案例：受命向ERP系统发起进攻

刀兵相接
我们所感兴趣的网络服务器运行Open SSL系统，对此我们认为强力密码进攻可能奏效。服务器拒绝了连接要求，对它的快速扫描显示以前开放的端口现在已经关闭。我们猜测我们的行为已被发现，某个管理员采取行动对服务器进行了保护（经管管理人员指示他们不要这么做）。我们检查了这台服务器上运行的FTP和SMTP服务，并发现了一个名为“ERPadmin”的帐号，但是我们破解密码的行动未获成功，在五次失败的尝试以后，帐号被锁。我们通过比对已知不存在的帐号（如PivotPoint）和这一帐号的响应差别确定这一帐号的确存在。帐号被及时锁住，技术上的缺陷微乎其微，我们确认子网相当安全。

由于我们感兴趣的网络设备与一些生产应用相关，我们推迟了对着系网络设备的评估，转向组织机构的LAN。

小有所成
在对LAN进行安全评估过程中，我们按照约定发起进攻遭到了显著的抵抗。我们相信（是过去所执行的大量类似约定给了我们信心）这些LAN网段上应该具有优先访问权或者存在具有优先访问权限的用户。即使应用存在于其他子网中，这些优先权限也可能带来巨大的风险。

我们在LAN上进行的漏洞扫描结果几乎与生产子网上的扫描结果一样干净。这个系统基本都是同源的Windows网络(2000系统的服务器和XP的主机)，主机配置基本相同。正是这个“基本相同”使我们发现了问题：有一台orphan NT4服务器在LAN上运行的是一款较早版本的客户应用。密码复杂性设置是通过Windows SMS进行发布，正好与NT4不兼容。所以我们使用网络bios列举工具(NBTEnum)所提取的的帐号使用相同的用户名和密码 (jimmy/jimmy)。随后我们发现jimmy帐号是本地管理帐号，我们取得了第一步实质性进展。

继续推进
一旦得到系统上的本地管理权限，就可能运营工具(如PWDump)获得设备的SAM。SAM是加密密码列表。我们将工作交给密码破解工具(如LOphtCrack 5)，发动字典攻击。通过字典攻击我们又获得了两个用户帐号，但是这些帐号并不比我们已获得的帐号具有更高权限。顾名思意，我们猜测其中之一是通用LAN管理帐号。我们对此帐号发动猛烈进攻，在解密高手工作时，我们走开给自己弄了杯咖啡。

回来以后，我们申请并得到了对我们感兴趣的网络交换机进行渗透测试的许可。网络交换机运行老版本的Cisco IOS，我们认为可能对ARP欺诈存在漏洞。如果成功的话，ARP欺诈将“哄骗”交换机认为发起进攻的设备是所有LAN网段上数据交流的目的地。概括来说，一旦成功就会使我们的进攻设备成为交换机，所有的网络流量都会经过我们的设备。

通过对网络数据的观察，我们注意到对网上全部用户的身份识别是通过NTLM (Windows NT 和2000的默认加密方法)完成。我们修改数据包并将其发回端用户的工作站，报告说“不能识别NTLM, 请发送未加密密码”。这个把戏没有奏效，不过“请发送LM密码”的要求起了作用。LM使用较为薄弱的加密方法比较易于破解。我们搜集了这些密码供以后破解使用。我们正在缓慢而有系统的开拓出一条提高权限的大路，我们相信我们的努力一定会获得回报。

冲锋！为了本地管理员权限！
早餐因为好消息的到来而更加美味。昨夜密码破解高手获得了另外一个本地管理员权限，得到了管理LAN上全部电脑的通用密码。这为我们获得ERP系统管理级特权铺平了大道。不过，首先我们需要确定是否有委托方的防病毒解决方案（这里委托方所使用的是行业内最著名的安全企业之一的产品）无法捕捉的键盘敲击记录器。

通过对防病毒解决方案厂家网站，多种键盘敲击记录器网站以及数个黑客论坛的研究，我们选择了一种没有广泛流传，非常隐秘的记录器。我们通过RDP连入目标工作站，毫不费力的在一个非技术人员的设备上安装了键盘敲击记录器。一旦出现警报信息，我们能够进行目标转移。当记录器开始报告用户活动，我们知道我们距离成功之有一步之遥。等到午饭时间（为了避免被发现），我们在另外四台工作站上安装了键盘敲击记录器；这些工作站分别归ERP管理员，DBA和AIX管理员使用。不到一个小时，这些用户都进行了登录管理，记录器将密码发回给我们。使用我们新获得的管理级优先权，我们完全掌握了ERP应用，包括所有的系统以及其中包括的数据。我们能够完全无拘无束的访问数据库中全部高度敏感的客户人事信息，包括姓名、住址、社会保险号，工资信息等等。对于不坏好意的人来说有着数不清的用途。

束手就擒
为了测验帐号被我们破解的这些人的执行能力，我们保持使用本地管理员权限进行登录的状态。他们对我们的行为以及键盘敲击记录器的存在的快速发现给我们留下了很深的印象。管理员经验丰富的运行了一个应用来更好的查看运行中的全部程序，并执行另外一个应用监视网络连接（如Vision 和 netstat）。当他注意到他的电脑连入我们的IP时，我们被当场擒获。

这个关于ERP安全的真实案例表明，直接保护应用、数据库和本地子网的很多努力，可能由于看似不起眼的LAN控制环境上缺陷而功亏一篑。强大的技术控制（本例中是整体安全水平很高的ERP应用）由于内部控制中的一点小错而遭到破坏，本例中，由于未能在“jimmy”这个帐号上采取强大的密码政策，导致了更大的错误，最终几乎使公司的关键数据遭到暴光。如果我们继续进行的话，ARP欺诈也能最终掌控整个系统。

还有重要的一点，我们也进行了应用级的渗透测试，并对数据隔离，数据所有，身份认证、授权以及变动管理等关键控制手段进行了相当深入的考察。这些工作使我们能向管理团队保证主要安全目标已经达到。

在我们向管理团队提交我们的报告以后，这家政府机构去掉了带有“jimmy”帐号的老款NT设备，在整个Windows 2000环境中积极推行安全政策，将全部桌面电脑的防病毒引擎升级至最新，并对防病毒引擎进行定义以侦测键盘敲击记录程序，并对全部Cisco设备上的IOS进行生级，杜绝ARP欺诈。

我们正式提交的测试方法及发现的报告，最终使得机构的管理者获得了保证：实施ERP应用所涉及的敏感雇员数据失密的风险已经被降低到可接受的程度。

由于意识到实战的价值，为了更好的进行实际操作，客户计划在以后的项目阶段中都加入安全审查活动。

John Verry 是Pivot Point安全公司的首席企业安全顾问。