーズのチップであり、AMD製のCMOSメモリであると判断した。

まず、LPアップロードによってmoduleを変更し、ローカルに「writeJetPlow」プログラムを2回実行します。パラメータを持たないのは初めてです。例えば、2回目のパラメータです。

「.writeJetPlow-2335--dport 453--readCmd 18--writeCmd 19--operation INSTALL--dir jectplow--expert--plot form PIX

途中で車に戻ります。標準オプションを選択してください。

悪意のあるコードやバックドアなどのツールをバイナリのBIOSファームウェアレベルファイルに作成し、対象機器にアップロードして実行すると、発見される可能性は極めて低い。

(個人の経験:サイバーセキュリティに接触して、研究設備がこんなに長い間、誰が設備上のIOSを当地に行くか聞いたことがないから、MD 5を計算して、公式のデータと比較して、正規版かどうか確認しました。)

「eqgrp-free-file/Firewall/BAANAGLEE/BG 2100/Dats/」ディレクトリの下に、大量のdatファイルがあります。ファイル名からbankapeの可能性があるデバイスの型番が大体分かります。

ただ、2100フォルダに対応する設備はJunniper Firewall製品ラインの大部分をほぼカバーしています。また、2100以外の四つの類似ファイルがあります。

NSAの裏口はすべてのJunniper Firewallに植えられるはずです。

現在はすべての分析をまとめましたが、このツールバッグはどのようにファイアウォールファームウェアのレベルで正確にトラフィックを捕獲し、流量を記録するか、より多くのオプションが見つからないか、または動的ハイジャック流量に関する操作文書です。

もっと知りたいので、「eqgrp-free-file/Firewall/BUZDIRECTION/BUZZZ/Mods/App/Buzdirect/i 386 Network Profiler.lx 32」と「Network Profiler.lx 64」のプログラムに逆行して、より多くの情報を得るつもりです。

ファイアウォールROMは大きくないので、完全な流量を得る効果はよくないので、検出やNetwork Profileと呼ぶか、あるいは現在の情報が不完全なため、このツールバッグの全面的な機能が分かりません。

しかし、他の操作ドキュメントでは動的ハイジャック流量計に関する操作コマンドが見つかりませんので、この機能は残りの40%のファイルにあるか、あるいは他のツールバッグにあるかもしれないと推測するしかありません。

エピソード

調べてみると、このIPアドレスはパキスタンに属しています。

この文書の作成時間が早すぎるため、このIPアドレスのホームとどのようなサービスが有効にされているかを確認することができず、PIXデバイスを構築したことがある。このため、IPアドレスとツール・パッケージ開発者との連絡は確認できません。

この文書のchange Gaulogによると、2010年12月15日に開発が開始されたということです。(私は2010年に大学に入ったばかりで、高数、大物、馬哲などの勉強を始めました。)

六、問題

tunnelについては、マニュアルごとに目的の操作に接触する必要があれば、予め一つのtunnelを作って、redirectorを通じて接続先を作ります。

この行為は設備がイントラネットにあるからよく分かります。redirectorエージェントを通じてイントラネットに転送されます。

この手順はtunnelを実行しなければなりません。作文用のファイルは汎用性があります。防火壁カバー防火壁の設計はケースだけです。Fortigateはネットの境界にあるべきです。なぜファイアウォールとトゥンネルを作ってからタージをスキャンしますか?

これはなぜなのか分かりません。ただ単にネットの踏み板として使うのですか?0 DAYでネットの踏み板を取得するのはコストが高すぎるのではないですか?

七、構築情報

まだテスト中ですので、構築情報はまだ完全ではありません。

ファイル「eqgrp-free-file/Firewall/BLATSTING/BLATSTINGu 2022/opinstructions/uplload nopen.txt」には一部のインストールフローがあります。

BLATSTING基本操作文書「eqgrp-free-file/Firewall/SCRIPTS/blastings.txt」

セットアップスクリプトはSCRIPTとOPSの中にたくさんあります。まだテスト中です。。

八、まとめ

NSAの流量処理の仕方は私が以前使った方法とは違っています。ファームウェアレベルに深く入り込むことで、データ処理効率が良くなります。

また、デバイス上での動作は、流量の取得と記録だけでなく、設定に従ってパケット中の特定のフィールドを取得することができ、デバイス上で直接にトラフィックのハイジャックと修正を行うことができると推測される。これは私の前の考えとは比べ物にならないものです。

侵入行為は、完全に発見することはできませんが、多くの詳細は、ターゲット会社の従業員やネットワークセキュリティスタッフによって無視されているだけでなく、「我々は強力なファイアウォールを持っています。中国のインターネット安全設備の指導者の地位にあります。」

そして、2010年には、ファイアウォール自体の安全に関心を持つ人はまだいないだろう。

これにより、NSAは2007年までにネットワーク装置に着目し、ネットワーク装置の利点を十分に制御してきた。防火壁を制御したのは目標の扉を制御したのと同じで、しかもその扉の開けたのは相手が気づきにくいです。BIOSファームウェアを修正すると、この扉が閉まらないようにすることです。

ツールのコードから、NSAプログラマーの能力は天まで強くないことが分かりました。彼らはPython、Perlなどのスクリプト言語で書いたツールを使っています。私たちと同じです。

唯一の違いは習慣で、関数の定義から命名して、コードの構造の順序、設計の構想、および各方面の考慮、国内のプログラマより書くのが精緻で多くて、全力を尽くしてすべての出現する問題を考慮します。

コードは読みやすいです。国内は普通は比較的に気が短いですが、実際に多くの優秀なプログラマと知り合うことができました。

中国には優秀なプログラマーが不足しているわけではなく、どのような将来志向と計画が欠けていますか?

これまでも設備や流量の安全に関する研究をしてきましたので、ネットの流量をコントロールすることですべてをコントロールすることができるということをよく知っています。

そして、設備の安全を研究している間に、星空を見上げることができると思っていましたが、このキットは井口だけを見たということを教えてくれました。自分の視野を高める必要がある。

同志の士が共に研究し、学ぶことを期待しています。今の嵐の中、安全のために一日を開けます。

このキットは公開されて間もないので、時間が短いです。もし漏れがあれば、ご指摘ください。