[介紹]計算機基礎知識http://.
國華公司
(非真實名稱
)是國際知名的系統軟件公司,其
Hammer軟件是公司安全產品線的核心系統,也是國華公司的“命根子”。小黑是一名“客齡”三年的職業黑客,除了在網上“沖浪”,就是背著旅行袋四處世界周游。前天,一個胖胖的穿黑西服的家伙找到小黑,不問任何問題,要求很特別:能拿到
Hammer軟件下一個版本的全部源代碼,就付大筆的
Cash。管他是誰呢,商業競爭的事情,小黑也不是很明白,反正回報異常豐厚,小黑決定接受這個合約。
[勘探]
小黑知道任務的難度,國華公司的安全產品業界聞名,對自己的安全能“隨便”嗎?當然他明白工作的危險性,安全公司與政府的關系都不錯
…不留任何痕跡不僅是讓用戶滿意,也是保護自己的不二選擇。
小黑先是在
Google上的搜尋有關國華公司的新聞:國華公司是以軟件開發為主的公司,源代碼管理是公司的核心秘密,所有
Hammer軟件的源代碼都存儲在公司網絡上的源代碼倉庫內,網絡由復雜的安全網關保護,不是一個防火牆而是多種安全措施的組合,別說外人進入,就是內部人員進入也關卡重重。很難啊!
同時小黑也了解到一個情況,由於國華公司是典型的高科技軟件公司,員工遍及多個國家,很多編程人員習慣於家庭辦公,他們通過
VPN連接到國華公司,在經過用戶名、密碼的驗證後可以訪問公司的網絡資源,不僅收發公司郵件,而且還可以處理如填寫人事考評等公司業務,當然工作是第一的,很多程序員每天的工作就是下載需要編輯的源代碼文件,上傳修改好的代碼文件
…
知道了這個消息,小黑覺得有目標了
…
[准備]
為了掩藏自己,小黑先做了些准備工作。他先駕車“巡游”,先給自己找個合適的“工作場所”,很快他發現一個不錯的位置,通過一所小學旁邊的網吧可以無線接入訪問互聯網。小黑接入網絡後,通過
Nessus漏洞掃描器,搜索互聯網上的服務器,發現在北京一所大學裡有個被木馬感染的
Web服務器,但是安裝木馬的那個“菜鳥”,沒有好好保護自己的“果實”,小黑沒費什麼力氣就猜出了密碼,搶到了這台服務器的控制權;很快,小黑又在廣州的一家商業網站上找到了一台很“弱智”的
Linux服務器,上面還有個
MYSQL數據庫,小黑毫不猶豫地占有了這台服務器。
雖然這些都與國華公司網絡沒有關系,但小黑手裡已經有了兩個可以指揮的“沖鋒戰士”,自己可以不用沖到“第一線”了。
[偵查]
為了進一步了解國華公司的信息,小黑不僅詳細學習了國華公司的網站,而且“
Google”了許多互聯網的博客、論壇和新聞組,搜尋來自國華公司雇員的文章,他很快發現有許多文章都來自國華公司的員工,當然這些文章都是非商業的討論與建議,也有技術性的交流,偶爾有涉及國華公司網絡結構的文章,如公司采用
VPN模式的遠程辦公等,但價值都不高,小黑更關心的是他們都留下了真實的郵箱地址,很快小黑就猜出了國華公司郵箱的命名規則
(姓名的全拼
),還意外地找到了公司部分銷售機構的通訊錄
…
在收集了大約
200個公司的郵箱地址後,小黑開始准備下一步的工作了。
[誘騙]
小黑手裡有一款很不錯的游戲軟件
(智力攻關型的
),是自己無聊時編寫的,沒有給人看過,平常只是自己玩玩。小黑先把這款游戲安放到廣州的服務器上,然後申請注冊了一個網絡域名,在服務器上開啟游戲下載服務,還建立的所謂的公司服務郵箱。接下來指揮北京的服務器給“精選”出來的
20名國華公司的員工地址,發了封誘惑性的郵件:免費試玩最新游戲
(大致內容是我公司正在測試一款新的游戲,需要高手的測試,你是游戲高手嗎?來試試!郵件中有個游戲的下載鏈接,指向廣州的服務器
),沒有給名單上所有的人發郵件,是避免觸發國華公司郵件服務器上的反垃圾過濾功能。
當然小黑不是在做善事,他采用打包軟件工具把一個木馬程序和游戲軟件打包在一起,放在廣州的服務器上。為了安全,這個木馬程序是小黑單獨“設計”生成的
(當然是采用工具
),保證國華公司的反病毒軟件不能發現。
[上鉤]
小華是國華公司的一名老員工,是名典型的工作狂,一天除了寫代碼,就是玩游戲,當然她也是家庭辦公一族。一天早晨,小華浏覽公司郵件時,發現了免費試玩游戲的郵件,“很酷!”,小華贊歎著,內心的沖動讓她決定要試試。
作為老員工,小華不想讓公司抓住自己通過公司網絡下載游戲,所以,她先關閉了公司的
VPN連接,然後點擊了郵件中的鏈接下載游戲。小華當然知道病毒泛濫的危害,所以下載完第一件事,就是用公司統一安裝的反病毒軟件對游戲進行了檢查,確認沒有問題了,才執行游戲,游戲是個“綠色”軟件,無需安裝,小華感覺很不錯,玩得很過瘾,還寫了一個郵件,給“開發商”提了些建議,當然她沒有注意到,游戲開始的同時,木馬後門程序已經開始工作,也許只能怪她的反病毒軟件不經常更新吧
(即使及時更新,也不一定能發現小黑新設計的木馬後門
)…
[傳播]
玩了一會兒游戲,小華還要繼續工作,所以又建立了與公司的
VPN連接,輸入了自己的
ID和密碼後,連到公司網絡。此時小華機器中的木馬開始通過
VPN鏈路掃描國華公司的網絡,真是太幸運了!木馬發現了一個
Windows文件共享目錄,有很多大家常用的軟件,當然包括
VPN客戶端軟件。木馬發現其中有個
notepad.exe軟件,是大家經常使用的文字編輯軟件,就把
notepad.exe改名為
nn.com,然後把自身復制後上傳為
notepad.exe,木馬就從
VPN用戶傳播到了公司內部的網絡上。
公司的其他員工工作中經常使用編輯器,調用
notepad.exe時,木馬先復制自己,再調用
nn.com,所以用戶也沒有感覺到什麼異常,很快,小黑的木馬在國華公司內部四處傳播。
[攻擊]
小黑的木馬還有一個任務就是收集系統內的密碼存儲散列
(存放密碼的文件
),木馬還可以記錄用戶建立新連接時鍵盤記錄,分析應用,也過濾登錄時的用戶
ID與密碼,最後通過小黑收集的
500多個公司的郵箱地址,發郵件到北京的服務器
(郵件象是員工“正常”發出的,內容還是加密的
)。很快北京的服務器上就收集了
500多個密碼散列。
小黑沒有直接到北京服務器上去破譯這些密碼,那樣很容易被追查到。小黑在上海一台新捕獲的服務器中安裝了
Netcat軟件,建立了網絡連接的“中繼站”;在廣州服務器上安裝了
Covert_TCP服務器軟件
(可以使用嵌入
TCP包頭的秘密通道技術
),還選擇了著名的新浪網站
(知名的商業網站不容易被懷疑
)作為跳躍點
(反彈使用,對網站本身沒有影響
),建立了“
TCP ack”彈躍模式的訪問通道,使用遠程
Shell命令方式訪問到北京的服務器。
繞了個大圈子,小黑就是為了隱藏自己的蹤跡。建立好通道後,小黑才在北京服務器上安裝了
John the Ripper破解工具,不到三個小時,破解了
500個密碼中的地
50個。
利用這些剛破解的密碼
(包括一些高級管理人員的
ID與密碼
),小黑從北京的服務器登錄到國華公司的
VPN網關,以“合法身份”進入國華公司內部網絡,並開始掃描
Hammer軟件源代碼的藏身之處。當然,這種掃描可需要很高的“技術”技巧,因為國華公司內部網絡的安全監控系統很強大,高頻度的發包掃描很快就會引起安全管理人員的注意,所以,小黑利用分布式、間歇式的掃描方式,緩慢地探測著
…同時為了配合內部的掃描工作,小黑還利用自己手裡大約
1萬多數量的僵屍機器,對國