树莓派 rfid_技术 | 对恶意树莓派设备的取证分析
来源:haschek
编译:周大涛
转自:FreeBuf.COM
上周,我收到了一位同事发来的图片。
我让他拔掉电源插头,把它储存在一个安全的地方,拍下所有部件的照片,然后用SD卡制作镜像(因为我大部分时间都在远程工作)。我做过很多树莓派的项目,我相信我能找到它的作用。
3个部分
1.Raspberry Pi b第一代
2.一个神秘的USB加密狗
3.一张16GB的SD卡(速度很快)
要做的第一件事:询问每个可以访问此网络的人,因为能够进入的人数非常有限。只有4个人:
1.管理者
2.地勤人员
3.我的同事
我他们都不知道这一点,所以我问我的IT同事,他们和我一样困惑。我听说人们得到报酬,把这样的东西放在他们不应该的地方,因此我很想知道它实际上做了什么。
USB加密狗是什么?
为了帮助我解决这个问题,我问了reddit,当然他们确定加密狗是一个微处理器,几乎和Rasberry Pi本身一样强大:nRF52832-MDK。一个非常强大的wifi,蓝牙和RFID阅读器。
毫无疑问,这是为了给老树莓派提供wifi和蓝牙连接。太好了,现在这个东西也有wifi了。
SD卡镜像
SD卡有几个分区。大多数ext4(linux)和一个fat16(boot)
我的debian盒子告诉了我第一个重要的线索:这是一个resin装置:
WTF is Resin?
Resin(现在更名为Balena)是一个付费的IOT Web服务,您可以在其中为IOT设备生成镜像,部署这些设备并从resin中获取更新和数据。Resin还在设备上安装VPN,以便安全地传输收集的数据。很明显,这款设备注定会被再次使用,因为它会留下痕迹,因为它的服务是付费的。
分区有猫腻
第一个分区叫做“resin-boot”:
看到吸引你眼球的东西?我们发现有一个config.json
。
我们可以从这个文件中提取什么:
部署到该resin设备的应用程序称为“logger”。不是一个好兆头;
我们有一个username。这似乎是与此设备关联的resin帐户的用户名;
确认设备通过端口443 使用VPN;
注册日期。它是在2018年5月13日注册(或首次部署或设置?)。
关于该用户名
当我用googled搜索在config.json文件中找到的那个用户名,我在同一个城镇找到了一个找到此Pi的人。然后该公司检查了他们的记录,但没有找到任何结果。奇怪的是,我在2001年找到了一个网站,其中“有天赋的孩子”的父母写了关于他们的文章,并且出于某种原因用他们的家庭住址和电话号码签署这些文章。所以我有一个名字和整个家庭的地址。
这可能是一个错误的引导,因为用户名往往被多人使用,但让我们记住这个名字。
resin-data
数据目录没有存储任何数据(如:收集的数据),但是有一个nodejs应用程序被严重混淆,直到今天我还无法确切知道它在做什么。它似乎通过串口连接到加密狗,但我无法提取实际收集的数据。我只能假设它收集了该区域(经理办公室周围)的蓝牙和wifi设备的移动配置文件,并且可能是原始的无线数据包。但我发现了一些更有趣的东西:一个LICENSE.md
文件:
奇怪,为什么这个nodejs应用会包含一个机密软件?我从版权页上谷歌了一下,你猜怎么着?除了我之外,为什么公司的联合创始人会在城镇周围分发这些设备呢?
获取攻击者的家庭住址
我发现的另一个非常有趣的事情是resin-state
路径中第三个分区上的文件/root-overlay/etc/NetworkManager/system-connections/
。该文件名为resin-wifi-01。
它包含wifi的wifi凭证,用于设置设备(或测试它)。绝对不是公司的无线网络。当我们想要找到与wifi名称相关的位置时,我们该怎么办?我们去wigle.net,输入SSID(= wifi名称),它会告诉我们在世界的哪个地方可以找到它。
你猜怎么着?我们找到那个天才父母的地址了吗?根据Wigle.net,Pi就是在这里建立的。
后果
我查看了DNS日志,找到了Pi首次在网络中看到的确切日期和时间。我检查了RADIUS日志以查看当时哪个员工在该处所,并且我看到多个错误消息,已停用的帐户尝试连接到wifi。这个已停用的帐户属于前雇员(由于某种原因)与管理层达成协议,他可能仍然拥有一个密钥几个月,直到他将所有东西搬出大楼。
现在怎么办
法律已经接管,我尽了自己的责任,其余的都超过了我的工资等级。对我而言,这是一个非常有趣的挑战,我要感谢reddit上的每个人,他帮助我完成了一个难题。
军民共筑网络国防,捍卫共同网上家园
树莓派 rfid_技术 | 对恶意树莓派设备的取证分析相关推荐
- 树莓派 rfid_树莓派工控机做Modbus RTU主站读取RFID数据
KUNBUS Revpi Core 3是工业级的树莓派,可作为小型的工业PC用,外观十分小巧,操作简单,DIN导轨模块化安装,RevPi core 3能与RevPi IO连接,能实时对这些IO的控制. ...
- 利用紫金桥跨平台组态软件在树莓派linux系统上组态采集设备数据并Web发布手机电脑访问
一.紫金桥跨平台实时数据库介绍 紫金桥跨平台实时数据库RealHistorian是紫金桥公司于2020年2月24日正式发布!是国内首款纯国产跨平台实时数据库.跨平台组态软件! RealHi ...
- 《 Python树莓派编程》——第1章 树莓派简介 第1.1 树莓派的历史
本节书摘来自华章出版社<Python树莓派编程>一书中的第1章,第1.1节,作者:[美]沃尔弗拉姆·多纳特(Wolfram Donat)著 韩德强 等译,更多章节内容可以访问云栖社区&qu ...
- 树莓派(0):树莓派基础知识
树莓派(0):树莓派基础知识 开启树莓派之旅 1.什么是树莓派 2.树莓派3B参数表 3.运行环境(Run-Time Environment) 3.1启动代码(Start-up code) 3.2操作 ...
- 树莓派人脸识别_用树莓派进行简易人脸识别
用树莓派进行简易人脸识别 前言 简易介绍树莓派 树莓派是尺寸仅有信用卡大小的一个小型电脑,您可以将树莓派连接电视.显示器.键盘鼠标等设备使用.树莓派能替代日常桌面计算机的多种用途,包括文字处理.电子表 ...
- kali 树莓派 android,【原】树莓派安装KALI LINUX的手记
2015年12月2日,满怀期待的树莓派2终于到了,顺便某宝购置了一套7寸1024*600的触摸屏(附上一个某宝链接:https://detail.tmall.com/item.htm?id=52299 ...
- 树莓派sd卡格式化_树莓派的sd卡存储空间太小,挂载个移动硬盘吧
树莓派的sd卡的存储空间太小了,如果需要存储大文件,分分钟耗尽,这时候就要考虑给它挂载个硬盘.刚好我手边有一个移动硬盘,装起来. 材料列表 移动硬盘:USB接口的 autofs:监听硬盘使用情况,自动 ...
- python树莓派串口通信实例_树莓派通过串口发送数据
可以通过串口登陆树莓派,也可以通过串口向其他主机发送数据.树莓派的串口接受数据科技爱好者博客已经写过,可以参考这篇文章:树莓派与arduino串口通信实践.这篇文章教大家如果通过树莓派的串口发送数据. ...
- 树莓派 ubuntu gpio_如何给树莓派安装操作系统
新的树莓派拿到手中,你迫不及待的要把玩.别急,这可不像你买的Macbook开机就能用,想要顺利启动树莓派,还要经历五个步骤. 准备一张micro SD卡 把操作系统写入SD卡 连接显示器等外围设备 通 ...
最新文章
- 深入理解PHP之OpCode
- android 黑边边框,手机屏幕边缘的黑边是什么呢?
- 网络配置管理大大减轻网络管理员的负担
- 微信小程序轮播图高度自适应
- 基于Python实现的Cholesky分解与Crout分解
- git clone报错error: RPC failed; curl 56 GnuTLS recv error (-110): The TLS connection was non-properly
- Adjoin the Networks
- html图片上传java_PhoneGap 上传图片HTML和服务器端端实现(JAVA)
- vue中的this.$router.replace()和.push()和.go()的区别解析
- C++算法——DFS
- 最好用的录音软件是哪个?
- 计算机创建只读用户,如何把电脑的文件夹在局域网共享成只读,别人不能删除和修改?...
- js获取当前时间写入HTML,html获取当前时间 js获取当前日期的前后4天
- 网防g01怎么防护个人计算机,为你的服务器安装公安1所研制的网防卫士G01
- Idea 中解决git冲突
- android 动画循环移动图片
- CEC13BenchMark测试
- 客户回访|国产MCU测试解决方案 助力中国“芯”智造
- 基于matlab的单周期控制三相高功率因数并网逆变器的建模与仿真,基于Matlab的单周期控制三相高功率因数并网逆变器的建模与(精).doc...
- 二进制,八进制,十进制,十六进制,进制之间的转换法则及规律。
热门文章
- js中的逻辑与()和逻辑或(||)(转载)
- maven 搭建私有仓库
- 在xml里追加结点时添加回车(libxml2)
- RFC2616中文版(8)连接
- win7系统两台电脑之间利用Socket实现文件传输---C++实现
- 21天JenkinsDay11 对某个job单独设置权限
- 学会这一招,轻松玩转 app 中混合应用自动化测试
- python modbus tk 库_python modbus_tk模块学习笔记(rtu slaver例程)
- 32位数据源中没有mysql_基于 SpringBoot 多数据源 动态数据源 主从分离 快速启动器...
- 扇贝和不背单词_你还没找到中意的背单词APP?我都试过,我来帮你盘点盘点