Soul Cry-LiteManagerインフラストラクチャのハッキング

まえがき

このテキストは、まず第一に、システム管理者と一般ユーザーに対する警告です。 突然、リモート管理用の比較的よく知られたプログラム「LiteManager」（以降LM）自体が、変更や変更なしで、インストールされているコンピューターのバックドアであることがわかりました。 つまり、LMがPCにインストールされ、IDによる接続が（IPアドレスなしで）使用されている場合、非常に高いほぼ100％の確率で、完全に不正なユーザーに不正なリモートアクセスを最小限の労力で取得できます。特別なハッキングスキルは必要ありません。 「ハッキング」技術の説明と、以下のソースコードを使用した作業例。

私は小さな会社のプログラマーです。当社のソフトウェアはネットワークテクノロジーに接続されていませんが、従業員は稼働中のPCにリモートアクセスする必要がある場合があります。 さまざまな理由から、選択はLMに委ねられました。LMは30人の従業員が無料です。 ローカルネットワーク（Radmin）での直接接続に加えて、LMを使用すると、外部コンピューターがある場合は、リモートコンピューターのIPアドレスをIDで指定することなく、会社のサーバー（ha ha）または誰でも展開できるユーザーサーバーを介して作業できますIPアドレス（一見、TeamViewerのように見えますが、これは最初のみです）。

LM NOIPサーバーのネットワークはどうですか

そのため、一部のマシンでは、LMを介したリモートアクセスが身元不明の人物によって定期的に実行されていることがわかりました。 物理的にパスワードにアクセスした人は、現時点ではリモートで接続できませんでした。 一般に、パスワードを変更した後でも、状況は1回または2回以上繰り返されました。 LMはすべてのマシンから削除され、IDによる接続がどのように配置されているかをはじめとして、状況の調査を始めました。 LMは、有名な国際企業から名前を借りて、モジュールLM NOIPサーバー（「ルーター」とも呼ばれます）という名前を付けました。

この種のプログラムでは、IDによる接続により、リモート（および/またはローカル）コンピューターがNATの背後にある場合でも通信できます。 リモートコンピューターのIDとパスワードを指定し、[OK]を押すと、マシンを完全に制御できます。 同時に、管理者のコンピューター（以降、ビューアーと呼びます）とリモートPC（以降、サーバーと呼びます。これは、LMの用語では、まさにこの方法で、LM NOIPサーバー、つまりルーターと混同しないでください。

そして、ここから楽しみが始まります。 以下は公式サイトの説明です。

公式サイトから

わかりましたか？ パーソナルNOIPルーターと無料版を使用するには、このルーターをすべてのユーザーに対して開く必要があります。 これは悪いように思えますか？ この質問に答えるために、NOIP LMルーターの一般的なスキームを扱います。

それらには、「メインサーバー」と呼ばれるものがあります。これは、残りのオープンルーターを調整し、すべてのトラフィックを駆動します。 および商用ユーザー。 これは、任意のTCP接続監視プログラムによって監視されます。最初にメインサーバーへの要求が行われ、次にランダムに処理されます（設定によってはランダムではありません）。

LMサーバーの図

利点は、IDで作業するために、個人のNOIPサーバーを展開する必要がないことです。ところで、サーバーをインストールしませんでした。 既に利用可能な無料のオープンNOIPルーターが既に数十個あり、それらのリストはViewerから直接利用できるため、すべてがすぐに使用できます。 プログラム自体がサーバーを選択し（毎回異なる場合があります）、トラフィックが通過します。 したがって、明らかに、同社は一種のトレントトラッカーを作成し、トラフィックとサーバーを節約することにしました。

グローバルな脆弱性

しかし、実践が示しているように、このアイデアはアイデアの形でのみ美しいものです。 実際、ランダムな人が所有する完全にランダムなサーバーを介して、トレントのような新しいシリーズのスターウォーズではなく、リモートPCにアクセスするためのパスワードを含むトラフィックがプロキシされます。

はい、もちろん、トラフィックは暗号化されます。

公式サイトから

RSA 2048、AES 256、すべてのもの。 Server <=> Viewerチャネルのみが暗号化されますが、Serve <=> NOIPおよびViewer <=> NOIPチャネルが暗号化されていても、劇的な変化はありません。 ただし、プログラムにはサーバー認証はまったくありません！ はい、たとえそのようなチェックがRDPでの作業の慣例であったとしても、リモートコンピューターの信頼性を検証できないという警告に注意を払う人はほとんどいないと責任を持って宣言できます。

RDP警告

しかし、私は繰り返しますが、そのようなチェックもありません。 そしてここに略語MITMがあります。 「真ん中の男」を攻撃します。 ほとんどすぐに、穴の探索が完了したことが明らかになりました。

Wiresharkのトラフィックを簡単に調査し、デバッガーでプログラムモジュールを表示した後でも、これがそれであることが明らかになりました。

MITMを実装するには、何らかの方法でインフラストラクチャ/機器/通信チャネルにアクセスする必要があり、ソーシャルエンジニアリングやその他のトリックが必要です。これは大衆に大きな害を与えない単一の製品です。 一般的に、これはプロのハッキング専門家によって行われますが、私はそうではありません。

しかし、LMは、別の感嘆符、このインフラストラクチャを誰にでも提供することをおtheyび申し上げます。 オープンLMルーターをインストールし、通過するすべてのトラフィックをリッスンします。 リモートマシンへの釣りIDとパスワードアクセスの一種。 トラフィックを傍受して復号化するためだけに残ります。

その結果、LMインフラストラクチャ全体にグローバルなアーキテクチャ上の脆弱性があります。 これは意図的なものでしたか、それともネットワークセキュリティの分野での基礎知識の不足によるものですか？ 質問は公開されています。

トラフィック傍受

この記事には、LMNOIPルーターを通過する接続のほぼすべてのIDとパスワードを傍受できるソースコードを備えたプログラムの完全に機能する例が付属しています。 唯一の要件は外部IPアドレスです。

LMSoulCry.exe

LMSoulCry は、 LM NOIPルーターの前のネットワークに配置する必要があります。

LM NOIPルーターは、起動時に、明らかに登録のためにグローバルLMサーバーにアクセスするように設計されています。 一方、グローバルサーバーは、このルーターへのリバースTCP接続を確立しようとしています。 これが成功した場合、ルーターをフリーモードに切り替えて使用できます。 それはすべてに開かれています。

LMSoulCryが着信TCP接続を受け入れることを確認する必要があります（順番に、それらはLMルーターにリダイレクトされます）。 また、LMルーターは、参加することなく、独自に発信接続をグローバルサーバーに直接送信します。

典型的なセットアップ図を以下に示します。 PCには外部IPアドレスがあります。 LM NOIPルーターを実行する仮想マシンをインストールします。 組み込みのNATアダプター（VMWareにあります）を介してメインPCに接続します。 仮想マシンでインターネットを構成します（多くの場合、構成する必要はなく、すべてが単独で機能します）。 外部IP LMSoulCry.exeを使用して物理コンピューターを起動し、その仮想マシンの内部アドレスを指定します。 次に、LMSoulCryをオンにして、LM NOIPルーター（仮想マシン上にある）を起動します。 ランダムなユーザーは長くかかりません。

外部IPアドレスがPC上ではなくルーター上にある場合は、このルーター自体の設定でポート転送を指定するだけです。

外部IPアドレスがない場合、実際には何もチェックしません。

MITMの実装

MITMの実装に関しては、すべてが平凡です。 LMは、MS Crypto APIを使用します。これにより、キー置換のタスクがさらに簡素化されます。 LMSoulCryのソースコードにはgeneしみなくコメントが提供されていますが、記事に転送する理由はありません。

おそらく、この例はプロのクラッカーの間で見劣りするような笑顔を引き起こしますが、少なくとも一般的な意味でデバッガの使用方法を知っている平均的なプログラマーや学生でさえ、それを理解して実装することができます。 この例では、パッチまたはAPIフックはありません。

この例は、LMが通過するものから何かを傍受するために簡単に拡張することもできます。 トラフィックは実質的にNOIPによって保護されていないためです。

ここで、彼らが言うように、私たちは話してはならず、見せなければなりません。

魂の叫び、歌詞と結論

この脆弱性の発見後、LM開発者に手紙が送られました。 回答が得られなかった。

責任者

おそらく彼らはあなたに答えるでしょう。 あなたの運を試してください。

「LiteManager」と呼ばれるプロジェクトの開発者が、私を含め、何千人もの疑いを持たないユーザー（無料と商用の両方が重要です）を代用するのにふさわしい責任を負うかどうかはわかりません。もう7歳です 結局のところ、プログラムがいかなる方法でも保護されていないことはどこにも書かれておらず、PCにインストールすることで、それを望む誰でもドアを開けることが保証されます;ロックは機能しません。

しかし、私はプロのハッカーがこのソフトウェアのこの「アーキテクチャー機能」を非常に長い間認識しており、長い間彼らの目的のためにそれを使用してきたと確信しています。

はい、多くの製品は同様のスキームを使用してNATをバイパスしますが、これらすべてのプログラムでは、サーバー（ルーター）は製品自体を製造する会社に属するか、顧客側にあり、それによってのみ制御されます。 つまり、サードパーティは存在せず、問題が発生した場合に誰から質問するかは常に明確です。

はい、サーバーから個人データが漏洩した場合、会社を理解し、許すことができます。 まれな脆弱性を見つけて、巧妙に悪用する場合。 しかし、それが表現、詐欺、および大規模なもので申し訳ありませんが、5年以上提案されている場合、許しと理解はありません。 少なくともこの記事が力になることを願っています。

すべてのユーザーがLiteManagerをすぐに削除することを強くお勧めします。アンチウイルスプログラムはLM自体とそのサイトを悪意があるものとしてマークすることをお勧めします。

トラブルに見舞われたすべての人に「目を開けておく」ことを強くお勧めします。また、無料のチーズとネズミ捕りについての声明を思い出してください。

→ Github