萬盛學電腦網

 萬盛學電腦網 >> 病毒防治 >> 黑客“出更”---獲取源碼的攻擊

黑客“出更”---獲取源碼的攻擊

[介紹]計算機基礎知識http://. 國華公司(非真實名稱)是國際知名的系統軟件公司,其Hammer軟件是公司安全產品線的核心系統,也是國華公司的“命根子”。小黑是一名“客齡”三年的職業黑客,除了在網上“沖浪”,就是背著旅行袋四處世界周游。前天,一個胖胖的穿黑西服的家伙找到小黑,不問任何問題,要求很特別:能拿到Hammer軟件下一個版本的全部源代碼,就付大筆的Cash。管他是誰呢,商業競爭的事情,小黑也不是很明白,反正回報異常豐厚,小黑決定接受這個合約。 [勘探] 小黑知道任務的難度,國華公司的安全產品業界聞名,對自己的安全能“隨便”嗎?當然他明白工作的危險性,安全公司與政府的關系都不錯不留任何痕跡不僅是讓用戶滿意,也是保護自己的不二選擇。 小黑先是在Google上的搜尋有關國華公司的新聞:國華公司是以軟件開發為主的公司,源代碼管理是公司的核心秘密,所有Hammer軟件的源代碼都存儲在公司網絡上的源代碼倉庫內,網絡由復雜的安全網關保護,不是一個防火牆而是多種安全措施的組合,別說外人進入,就是內部人員進入也關卡重重。很難啊! 同時小黑也了解到一個情況,由於國華公司是典型的高科技軟件公司,員工遍及多個國家,很多編程人員習慣於家庭辦公,他們通過VPN連接到國華公司,在經過用戶名、密碼的驗證後可以訪問公司的網絡資源,不僅收發公司郵件,而且還可以處理如填寫人事考評等公司業務,當然工作是第一的,很多程序員每天的工作就是下載需要編輯的源代碼文件,上傳修改好的代碼文件 知道了這個消息,小黑覺得有目標了 [准備] 為了掩藏自己,小黑先做了些准備工作。他先駕車“巡游”,先給自己找個合適的“工作場所”,很快他發現一個不錯的位置,通過一所小學旁邊的網吧可以無線接入訪問互聯網。小黑接入網絡後,通過Nessus漏洞掃描器,搜索互聯網上的服務器,發現在北京一所大學裡有個被木馬感染的Web服務器,但是安裝木馬的那個“菜鳥”,沒有好好保護自己的“果實”,小黑沒費什麼力氣就猜出了密碼,搶到了這台服務器的控制權;很快,小黑又在廣州的一家商業網站上找到了一台很“弱智”的Linux服務器,上面還有個MYSQL數據庫,小黑毫不猶豫地占有了這台服務器。 雖然這些都與國華公司網絡沒有關系,但小黑手裡已經有了兩個可以指揮的“沖鋒戰士”,自己可以不用沖到“第一線”了。 [偵查] 為了進一步了解國華公司的信息,小黑不僅詳細學習了國華公司的網站,而且“Google”了許多互聯網的博客、論壇和新聞組,搜尋來自國華公司雇員的文章,他很快發現有許多文章都來自國華公司的員工,當然這些文章都是非商業的討論與建議,也有技術性的交流,偶爾有涉及國華公司網絡結構的文章,如公司采用VPN模式的遠程辦公等,但價值都不高,小黑更關心的是他們都留下了真實的郵箱地址,很快小黑就猜出了國華公司郵箱的命名規則(姓名的全拼),還意外地找到了公司部分銷售機構的通訊錄 在收集了大約200個公司的郵箱地址後,小黑開始准備下一步的工作了。 [誘騙] 小黑手裡有一款很不錯的游戲軟件(智力攻關型的),是自己無聊時編寫的,沒有給人看過,平常只是自己玩玩。小黑先把這款游戲安放到廣州的服務器上,然後申請注冊了一個網絡域名,在服務器上開啟游戲下載服務,還建立的所謂的公司服務郵箱。接下來指揮北京的服務器給“精選”出來的20名國華公司的員工地址,發了封誘惑性的郵件:免費試玩最新游戲(大致內容是我公司正在測試一款新的游戲,需要高手的測試,你是游戲高手嗎?來試試!郵件中有個游戲的下載鏈接,指向廣州的服務器),沒有給名單上所有的人發郵件,是避免觸發國華公司郵件服務器上的反垃圾過濾功能。 當然小黑不是在做善事,他采用打包軟件工具把一個木馬程序和游戲軟件打包在一起,放在廣州的服務器上。為了安全,這個木馬程序是小黑單獨“設計”生成的(當然是采用工具),保證國華公司的反病毒軟件不能發現。 [上鉤] 小華是國華公司的一名老員工,是名典型的工作狂,一天除了寫代碼,就是玩游戲,當然她也是家庭辦公一族。一天早晨,小華浏覽公司郵件時,發現了免費試玩游戲的郵件,“很酷!”,小華贊歎著,內心的沖動讓她決定要試試。 作為老員工,小華不想讓公司抓住自己通過公司網絡下載游戲,所以,她先關閉了公司的VPN連接,然後點擊了郵件中的鏈接下載游戲。小華當然知道病毒泛濫的危害,所以下載完第一件事,就是用公司統一安裝的反病毒軟件對游戲進行了檢查,確認沒有問題了,才執行游戲,游戲是個“綠色”軟件,無需安裝,小華感覺很不錯,玩得很過瘾,還寫了一個郵件,給“開發商”提了些建議,當然她沒有注意到,游戲開始的同時,木馬後門程序已經開始工作,也許只能怪她的反病毒軟件不經常更新吧(即使及時更新,也不一定能發現小黑新設計的木馬後門)… [傳播] 玩了一會兒游戲,小華還要繼續工作,所以又建立了與公司的VPN連接,輸入了自己的ID和密碼後,連到公司網絡。此時小華機器中的木馬開始通過VPN鏈路掃描國華公司的網絡,真是太幸運了!木馬發現了一個Windows文件共享目錄,有很多大家常用的軟件,當然包括VPN客戶端軟件。木馬發現其中有個notepad.exe軟件,是大家經常使用的文字編輯軟件,就把notepad.exe改名為nn.com,然後把自身復制後上傳為notepad.exe,木馬就從VPN用戶傳播到了公司內部的網絡上。 公司的其他員工工作中經常使用編輯器,調用notepad.exe時,木馬先復制自己,再調用nn.com,所以用戶也沒有感覺到什麼異常,很快,小黑的木馬在國華公司內部四處傳播。 [攻擊] 小黑的木馬還有一個任務就是收集系統內的密碼存儲散列(存放密碼的文件),木馬還可以記錄用戶建立新連接時鍵盤記錄,分析應用,也過濾登錄時的用戶ID與密碼,最後通過小黑收集的500多個公司的郵箱地址,發郵件到北京的服務器(郵件象是員工“正常”發出的,內容還是加密的)。很快北京的服務器上就收集了500多個密碼散列。 小黑沒有直接到北京服務器上去破譯這些密碼,那樣很容易被追查到。小黑在上海一台新捕獲的服務器中安裝了Netcat軟件,建立了網絡連接的“中繼站”;在廣州服務器上安裝了Covert_TCP服務器軟件(可以使用嵌入TCP包頭的秘密通道技術),還選擇了著名的新浪網站(知名的商業網站不容易被懷疑)作為跳躍點(反彈使用,對網站本身沒有影響),建立了“TCP ack”彈躍模式的訪問通道,使用遠程Shell命令方式訪問到北京的服務器。 繞了個大圈子,小黑就是為了隱藏自己的蹤跡。建立好通道後,小黑才在北京服務器上安裝了John the Ripper破解工具,不到三個小時,破解了500個密碼中的地50個。 利用這些剛破解的密碼(包括一些高級管理人員的ID與密碼),小黑從北京的服務器登錄到國華公司的VPN網關,以“合法身份”進入國華公司內部網絡,並開始掃描Hammer軟件源代碼的藏身之處。當然,這種掃描可需要很高的“技術”技巧,因為國華公司內部網絡的安全監控系統很強大,高頻度的發包掃描很快就會引起安全管理人員的注意,所以,小黑利用分布式、間歇式的掃描方式,緩慢地探測著同時為了配合內部的掃描工作,小黑還利用自己手裡大約1萬多數量的僵屍機器,對國
copyright © 萬盛學電腦網 all rights reserved