Fons
Celer Network amatpersonas 18. augustā paziņoja, ka laikā no 3:45 līdz 6:00 pēc Pekinas laika daži cBridge lietotāji tika novirzīti uz ļaunprātīgiem viedlīgumiem. Sākotnēji bija aizdomas, ka cBridge priekšgala saskarne ir apdraudēta DNS uzbrukuma dēļ.
Pilnīgi atšķiras no iepriekšējiem starpķēžu tiltu uzlaušanas incidentiem, piemēram, Nomad, Wormhole, Ronin, Harmony u.c., šo uzbrukumu neizraisīja kļūdas viedos līgumos un starpķēžu protokolos vai saistīto serveru ielaušanās, un ķēžu īpašumi, kas ir bloķēti cBridge, arī ir saglabāti drošībā. Šajā uzbrukumā hakeri tieši mērķēja uz pamata infrastruktūru interneta arhitektūrā ārpus Celer sistēmas un ļāva vairāku ķēžu lietotājiem noteiktā laika posmā piekļūt pikšķerēšanas priekšgala lietotāja interfeisam, maldinot interneta pamatā esošo maršrutēšanas protokolu ( BGP). Celer tīkls spēja ierobežot bojājumus, pateicoties ātrai reakcijai. Tas ir tāpēc, ka Celer tīkla komandai ir 24 stundu uzraudzības sistēma. Viņu klientu apkalpošanas komanda spēja identificēt problēmu un laikus brīdināt sabiedrību. Celer tīkla komanda pilnvaroja SlowMist drošības komandu reaģēt uz šo ārkārtas situāciju un veikt padziļinātu izmeklēšanu.
Analīzes process
Celer Network komandai sākotnēji bija aizdomas par DNS uzbrukumu, un pēc sazināšanās ar viņiem mēs varējām uzzināt vairāk par attiecīgo domēna nosaukumu: cbridge-prod2.celer.network. Mēs atklājām, ka pārlūkprogramma uzbrukuma laikā neziņoja par sertifikāta kļūdu. Tāpēc mūsu izmeklēšana sākās ar DNS uzbrukuma iespējamības risināšanu. (Īpašs paldies @greysign1 par palīdzību mums ātri pārbaudīt DNS uzbrukuma iespējamību)
Mēs sākām, pārskatot attiecīgo sertifikāta informāciju:
Šķiet, ka sertifikāts ir negaidīti mainīts, jo sākotnējais Let’s Encrypt izsniegtais sertifikāts tika aizstāts ar viltotu sertifikātu, ko izdevis GoGetSSL.
GoGetSSL var izsniegt bezmaksas 90 dienu sertifikātu:
1. sertifikāta analīze: https://crt.sh/?id=7356185959
CRL pārbaudes kļūda tiek parādīta sertifikātā šādā laikā:
2. sertifikāta analīze: https://crt.sh/?id=7356185959
Šim sertifikātam ir arī CRL pārbaudes kļūda šādos gadījumos:
Pēc IP adreses, sertifikāta, kā arī citas ar 1. sertifikātu saistītās informācijas pārbaudes mēs atklājām, ka ar šo sertifikātu saistītā IP adrese ir 44.235.216.69.
2. sertifikāta IP adrese nevarēja pieprasīt 2. sertifikātam atbilstošo IP adresi, kas varētu būt saistīts ar īso uzbrukuma ilgumu un interneta meklētājprogrammas nespēju apkopot atbilstošu informāciju.
Rezultātā mēs koncentrējām savu analīzi uz IP izšķirtspējas datiem domēnā cbridge-prod2.celer.network:
IP adrese 44.235.216.69 ilgu laiku bija saistīta ar cbridge-prod2.celer.network.
Šis ir jautājums: fakts, ka šī IP adrese 44.235.216.69 bija saistīta ar cbridge-prod2.celer.network ilgu laiku, pierāda, ka tā piederēja oficiālajam Celer tīkla serverim. To apstiprināja arī Celer Network komanda. Tātad, kāpēc ar šo IP bija saistīts viltots sertifikāts?
Tāpēc mēs sākām izmeklēt AS 44.235.216.69 un atklājām, ka AS, kas atbilst šim IP, ir neparasta.
AS16509 paziņo par bogoniem::
Pārlūkojot bogonus, mēs varam noteikt, ka tas parasti ir gadījums, kad uzbrucējs vilto IP adresi, lai veiktu uzbrukumu: https://networkdirection.net/articles/routingandswitching/bgp-bogonsandmartians/ https://forum .networklesssons.com/t/what-are-bogons/6333
Tā kā AS 44.235.216.69 bija anomālijas, mums vispirms radās aizdomas, ka problēma ir saistīta ar BGP, tāpēc sazinājāmies ar Celer tīklu, lai iegūtu uzbrucēja IP adresi: 54.84.236.100. Mēs atklājām, ka AS14618, kur atrodas IP adrese, arī bija izņēmums. (AS14618 arī paziņo par bogoniem)
Nejauši AS14618 augštece bija AS16509 (AS16509 ir arī AS, kurā atrodas 44.235.216.69). Tas mūs brīdināja par BGP uzbrukuma iespējamību.
Mūsu izmeklēšana atklāja, ka IP: 54.84.236.100 tika atzīmēts kā ļaunprātīgs.
Mēs savācām no mūsu kopienas atbilstošo informāciju par IP adresi: 54.84.236.100 un konstatējām, ka šī IP adrese ir saistīta ar citu BGP uzbrukuma incidentu, kas notika 2014. gadā. Tomēr, tā kā šis incidents notika jau sen, iespējams, tas vairs nav atbilstošs.
Pēc tam mēs turpinājām izmeklēšanu, sekojot ierakstiem, ko atstājis šis BGP uzbrukums:
Izsekojot BGP ierakstu uzbrukuma IP: 54.84.236.100, atklājās, ka maršruts vairs nav pieejams.
Mēs turpinājām izsekot BGP maršrutētāja pēdas celer IP: 44.235.216.69 un varējām atrast pareizo maršrutu.
Pēc tam mēs pārbaudījām BGP mezgla izmaiņu žurnālu: Pekinas laiks: 2022.08.18. 2:48–18.8.2022 7:48 UTC+8
2022. gada 18. augustā laika periodā no plkst. 2:48 līdz 7:48 BST tika konstatēts liels skaits mezglu pievienošanas un izmaiņu ierakstu dzēšanas.
Mēs turpinājām pārraudzīt AS izmaiņu žurnālu un atklājām, ka AS14618 iepriekš bija maršrutēšanas informācija 44.235.216.0/24, bet pēc tam ceļš tika mainīts uz atsaukts, pierādot, ka:
44.235.216.0/24 sistēmā AS14618 agrāk bija optimālais ceļš
Tagad 44.235.216.0/24 sistēmā AS14618 vairs nav optimālais ceļš; tas ir atsaukts.
(Kad notiek BGP uzbrukums, uzbrucējs publicēs optimālo ceļu trafika novirzīšanai uz savu serveri)
Lai iegūtu precīzākus datus, mēs izmantojām šādu bgplay, lai pārbaudītu izmaiņas ceļos, kas saistīti ar 44.235.216.69 uzbrukuma laikā.
2022. 08.17. var redzēt, ka laika posmā no plkst. 19:19:23 +UTC līdz plkst. 23:19:23 +UTC bija vērojamas būtiskas BGP maršrutēšanas ceļu informācijas svārstības.
Šīs izmaiņas ir atspoguļotas, novirzot trafiku no 44.235.216.0/24 uz AS14618, kur satiksme no 44.235.216.0/24 pēc uzbrukuma iziet caur AS16509.
Rezultātā mēs uzskatām, ka šis incidents, iespējams, ir BGP uzbrukuma notikums, kurā šķiet, ka AS14618 ir mezgls, kas atrodas uzbrucēja kontrolē (AS14618 maršrutētājam var būt drošības problēmas, un uzbrucēji to var izmantot). kas ilgst aptuveni 4 stundas.
Uzbrucējs varēja saistīt 1. sertifikātu (viltotu sertifikātu) ar Celer Network IP adresi: 44.235.216.69, jo uzbrucējam bija ļaunprātīgs serveris ar tādu pašu IP adresi. Tā kā gogetssl atbalsta http autentifikācijai, viņi var vienkārši ievadīt tekstu, ko nodrošina gogetssl ļaunprātīgajā serverī. Tāpēc ir iespējams saistīt 1. sertifikātu, novirzot trafiku uz ļaunprātīgo serveri ar to pašu IP, izmantojot BGP uzbrukumu. Rezultātā pārlūkprogramma tika brīdināta par sertifikāta kļūdu.
Mēs noteicām, ka AS14618 kontrolēja uzbrucējs šādu iemeslu dēļ.
Uzbrucējs vispirms novirzīja trafiku 44.235.216.69 uz AS14618 un pēc uzbrukuma novirzīja 44.235.216.69 atpakaļ uz AS16509.
Uzbrukuma IP adrese: 54.84.236.100 atrodas arī AS14618 iekšpusē.
Pēc uzbrukuma AS14618 tika atsaukts līdz 44.235.216.69.
Lai atbildētu uz šo jautājumu: Fakts, ka šī IP adrese 44.235.216.69 bija saistīta ar cbridge-prod2.celer.network ilgāku laiku, pierāda, ka tā piederēja oficiālajam Celer Network serverim. To apstiprināja arī Celer Network komanda. Tātad, kāpēc ar šo IP bija saistīts viltots sertifikāts?
Ja saziņai izmantojat HTTPS protokolu, datus (tostarp klienta/servera komunikācijas datus) nevar šifrēt/atšifrēt, neiegūstot sertifikāta privāto atslēgu. Tātad, lai nodrošinātu sertifikāta pareizību un varētu veikt uzbrukumu “cilvēks vidū”, uzbrucējam ir atkārtoti jāiesaista pilnvarā izmantotais sertifikāts ļaunprātīgajam serverim ar to pašu IP 44.235.216.69. Tas ļauj uzbrucējam atšifrēt klienta datus un ievietot kaitīgo kodu atbildes paketes datos.
Analīzes secinājums
Mēs izmeklējām šo uzbrukumu sadarbībā ar Celer Network komandu. Neskatoties uz to, ka šis bija sarežģīts BGP uzbrukuma mēģinājums Celer tīklam, uzbrucējam sagatavojot visu, sākot no uzbrukuma laika, sertifikātu viltošanas, AS kontroles un citām darbībām.
Galu galā mēs atzīstam, ka daudzi projekti jau apzinās riskus, kas saistīti ar BGP uzbrukumu uzbrukumiem, un ir veikuši atbilstošus piesardzības pasākumus. Tomēr daudzi joprojām nezina, it īpaši, ja runa ir par tīkla ceļa izmaiņām, ko izraisījušas AS izmaiņas. Ja netiek veikti atbilstoši sagatavošanās un reaģēšanas pasākumi, pastāv ievērojams turpmāku tā paša vai citu uzbrucēju uzbrukumu risks. Tāpēc mēs mudinām organizācijas, interneta pakalpojumu sniedzējus un serveru mitināšanas pakalpojumu sniedzējus apzināties šādus riskus un saskaņot aizsardzības stratēģijas, lai novērstu līdzīgu incidentu atkārtošanos. Un, kā vienmēr, ja jums kādreiz nepieciešama palīdzība, lūdzu, sazinieties ar SlowMist drošības komandu.
Pielikums
cbridge-prod2.celer.network DNS diagramma:
