我有一个要***的站点列表。Temor和我根据我们了解的他们的安全情况和客户库是否惟一来挑出站点。这几年,我学会了用几个简单的网络探测器测量网络管理的能力。发现一个目标时,我会注意他们的Web、邮件和FTP服务器的操作系统和软件的版本。我试过几次最明显的探索。如果这些不起作用,我就不采取行动并等待。
现在0-day探索比以前更重要。许多系统在弱点建议最初的24小时内就会打上补丁。Weindows甚至有一个服务用来自动下载和安装hotfixes。相信Internet上一定还有大量易受***的系统,但是他们很难发现。我密切监视了安全邮件列表、Web站点和下载页面以便在任何一个别的人之前知道易***性。我的优势不是知识而是速度。
对我来说星期三是个重要的日子,因为这天微软通常会宣布新的易***性。微软公司过去常常因为周五发布建议让许多网络暴露在周末而受到大量批评。微软教育技术人员要尽量避免周五发布,但是很快就发现他们自己不规则地在周四晚上较晚时候发布补丁。周四晚上深夜就等同于周五,所以他们最后制定政策要尽量在周三发布。
dis-card:这几个小时你在吗?
temor:在呀,什么事?
dis-card:微软刚刚发布了一个缓存溢出,我需要你的帮助。
dis-card:我写好了脚本并且已经***了2次。
temor:呵呵,好,你想让我开始转移吗?
我和Temor并不认为我们自己是社会工程的行家,但是我的确有一些技巧能工作得非常好。软件探索工作得很好,但是绝对比不上我们通过一次好的社会工程***获得的信息。我仍然对一旦赢得了他们的信任之后人们愿意给我的信息数量感到吃惊。
dis-card:这几个小时你在吗?
temor:在呀,什么事?
dis-card:微软刚刚发布了一个缓存溢出,我需要你的帮助。
dis-card:我写好了脚本并且已经***了2次。
temor:呵呵,好,你想让我开始转移吗?
我和Temor并不认为我们自己是社会工程的行家,但是我的确有一些技巧能工作得非常好。软件探索工作得很好,但是绝对比不上我们通过一次好的社会工程***获得的信息。我仍然对一旦赢得了他们的信任之后人们愿意给我的信息数量感到吃惊。
一切都从我们的转换开始。使用我们拥有的世界上系统中的一个,我们开始企图闯入目标的前端服务器。我们试图使用来自像俄罗斯、乌克兰和罗马尼亚等国的IP地址。我们的企图需要足够秘密,不要激发任何警报,但是如果有人正在寻找他们的话还是很容易被注意的。换句话说,我们想让他们发现证据,但还不是现在。
万一被他们抓住,转移也可达到转移注意力的目的。事实上有几次,我们知道他们发现了我们,所以我们用世界上的一些***淹没了服务器。要找到真实的***几乎是不可能的。
temor:好,完成。发送邮件。
这是我最快乐的时候。自我介绍是公司的安全管理员(通常是我真实工作的那家公司),我写了一封字正词严的邮件,抱怨我的IDS识别出他们的一个IP地址作为***源***了我们公司的网络。我要求他们立刻停止这些***,否则我就会采取法律措施对付他们。我用Internet安全行话仔细推敲了邮件,抛出了像“辩论术”和“调查”这样引起恐慌的单词。我建立了威信。
temor:好,完成。发送邮件。
这是我最快乐的时候。自我介绍是公司的安全管理员(通常是我真实工作的那家公司),我写了一封字正词严的邮件,抱怨我的IDS识别出他们的一个IP地址作为***源***了我们公司的网络。我要求他们立刻停止这些***,否则我就会采取法律措施对付他们。我用Internet安全行话仔细推敲了邮件,抛出了像“辩论术”和“调查”这样引起恐慌的单词。我建立了威信。
我给出自己的电话号码并附了编出来的IDS日志条目的列表。通常过不了多久,我的电话就响了。
“我收到了你的邮件,这太奇怪了,”电话中的管理员通常告诉我。“我们确实有你说的IP地址,但是没有把它分配给任何PC呀。”
“我所知道的都是从日志文档中看到的,”我说。“事实上,***就在刚才,来自同一个IP地址。”
我等待着,另一端的管理员沉默了,他被困扰了。
“看,如果你不把它当回事,我就把这事提交给当局,”我威胁道。
如果我成功地应付了目标系统的管理员,接着的谈话会是道歉和保证“尽快调查”。
我一开始听到道歉,就知道我征服了这个管理员。他把我看作了权威人士,一个安全专家。他也是如此心烦意乱,被我对他的门卫玩忽职守的指控弄迷惑了,完全没有意识到他正在为第二阶段的***做准备。
这时,我会慢慢退回去,最终承认我也被另一个IP地址扫描了。我把一个转移系统的IP地址给了那个管理员,试图使他听起来好像我们都是受害者,要对付一个共同的敌人。这就是我所说的三角。我们挂断电话,等待下一次呼叫。一般不会超过几个小时。他们要去的第一个地方是Web日志。
“我们认为已经发现问题了。我们查看了日志,发现了你提到的IP地址,”他在电话里解释。“查看日志文件发现他们在***你们的服务器之前试图***我们的 系统。”那个管理员告诉我。
给他个台阶下吧,我问,“那么你认为他们伪装成你们的IP地址使之看上去好像是你们***我吗?”我等了片刻,希望他并不知道如何证明事实的真相。
“也许吧,”他大胆地回答。
此刻,我提到我已经有做一个法律强制的正式报告,提供这次***的信息。我也解释他们很可能并不能做更多事情这一点是更清楚了。我解释我们要自己解决,我很可能不再深入追究。
然后,我就给那个管理员提了几个关于服务器的特定的安全指南,试图参与一个关于目标组织的安全的会话。毕竟,我们不想让这样的事情再次发生。这要依靠我能建立让管理员信任的程度,使他常常披露大量关于网络的信息,包括网络的最大弱点的详细信息。有一个网络管理员甚至把他的密码也给我,以便我能帮他修复服务器的易***性。
我们有大量不同的转换,但是方法基本相同:混乱,威胁,延迟,建立信任并且建立三角。我不确信为什么技术如此有效,但是它始终能奏效。我想像它是一种让你闪开、车要加速的感觉,只是不知什么缘故逃避了买票。只要你逃脱了,没有被警察看见,你就再次立即加速。害怕买票便伴随着不会使你感觉有安全一会儿的解脱。除此以外,还有什么是可以再次立即越过的机会?尤其是现在,你知道警察在哪儿?
网络管理员认为他知道***在哪儿之后,就让他的防护停下来。令人惊奇的是他只是在电话上跟真实的***交谈。
dis-card:赌一把。
temor:什么?
dis-card:Microsoft刚刚发布了另外一个公告。它修复了我的很好的溢出。
令一个好探索糟糕的是,尽管你很想用它,但也不能过度使用,因为最终别人都会在他们的日志文件中发现,并把它报告给软件厂商。你想把它保存下来在真正需要的时候使用,但是又不能保留得太久,因为别人会发现它,你也就失去了机会。微软刚刚修复的探索是我最喜欢的之一。但是因为它在目标日志文件中留下了如此巨大的印迹,故我考虑它是只用一次的探索。我保留它有一年多了,等待理想的机会来使用它。现在这一点是普通常识。
dis-card:赌一把。
temor:什么?
dis-card:Microsoft刚刚发布了另外一个公告。它修复了我的很好的溢出。
令一个好探索糟糕的是,尽管你很想用它,但也不能过度使用,因为最终别人都会在他们的日志文件中发现,并把它报告给软件厂商。你想把它保存下来在真正需要的时候使用,但是又不能保留得太久,因为别人会发现它,你也就失去了机会。微软刚刚修复的探索是我最喜欢的之一。但是因为它在目标日志文件中留下了如此巨大的印迹,故我考虑它是只用一次的探索。我保留它有一年多了,等待理想的机会来使用它。现在这一点是普通常识。
许多人误以为微软发布一个安全公告时,就会处理一个新发现的易***性。实际上,许多人似乎已经知道并且探索漏洞已有相当一段时间了。
另外一个好的探索源是跟随***。跟踪其他的***,揭示他们特有的探索尤其有趣。一次一个***在IRC频道上吹牛说他能闯入任何他想闯入的Apache服务器。我跟他争论了一会,然后我挑战他***一个特定的Apache服务器。当然,这是我已经拥有的服务器。我快速启动一个sniffer并给了他一个IP地址。起初,我看到通常每天出现在成百上千个Apache日志文件中的刺探。但是突然,我看到一个巨大的进入字符串,伴随一个外出的目录列表——就像是创建了shell代码的一个缓冲溢出。我保存了sniffer日志,并对***的极好的技能留下了深刻的印象。但是在他急于证明自己时,泄露了一个非常正规的私有探索。
但是***们并不是0-day探索的惟一的好来源。有大量研究者整天在寻找软件中的漏洞。他们发现漏洞,写出安全建议,他们的公司得到大量评论。作为“民族***”,他们彻底地测试问题并给供应商足够的时间来发布补丁。有时,这个过程要花费数月的时间。我拥有一个著名的安全研究者的主PC,并获得至少一个月时间在别人知道之前来研究新的探索。我弄明白的一件事情是,安全研究者在开发探索器时常常相互探讨他们的想法。所以我不仅获得了他本人发现的所有的易***性,还获得了他的朋友们所发现的一切。我怎么闯进安全专家的PC的呢?俗话说的好,鞋匠的孩子总是打赤脚。
实际上,所发生的是我首先猜测他妻子的E-mail密码。一件事情导致另一件事情,最终我也获得了他的E-mail密码。几个月以来,我下载了他的E-mail拷贝,并确信我的邮件阅读器不会从服务器删除邮件。然后有一天,他发送了一封E-mail给网络管理员,奇怪为什么他的邮件出现在outlook中总是已读的。他之所以关心,不是因为他怀疑别人在读他的邮件,而是因为他担心会拉下什么重要的东西以为是已读的。尽管他是个非常聪明的研究者,但还是不够机警。你能想像,我立即停止阅读他的邮件。我猜他然后就会给管理员发邮件,解释问题神奇地自己就修好了。尽管如此,在我阅读他的邮件时,还搜集了很多关于他的信息和很多密码,他却再也不能从我这里要走了。
dis-card:好,我现在在这个公司了。刚刚给我打电话的管理员实际上就在此刻登录到控制台。
dis-card:呵呵,他桌面上有一个文本文件,其中有我们转换的所有的日志条目:) temor:哈哈哈哈。
dis-card:数据库在另外一个防火墙之后,这要花一会儿时间。
dis-card:哦,等等,我乱写一个,sa密码是空。我进来了!
我试着改变管理员桌面的墙纸,或者至少开始弹出CD托盘,但是我知道自己最大的优势是让人们感觉到好像他们并没有被***。一定有转换,但是他们不会找到的,他们很快就把所有的东西都忘记了。
dis-card:好,我现在在这个公司了。刚刚给我打电话的管理员实际上就在此刻登录到控制台。
dis-card:呵呵,他桌面上有一个文本文件,其中有我们转换的所有的日志条目:) temor:哈哈哈哈。
dis-card:数据库在另外一个防火墙之后,这要花一会儿时间。
dis-card:哦,等等,我乱写一个,sa密码是空。我进来了!
我试着改变管理员桌面的墙纸,或者至少开始弹出CD托盘,但是我知道自己最大的优势是让人们感觉到好像他们并没有被***。一定有转换,但是他们不会找到的,他们很快就把所有的东西都忘记了。
把信用卡的数据库导出到一个文本文件之后,我把它上传到一个停止的站点。在离开以前,我安排了一个脚本在日志文件循环之后清除我第二天***的所有踪迹。挣钱真的很容易!
当然,并不总是那么容易。有一个网络花费了我几乎2年时间才攻入。但是很值得,因为仅一个数据库中就有2 000万笔信用卡交易。第一次试图***是在回来的路上,当时我还在学习。我很天真地对那个公司的Web服务器运行了一个商业的易***性扫描。在那一天稍微晚些的时候,我的拨号Internet账号停止工作了,我把它叫做ISP,客户服务的答复把我指到安全部。安全部答复说他们控告我扫描了别人的网络,所以就取消了我的账号。我尽力保持沉默,我获得了账号恢复。这次经历没有阻止我。事实上,它使挑战更令人激动。但是它的确教育我以后要更小心。
几个月以来,我非常缓慢地在目标网络上巡视,收集能收集到的每一个信息。我能移动到其它的网络上,但是这个特殊的网络变成了我的业余爱好。有点像咖啡桌上比较难的猜横竖字谜游戏——偶尔在星期天的下午拿起来填一两个单词。
我慢慢地安排网络。事实上,我的脚本每5个小时探测一个IP地址的一个端口。为什么要间隔5个小时呢?因为当ISP取消我的账号时,安全部稍后会给我发一个那个公司的IDS的日志文件。我能决定我的目标是用什么软件做***检测的。经过一些研究之后,我发现任何两个发生了超过4个小时的事件很难相互关联在一起。为了进一步逃避检测,每过几天,我就会从世界范围内不同的IP地址上弹回扫描。
我用文档记录每个面向Internet的硬件和软件。在研究中,我注意到管理员喜欢购买eBay硬件来存点钱。eBay记录了买入或卖出的一切。搜索网络管理员的E-mail地址,我发现了他网络上的几乎所有的硬件的列表。我记下所有的信息,甚至建立一个很好的我知道的这个网络的Visio图。
几个月过去,我确实发现了一些小的易***性,但是还不足以获得数据库。这家公司当时有格外强的安全,早在红色代码之前很长的时间,大多数管理员就了解安全补丁。他们的安全不只停留在表面上,而且他们的工作已做得很深入——是谈论很多、但在现实世界里很难见到的理念。这个网络组织得很好,管理员准确地知道所有的时间在运行什么。闯入这个网络是极端困难的。即便我最好的0-day探索也不能产生结果。
几个月过去,我确实发现了一些小的易***性,但是还不足以获得数据库。这家公司当时有格外强的安全,早在红色代码之前很长的时间,大多数管理员就了解安全补丁。他们的安全不只停留在表面上,而且他们的工作已做得很深入——是谈论很多、但在现实世界里很难见到的理念。这个网络组织得很好,管理员准确地知道所有的时间在运行什么。闯入这个网络是极端困难的。即便我最好的0-day探索也不能产生结果。
有一次,我能上传一个特洛伊***,但却不能执行它。他们很快补了漏洞并删除了那个文件。我试图从Internet搜索中搜索E-mail标题寻找员工的主PC。这个公司甚至为在家工作的员工提供了防火墙硬件!
然而我越是失败,就越对从前的成功回报感到满意。
已经几乎有2年了。就这一点,我收集了几个密码,但是没有地方能用他们。然后,最终,我攻入了。有一个脚本监视几个公司的ARIN Whois输出。ARIN whois是一个包含所有者信息的IP地址的数据库。输入IP地址,就能知道谁拥有它;输入公司名,就能知道IP地址。有一天,我的脚本查询了一个公司列表,看看他们是否注册了新的IP地址。这是Internet繁荣的时代,技术公司不断扩张并增加他们的Internet。我的目标公司也在增长。一天,它搬了办公地点并获得了一套新的IP地址。
这个公司的防火墙是我见过的最坚固的。他们就哪个IP地址能在哪、怎样与谁通信是非常特别的。具有讽刺意义的是,这是他们的衰败。当防火墙被移动到新的网络时,它仍然包含旧网络的IP限制。由于一个糟糕的防火墙规则,新网络中的每台计算机都完全暴露在Internet上。它保护的是所有的旧IP地址,因为没有改为新网络的IP地址。公司的技术人员花费了几乎3天的时间才认识到这个错误。但是太晚了。5 000万个信用卡号码现在已经在荷兰的导出站点上了。
但是公司注意到一个***。令人惊讶的是,另外一个***跟我在同一时间闯了进来(我不知道他等了多久)。这个另外的***被识别为***者,公司声称他并没有成功地访问客户数据库:
dis-card:嘿,我们做的这2000万卡付过钱了吗?
temor:没有,信用卡公司很慎重地拒绝了大部分卡。
dis-card:吸取教训。这依然是一次很好的***。
temor:哈哈哈,是的。
temor:那是欢快的,他们抓住了一个家伙,同时,你正在从另外一个服务器上下载整个数据库。
temor:即便我们试了,也不能计划一个更好的转换。
dis-card:呵呵,我知道。
这是一次很好的***。但是最后,我尊敬这个公司的人们。他们给了我一次很好的挑战。大多数时间,我黑完一个公司又一个公司,只是希望有的公司会有好的安全。都是如此容易***使我几乎失望了。不仅是容易,它是一次又一次同样的不知情的事情。尽管易***性本身改变了,但过程总是相同的。当我第一次开始时,是空的管理员密码。然后是::$DATA探索,然后是+.HTR,接着是Unicode,接着是XP_CmdShell。现在是SQL注射。
dis-card:嘿,我们做的这2000万卡付过钱了吗?
temor:没有,信用卡公司很慎重地拒绝了大部分卡。
dis-card:吸取教训。这依然是一次很好的***。
temor:哈哈哈,是的。
temor:那是欢快的,他们抓住了一个家伙,同时,你正在从另外一个服务器上下载整个数据库。
temor:即便我们试了,也不能计划一个更好的转换。
dis-card:呵呵,我知道。
这是一次很好的***。但是最后,我尊敬这个公司的人们。他们给了我一次很好的挑战。大多数时间,我黑完一个公司又一个公司,只是希望有的公司会有好的安全。都是如此容易***使我几乎失望了。不仅是容易,它是一次又一次同样的不知情的事情。尽管易***性本身改变了,但过程总是相同的。当我第一次开始时,是空的管理员密码。然后是::$DATA探索,然后是+.HTR,接着是Unicode,接着是XP_CmdShell。现在是SQL注射。
有趣的是我从来不需要求助于一些有趣的安全研究者们所谈论的理论探索,因为编写脚本的人通常做得很好。我见过管理员长篇大论来阻止man-in-the-middle***的做法。但是我自己从来没有实际使用过这种***,也不知道有别的什么人使用过,不知道谁曾经是个受害者。我并不是说这种防预没有用,因为通过执行这些过程,你至少能确信你是不易进行这种***的。但是要首先修复更明显的东西。如果打算在Windows上做阻止,最起码要锁好前门。
然而,尽管一个公司做了所有的努力使他的网络安全,但总会有人的因素在里面。
本文节选自电子工业出版社2005年3月出版的《网络盗窃——10个******的故事》。
本文节选自电子工业出版社2005年3月出版的《网络盗窃——10个******的故事》。
近期活动:
2009.11.12-13 北京美泉宫饭店
看雪、褚诚云、Kris Kaspersky……大腕专家与您分享软件安全前沿话题!
在线报名>>
特别优惠:
1、如果您于
2009年9月30日前报名并于
2009年11月10日前缴纳参会费用,即可获赠价值
300元的由电子工业出版社出版的图书。
2、如果您于 2009年10月20日前报名并于 2009年11月10日前缴纳参会费用,即可获赠价值 200元的由电子工业出版社出版的图书。
3、如果您于 2009年11月10日前报名并于 2009年11月10日前缴纳参会费用,即可获赠价值 100元的由电子工业出版社出版的图书。
2、如果您于 2009年10月20日前报名并于 2009年11月10日前缴纳参会费用,即可获赠价值 200元的由电子工业出版社出版的图书。
3、如果您于 2009年11月10日前报名并于 2009年11月10日前缴纳参会费用,即可获赠价值 100元的由电子工业出版社出版的图书。
转载于:https://blog.51cto.com/broadviewsec/204682
215
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
