Возможно, Ваш LinkedIn уже взломали?
Какое-то время назад близкий мне человек (далее по тексту V, for Victim), узнал, что к его аккаунту на LinkedIn получил доступ посторонний (здесь и далее T, for Trespasser). Для V всё началось с электронного письма следующего содержания:
Пароль был изменен и доступ к аккаунту восстановлен. Кроме внезапно изменившегося пароля, V не смог обнаружить следов других нежелательных действий в своем LinkedIn-аккаунте. V предполагает, что T получил доступ к аккаунту намного раньше, и достаточно длительное время скрытно следил за действиями V. Загадкой остается лишь, зачем T, в конечном итоге, понадобилось менять чужой пароль.
Однако, вернемся к письму, точнее к содержащимся в нем данным. Нам известен IP-адрес злоумышленника, а также предполагаемый браузер и ОС на компьютере T. В обратной DNS зоне для этого адреса ничего нет, а whois говорит, что подсеть принадлежит харьковскому отделению ДатаГруп. Вспомнив, с каких устройств, и из каких мест он обычно заходил в LinkedIn, V начал думать о ком-то из (бывших) работодателей.
Попробуем сузить круг подозреваемых.
[root@cherry ~]# nmap -A -T4 176.102.62.252 Starting Nmap 6.47 ( http://nmap.org ) at 2015-06-04 22:39 EEST Warning: 176.102.62.252 giving up on port because retransmission cap hit (6). Nmap scan report for 176.102.62.252 Host is up (0.042s latency). Not shown: 984 closed ports PORT STATE SERVICE VERSION 22/tcp open ssh OpenSSH 5.3 (protocol 2.0) |_ssh-hostkey: ERROR: Script execution failed (use -d to debug) 25/tcp filtered smtp 80/tcp open http Apache httpd 2.2.15 ((CentOS)) | http-methods: Potentially risky methods: TRACE |_See http://nmap.org/nsedoc/scripts/http-methods.html |_http-title: Apache HTTP Server Test Page powered by CentOS 88/tcp open kerberos-sec Heimdal Kerberos (server time: 2015-06-04 19:41:01Z) 111/tcp open rpcbind 2-4 (RPC #100000) | rpcinfo: | program version port/proto service | 100000 2,3,4 111/tcp rpcbind | 100000 2,3,4 111/udp rpcbind | 100024 1 48315/udp status |_ 100024 1 48825/tcp status 135/tcp filtered msrpc 139/tcp filtered netbios-ssn 389/tcp open ldap (Anonymous bind OK) 445/tcp filtered microsoft-ds 464/tcp open kpasswd5? 593/tcp filtered http-rpc-epmap 636/tcp open ssl/ldap (Anonymous bind OK) | ssl-cert: Subject: commonName=BU-DC1.devcodin.local/organizationName=Samba Administration | Not valid before: 2014-04-10T20:55:24+00:00 |_Not valid after: 2016-03-10T21:55:24+00:00 |_ssl-date: 2015-06-04T19:42:39+00:00; 0s from local time. 1024/tcp open kdm? 3268/tcp open ldap (Anonymous bind OK) 3269/tcp open ssl/ldap (Anonymous bind OK) | ssl-cert: Subject: commonName=BU-DC1.devcodin.local/organizationName=Samba Administration | Not valid before: 2014-04-10T20:55:24+00:00 |_Not valid after: 2016-03-10T21:55:24+00:00 |_ssl-date: 2015-06-04T19:42:39+00:00; 0s from local time. 3389/tcp open ms-wbt-server Microsoft Terminal Service Aggressive OS guesses: HP P2000 G3 NAS device (93%), Infomir MAG-250 set-top box (92%), Ubiquiti AirMax NanoStation WAP (Linux 2.6.32) (92%), Linux 2.6.32 - 3.10 (91%), Linux 3.3 (91%), Linux 2.6.32 (91%), Linux 2.6.32 - 3.1 (91%), Linux 3.7 (91%), Netgear RAIDiator 4.2.21 (Linux 2.6.37) (91%), Linux 3.1 (91%) No exact OS matches for host (test conditions non-ideal). Network Distance: 8 hops Service Info: OS: Windows TRACEROUTE (using port 256/tcp) HOP RTT ADDRESS 1 0.96 ms 192.168.10.1 2 ... 3 38.94 ms 10.80.21.114 4 ... 5 42.26 ms ae20-771.m25.kharkov.datagroup.ua (80.91.160.118) 6 47.97 ms 176.241.104.122 7 ... 8 44.01 ms 176.102.62.252 OS and Service detection performed. Please report any incorrect results at http://nmap.org/submit/ . Nmap done: 1 IP address (1 host up) scanned in 189.09 seconds
Очень похоже на какой-то Linux, выполняющий функции шлюза и контроллера домена Active Directory (Samba4). Очень интересен CN указанный в SSL-сертификатах для LDAP- «BU-DC1.devcodin.local». DevCodin (а так же AppCodin и WebCodin) — именно в такой транскрипции, без «g» на конце, представляет себя заказчикам харьковская IT компания Riff Point (jobs.dou.ua/companies/riff-point, riffpoint.com), откуда V уволился некоторое время назад.
Как правило, AD контроллер отвечает на запросы rootDSE без авторизации. Попробуем, и снова видим DevCodin:
[root@cherry ~]# ldapsearch -h 176.102.62.252 -p 3268 -b "" -s base '(objectClass=*)' # extended LDIF # # LDAPv3 # base <> with scope baseObject # filter: (objectClass=*) # requesting: ALL # # dn: configurationNamingContext: CN=Configuration,DC=devcodin,DC=local defaultNamingContext: DC=devcodin,DC=local rootDomainNamingContext: DC=devcodin,DC=local schemaNamingContext: CN=Schema,CN=Configuration,DC=devcodin,DC=local subschemaSubentry: CN=Aggregate,CN=Schema,CN=Configuration,DC=devcodin,DC=loca l supportedCapabilities: 1.2.840.113556.1.4.800 supportedCapabilities: 1.2.840.113556.1.4.1670 supportedCapabilities: 1.2.840.113556.1.4.1791 supportedCapabilities: 1.2.840.113556.1.4.1935 supportedCapabilities: 1.2.840.113556.1.4.2080 supportedLDAPVersion: 2 supportedLDAPVersion: 3 vendorName: Samba Team (http://samba.org) isSynchronized: TRUE dsServiceName: CN=NTDS Settings,CN=BU-DC1,CN=Servers,CN=Default-First-Site-Nam e,CN=Sites,CN=Configuration,DC=devcodin,DC=local serverName: CN=BU-DC1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Config uration,DC=devcodin,DC=local dnsHostName: BU-DC1.devcodin.local ldapServiceName: devcodin.local:[email protected] currentTime: 20150604194325.0Z supportedControl: 1.2.840.113556.1.4.841 supportedControl: 1.2.840.113556.1.4.319 supportedControl: 1.2.840.113556.1.4.473 supportedControl: 1.2.840.113556.1.4.1504 supportedControl: 1.2.840.113556.1.4.801 supportedControl: 1.2.840.113556.1.4.801 supportedControl: 1.2.840.113556.1.4.805 supportedControl: 1.2.840.113556.1.4.1338 supportedControl: 1.2.840.113556.1.4.529 supportedControl: 1.2.840.113556.1.4.417 supportedControl: 1.2.840.113556.1.4.2064 supportedControl: 1.2.840.113556.1.4.1413 supportedControl: 1.2.840.113556.1.4.1413 supportedControl: 1.2.840.113556.1.4.1413 supportedControl: 1.2.840.113556.1.4.1413 supportedControl: 1.2.840.113556.1.4.1413 supportedControl: 1.2.840.113556.1.4.1339 supportedControl: 1.2.840.113556.1.4.1340 supportedControl: 1.2.840.113556.1.4.1413 supportedControl: 1.2.840.113556.1.4.1341 namingContexts: CN=Schema,CN=Configuration,DC=devcodin,DC=local namingContexts: CN=Configuration,DC=devcodin,DC=local namingContexts: DC=devcodin,DC=local namingContexts: DC=DomainDnsZones,DC=devcodin,DC=local namingContexts: DC=ForestDnsZones,DC=devcodin,DC=local supportedSASLMechanisms: GSS-SPNEGO supportedSASLMechanisms: GSSAPI supportedSASLMechanisms: NTLM highestCommittedUSN: 3635 domainFunctionality: 2 forestFunctionality: 2 domainControllerFunctionality: 4 isGlobalCatalogReady: TRUE # search result search: 2 result: 0 Success # numResponses: 2 # numEntries: 1
В письме от LinkedIn также сообщалось, что T использует OS X. V вспоминает, что во время его работы в RiffPoint, MacBook (или iMac) использовало всего три человека. Один из них — директор компании.
PS. Мне достоверно известно, что V удалил keyring и все профили во всех браузерах на своем рабочем компьютере в свой последний день работы в Riff Point. Просто удалил, никаких secure wipe и аналогов. В конце концов, государственных тайн там не было.
13 коментарів
Додати коментар Підписатись на коментаріВідписатись від коментарів