基于RDP的SSL中間人攻擊
本文通過演示在RDP會(huì)話期間劫持的按鍵發(fā)送信息,向讀者演示了為什么用戶忽略那些基于SSL的RDP連接的證書警告可能導(dǎo)致中間人(MiTM)攻擊,并總結(jié)了一些關(guān)于如何避免成為這種攻擊的受害者的建議。
RDP連接的類型
在開始之前,首先明確本文討論了三種類型的RDP連接,包括:
- RDP安全層(RDPSecurity Layer)
- SSL(TLS 1.0)
- CredSSP (SSL with NLA)
本文要演示的是中間的那個(gè)類型,即SSL(TLS 1.0)。在終端服務(wù)器上,SSL一般會(huì)如下配置(不選中任意NLA復(fù)選框):
RDP使用的配置
如果服務(wù)器被設(shè)置“Negotiate”,某些連接可能包含比較容易受到攻擊,因?yàn)槠浒踩珜涌赡苁褂肧SL。
SSL證書警告
如果有用戶在每次連接時(shí)經(jīng)常不重視類型如下的警告提示,本文恰好就是針對(duì)這些用戶的:
經(jīng)常被習(xí)慣性忽視的SSL警告
攻擊簡(jiǎn)介
在較高的層面,攻擊與其它的SSL中間人攻擊類似:
1. 想辦法使受害者連接到我們系統(tǒng)上的PoC工具(rdp-ssl-mitm.py),而不是其要連接的RDP服務(wù)器。
2. 該工具使用RDP協(xié)議,通過協(xié)商使其在交互過程中使用SSL。
3. 一旦連接被協(xié)商使用SSL,我們的工具就會(huì)用其自己(不可信的)SSL證書與RDP客戶端協(xié)商一次SSL連接。這樣就使欺騙工具有機(jī)會(huì)訪問RDP客戶端發(fā)送的信息明文。
4. 該工具也需要與正常的RDP服務(wù)器創(chuàng)建SSL連接,將RDP客戶端的數(shù)據(jù)發(fā)送到該服務(wù)器。
這種攻擊的唯一缺點(diǎn)是在創(chuàng)建所需的SSL連接之前,我們的欺騙工具必須通過RDP協(xié)議與客戶端有一個(gè)簡(jiǎn)短的交互。
1、使受害者連接到我們這里
在真實(shí)的攻擊過程中,我們需要使RDP客戶端連接到我們的系統(tǒng),而不是其目標(biāo)服務(wù)器。因此會(huì)用到ARP欺騙、DNS欺騙或一些其它方法,為簡(jiǎn)便起見,本文不再演示這些細(xì)節(jié),假設(shè)已經(jīng)成功欺騙受害者的RDP客戶端使其連接攻擊者的系統(tǒng)。
在我們的攻擊系統(tǒng)上(192.168.190.170),啟動(dòng)PoC工具,告訴它與正常的RDP服務(wù)器192.168.2.96連接:
$ ./rdp-ssl-mitm.py -r192.168.2.96:3389
[+] Listening forconnections on 0.0.0.0:3389
這里我們只需要簡(jiǎn)單地將攻擊系統(tǒng)的IP地址輸入到RDP客戶端(客戶端從192.168.190.1連接):
直接輸入攻擊者的IP,略過ARP欺騙步驟
2、與RDP客戶端交互協(xié)商使用SSL
SSL的協(xié)商在RDP協(xié)議內(nèi)非常短:
Message #1: Client >MiTM > Server
03 00 00 13 0e e0 00 00 00 00 00 01 00 0800 *03*
00 00 00
這段消息是靜態(tài)不變的,我們的欺騙工具直接將其傳遞給服務(wù)器,不做修改。*03*表示客戶端支持RDP安全層、SSL與CredSSP。
Message #2: Server >MiTM > Client
03 00 00 13 0e d0 00 00 12 34 00 02 00 0800 *01*
00 00 00
接下來的消息表示服務(wù)器選擇使用的協(xié)議,*01*表示服務(wù)器已經(jīng)選擇使用SSL(*02*表示CredSSP)。我們也將這條消息不加修改地傳遞給客戶端。
注意如果服務(wù)器如果選擇了CredSSP(*02*),本次演示會(huì)失敗,因?yàn)檫@里只是攻擊SSL,不是CredSSP。
3、與RDP客戶端創(chuàng)建SSL連接
Message #3: Client >MiTM
第三條消息用來開始創(chuàng)建一條SSL連接。這里SSL客戶端的消息從*16 0301*開始(03 01表示SSL使用的版本:SSL 3.1AKA TLS 1.0)
*16 03 01* 00 5a 01 00 00 56 03 01 52 21 acbe 63
20 ce de 4b a5 90 18 f0 66 97 ee 9d 54 14e3 1c
... snip ...
欺騙工具不會(huì)將這些數(shù)據(jù)直接發(fā)給服務(wù)器,而是直接向服務(wù)器發(fā)送創(chuàng)建連接的請(qǐng)求,同時(shí)與客戶端完成SSL連接的建立。
這里我們使用的SSL證書會(huì)被RDP客戶端認(rèn)為非法,并在mstsc中向用戶顯示SSL警告:
因PoC工具使用的證書產(chǎn)生的安全警告
如果用戶仔細(xì)檢查就會(huì)發(fā)現(xiàn),這里使用的SSL證書與正常證書是存在區(qū)別的。要改進(jìn)攻擊的質(zhì)量,我們需要不斷改進(jìn)證書使其無限接近真實(shí)的證書,但我們永遠(yuǎn)無法得到與正常證書相同的簽名,因此總會(huì)有些不同。
4、與RDP服務(wù)器創(chuàng)建SSL連接
同時(shí),我們的工具也向RDP服務(wù)器發(fā)起創(chuàng)建連接的消息,并與其創(chuàng)建第二條SSL連接。
顯示按鍵信息
至些,我們的欺騙工具就可以明文顯示RDP客戶端發(fā)給服務(wù)器所有按鍵操作了。很容易確定發(fā)送的是哪種類型的消息,以下兩個(gè)4字節(jié)的消息就是按‘p’鍵時(shí)發(fā)送的。
44 04 00 19 44 04 01 19
第三個(gè)字節(jié)表示按鍵的方向(00表示鍵被按下,01表示鍵彈起)。第四個(gè)字節(jié)是鍵的掃描碼(scancode),通過查詢可以發(fā)現(xiàn)0×19恰好對(duì)應(yīng)字母“p”鍵。
通常情況下,與字符對(duì)應(yīng)的掃描碼取決于所使用的鍵盤。我所使用的PoC工具中,已經(jīng)實(shí)現(xiàn)了對(duì)QWERTY鍵盤的映射,所以如果讀者使用的是UK/US鍵盤,該工具可以直接將大部分掃描碼轉(zhuǎn)換成對(duì)應(yīng)的字符。注意我們無法知道字符是大寫的還是小寫的,需要根據(jù)CAPSLock鍵和SHIFT鍵的狀態(tài)的狀態(tài)確定。
話不多說,直接上例子。以下是PoC工具的一些輸出,顯示了記錄的按鍵,同時(shí)也記錄下了登錄的用戶名為Administrator,密碼為Password:
$ ./rdp-ssl-mitm.py -r 192.168.2.96:3389
[+] Listening for connections on0.0.0.0:3389
[+] Incoming connection from192.168.190.1:60370
[+] New outgoing request to192.168.2.96:3389 (SSL: 0)
[+] Connected
[+] Detected incoming SSL connection.Turning self into SSL socket
[+] Incoming connection from192.168.190.1:60374
[+] New outgoing request to192.168.2.96:3389 (SSL: 0)
[+] Connected
[+] Detected incoming SSL connection.Turning self into SSL socket
<LShift-down>A<LShift-up>DMINISTRATOR<Tab><LShift-down>P<LShift-up>ASSWORD<Enter>
總結(jié)
習(xí)慣性忽略RDP連接中的SSL認(rèn)證警告提示可能造成與忽視HTTPS網(wǎng)站的證書同樣的后果:用戶可以輕而易舉受到中間人攻擊。這種攻擊可以截獲到用戶的用戶名、密碼、按鍵信息及其它敏感信息。
使用RDP客戶端可信的、由認(rèn)證授權(quán)機(jī)構(gòu)簽名的SSL證書,正常情況下是沒有警告提示的,因此本文也強(qiáng)烈推薦用戶注意這一點(diǎn)。
如果服務(wù)器授權(quán)了NLA,這種攻擊也會(huì)失效,所以我們也強(qiáng)烈推薦使用NLA。
不過需要知道的是,這并不是RDP客戶端或服務(wù)器軟件的漏洞,這種利用方法也不是新發(fā)現(xiàn)。這只是RDP使用過程中的一些脆弱特性,在用戶忽略安全警告時(shí)可能產(chǎn)生,在技術(shù)層面只是一個(gè)普通的SSL中間人攻擊。
這種攻擊中一個(gè)比較有趣的擴(kuò)展就是可以記錄屏幕畫面,也有機(jī)會(huì)攻擊任意RDP客戶端映射的驅(qū)動(dòng)器,更多細(xì)節(jié)可以參考《Attacking the RDP Clients》,不過這種攻擊需要攻擊有一定的編碼基礎(chǔ)。
[via portcullis]
