作者:肖遥
出版社:电子工业出版社
格式: AZW3, DOCX, EPUB, MOBI, PDF, TXT
大中型网络入侵要案直击与防御试读:
内 容 简 介
本书以解析各种网络环境下攻防案例的形式来讲解各种网络攻击与防护技术,从“黑客攻击”与“安全工作者防守”双向角度来进行介绍。每一章节的内容按照如下脉络展开:典型攻防案例再现→案例的简单分析→黑客攻击技术的系统讲解→网管安全防护解决方案→入侵手法与防护难点深度分析。全书真实呈现完整的攻击与防护事件,可让读者了解到攻击者如何选择攻击目标,如何制订攻击方案,如何绕过攻击中碰到的问题,网管通常采用哪些防护手法,安全漏洞在何处,网管又如何追踪攻击者,等等,因此对学习者和工作者来说都很有吸引力和参考价值。本书是网络管理员、信息安全管理员、对网络安全感兴趣的人员必备的参考书,也可供大中院校或培训学校教师和学生阅读和参考。未经许可,不得以任何方式复制或抄袭本书之部分或全部内容。版权所有,侵权必究。图书在版编目(CIP)数据大中型网络入侵要案直击与防御/肖遥编著. —北京:电子工业出版社,2010.10ISBN 978-7-121-11740-4Ⅰ. ①大… Ⅱ. ①肖… Ⅲ. ①计算机网络-安全技术 Ⅳ. ①TP393.08中国版本图书馆CIP数据核字(2010)第172480号责任编辑:高洪霞印 刷:北京天宇星印刷厂装 订:三河市皇庄路通装订厂出版发行:电子工业出版社北京市海淀区万寿路173信箱 邮编100036开 本:787×10921/16印张:39字数:1001千字印 次:2010年10月第1次印刷印 数:4 000册 定价:79.00元凡所购买电子工业出版社图书有缺损问题,请向购买书店调换。若书店售缺,请与本社发行部联系,联系及邮购电话:(010)88254888。质量投诉请发邮件至zlts@phei.com.cn,盗版侵权举报请发邮件至dbqq@phei.com.cn。服务热线:(010)88258888。前 言
目前互联网应用越来越广泛,黑客与病毒无孔不入,这极大地影响了Internet的可靠性和安全性,保护 Internet、加强网络安全建设已经迫在眉睫。相对于普通个人用户或小型网络来说,各种企业公司的大中型复杂网络的信息安全工作尤其困难。许多实际经验不足的网络管理员和信息安全工作者,在面对大中型网络安全管理与维护时,常常无从下手,或者步入误区和歧途。大中型网络安全防御中的误区在各种企业公司的大中型网络中,网络信息安全尤其重要,一旦网络系统安全受到严重威胁,甚至处于瘫痪状态,企业将遭受巨大的经济损失。然而在众多大中型网络信息安全管理员和工作者中,却存在着一个很普遍的意识误区。许多网络信息安全管理员和工作者,在工作中往往过于依赖硬件防火墙、入侵检测系统等安全设备,对各种安全理论也有比较深的认识,然而却无法应付现实工作中的一些“脚本小子”的攻击行为。尤其是在各种大中型网络管理中,由于网络结构复杂,安全工作常常无法做到位。借助于各种硬件安全设备和现成的防御方案,建立起一道看似坚固的安全防线,可是由于对黑客入侵攻击的方法与途径并不是很了解,导致表面坚固的安全防线之下,其实却隐藏着许多遗漏的安全死角。许多结构复杂的大中型企业、公司、政府、网站等网络中,貌似坚固安全,实际不堪一击,黑客可以轻易入侵攻击整个网络。在本书开篇中,对国内互联网上的四大门户网站进行了入侵检测。事实证明即使是如此知名的网络公司,拥有众多的信息安全管理员和工作者,依然会被黑客轻易地入侵攻击。这在很大程度上反映了一个很严重的问题,国内大中型网络安全防御面临着极大的危机和威胁,大中型网络安全防御工作中有着许多不足,必须加以实质性地改进。“双手互搏”,安全之道如何才能更好地完善各种大中型网络安全防御工作呢?国内一位资深网络安全专家曾说过,从事计算机网络管理与信息安全的人员,应该学会“左手画方,右手画圆”的双手互搏之术,让自己的左脑成为网络安全方面的顶尖高手,让自己的右脑成为顶尖的黑客高手,这样才能真正理解和保障网络信息安全。一个合格的网络信息安全管理员,首先应该是一个技术很好的黑客。作为经过系统的网络信息安全理论学习的管理员或工作者,往往有一种天生的优越感,看不起一些所谓的黑客,视黑客技术为旁门左道。正是这样的认识,阻碍了许多网络信息安全管理员和工作者前进的脚步。正所谓知己知彼,方能百战不殆,学习并且精通黑客技术,才能了解黑客从何处入侵进入,利用哪种方法或漏洞进行攻击,从而更有针对性地进行安全防御,提高安全工作的效率。特别是在各种环境复杂的大中型网络中,如果对黑客入侵攻击的途径与方法不熟悉,安全工作常常挂一漏万,又或者失之毫厘,谬以千里。网络信息安全管理员和工作者,是非常有必要了解和学习黑客入侵技术的。因此,本书对各种常见的大中型网络攻击类型,对黑客入侵攻击大中型网络的途径、方法、利用的工具与防范方法等进行了详细的介绍,以弥补网络信息安全管理员和工作者经验的不足和技术上的欠缺,以期更好地完善安全防御工作。关于本书的内容安排本书主要针对大中型网络中最常碰到的木马攻击、网站入侵、内部渗透等进行了介绍,以各种最典型的大中型网络攻击案例解析的形式,来安排讲解各种网络攻击与防护技术。各篇章的内容按照以下形式进行安排:1.典型攻防案例再现;2.案例的简单分析;3.黑客攻击技术的系统讲解;4.网管安全防护解决方案;5.入侵手法与防护难点深度分析。其中,第1部分的典型案例再现真实的黑客攻击大中型网络事件,作为整章内容的引子与线索。在案例介绍中,读者将会看到黑客入侵攻击的真实过程,从中对黑客入侵的目标、途径与方法有一个直观感性的认识。在第2部分中,简单分析案例中所涉及的攻击技术与安全防护手段,以对整篇内容提纲携领。第3部分与第4部分是重点内容。其中第3部分从黑客攻击者的角度,系统详细全面地讲解相应网络环境下的黑客攻击技术,第4部分则从网络信息安全管理员与工作者的角度介绍详细专业的安全防护方案。第5部分是各种安全攻击技术及相应理论知识的深度分析,从攻击与防守的角度结合,深入分析一些新技术和有价值的技术难点。此外,除了每一篇中的典型案例,又加入了许多辅助和参考案例,使所介绍的知识与实际结合更为紧密。致谢本书最终能够出版面世,要感谢电子工业出版社的编辑张春雨先生和高洪霞女士,在本书的编辑出版过程中给予的大力帮助。感谢黑客基地、华夏黑客联盟、黑客组织H.S.T中多位好友给予的帮助与支持。另外,感谢我的父母肖吉云、吕进英,以及我的妻子张黎,你们的爱让我获得克服困难的力量!最后,衷心感谢一直给以我人生教导和指引的李老师!是您的指引给予我信仰的力量,面对行业阴暗面中的物欲与金钱诱惑,诚守本心,恪守一个网络安全技术研究者的职业道德。感谢您!本书主要由肖遥编写,其他参与编写的还有张黎、艾进修、韩雨、邓若鹏、高巧枚、雷东、舒仪、高仓麦、严可梅、丁京、尹偌颜、宇文郁庆、钱仪仪、杜弄愿。郑重声明:本书的目的绝不是为那些怀有不良动机的人提供支持,也不承担因为技术被滥用所产生的连带责任;本书的目的在于最大限度地唤起大家的网络安全意识,正视我们的网络世界所面临的一场危机,并采取行动。开 篇国内网络安全的现状与危机
本书所要讨论的课题,是各种大中型网络的安全性测试与维护。因此,在开始本书内容讲解之前,有必要了解一下国内各大中型网络普遍的安全现状,从而认识到国内网络安全所面临的危机,以及网络安全研究、维护人员的压力与责任。Chapter01 对四大门户网站的网络安全性检测与分析
在各大新闻媒体纷纷热炒各种黑客攻击事件之后,我们应该如何看待国内网络安全现状?国内的网络安全是否做得足够好,是否为表面的浮华之下脆弱得不堪一击呢?也许从各种网络安全研究机构所给 出的数据中不足以令人意识到问题的严重性,在此笔者将亲自进行一个小小的网络安全性测试,看看国内网络的安全究竟如何?入侵测试的目标是国内的四大门户网站:新浪、搜狐、TOM 和网易。在此次入侵测试过程中,将不采用未公开的0Day漏洞,而是完全采用已公开的安全漏洞和攻击技术。其重点是通过此次测试,检测网络安全管理人员的安全意识与工作是否到位,了解国内网络安全行业中的一些误区。需要特别提醒的是,本次入侵测试过程是完全真实的,但出于对目标网络的保护,因此对目标的漏洞点及检测过程进行了一些特殊的隐藏处理。在测试完毕后,已对目标网络所存在的漏洞进行了弥补,恢复还原网站所有设置,未进行任何破坏。另外,也请读者切勿参照模仿进行攻击,否则由此导致的法律后果自负!1.1 入侵测试目标——新浪网站
新浪(Sina)是一家服务于中国及全球华人社群的领先在线媒体及增值资讯服务提供商。其下提供网络新闻及内容服务的新浪网(Sina.com)是中国第一新闻门户网站(图1-1)。图1-1 新浪网作为中国第一新闻门户网站,新浪的网络安全性想必应该比较好吧?这大概是许多网络安全工作者的共识。那么笔者就以新浪网作为目标,进行一次入侵测试。注意:在本篇中只给出了简单的入侵测试过程,详细的测试方法与过程,参见本书下篇的第5章《5.10节MySQL注入攻击四大门户网站》。1.2 从注入新浪分站到新浪主站的渗透测试
对新浪网首页进行检测,发现主站大部分是静态页面,入侵比较困难,于是考虑将入侵的目标放到新浪的分站,从分站入手进行入侵,从而进一步渗透入侵新浪主站。1.2.1 城市联盟网站存在注入漏洞进入“新浪城市”栏目,随便单击打开一个新浪城市联盟站点——“Sina 青岛”(www. sin****d.com)(图1-2)。在新浪青岛网站中随便单击一条名为《******旅游“大篷车”开进青岛》的新闻链接,这条新闻是2010年4月1日发布的,是一条带参数的新闻链接(图1-3),地址如下所示:http://news.si***d.com/show.php/?id=188906图1-2 新浪青岛分站图1-3 存在注入漏洞的页面在新闻链接后面提交单引号和and 1=1与and 1=2进行检测,发现此链接存在注入攻击漏洞。1.2.2 SQL注入获取管理员信息SQL 注入漏洞是一个早已公布多年的旧漏洞,但是此漏洞危害非常大,可以轻易地注入攻击数据库,获得各种敏感重要的数据库信息。利用SQL注入漏洞的order by查询获取当前数据表中的字段数,然后使用union select联合查询进一步获取数据库信息。通过联合查询,发现存在users用户数据表,并查询出其中的后台管理员用户名与密码数据(图1-4),分别为sinaqd和sinaqd***+。图1-4 破解到数据库中的后台管理员账号密码1.2.3 登录后台上传WebShell获得管理员用户名与密码后,就可以寻找后台登录页面了。利用Google搜索引擎寻找到管理入口,利用SQL注入攻击得到的用户名与密码,就能成功地进入后台管理页面(图1-5)。图1-5 进入后台管理页面在后台管理页面中发现上传图片处存在上传漏洞,成功上传了一个PHP木马后门(图1-6)。图1-6 投票编辑处可上传图片上传PHP木马后门获得一个WebShell,进一步渗透入侵整个Sina网内部服务器(图1-7)。图1-7 获得WebShell1.2.4 渗透新浪青岛分站内部网络在获得新浪青岛网站的WebShell后,笔者又对其内部网站进行了渗透入侵攻击。首先,通过WebShell利用Linux UDEV漏洞进行溢出,从而获得了新浪青岛网站服务器主机的控制权限。在对“新浪青岛”内部网络中进行渗透检测时,发现内网中有一台主机an**ex.com同样存在注入漏洞。通过注入猜解,得到管理员账号为 an**root,密码为 aqminweb****。发现在网站的图片上传链接中存在上传漏洞,利用分号双后缀名漏洞,成功上传ASP木马(图1-8),并获得WebShell。利用WebShell的Serv_U提权功能添加一个管理员账号,开启3389远程终端远程控制该主机(图1-9)。图1-8 使用双后缀名上传图1-9 远程终端登录网站服务器然后在入侵控制的主机上,安装Cain & Abel工具进行嗅探和ARP欺骗攻击,获得了内网中多台主机的远程终端登录账号。并利用远程溢出漏洞,获取其中一些主机的控制权限。通过查看网站源代码,获得另外一些 SQL 服务器数据库管理员账号,最终控制了新浪青岛分站内部网络的所有主机权限。1.2.5 关于新浪主站的进一步渗透与挂马测试在“新浪青岛”被全面渗透控制后,笔者尝试对新浪主站进行渗透。利用邮箱文档捆绑木马,成功地获得了主站中某台Windows主机的控制权限,其过程不进行详细讲解。此外,入侵了青岛新浪分站后,在青岛新浪分站页面上做了“挂马”测试。在短短5天内,可以通过木马控制200多台肉鸡。至此,我们对新浪网站及内部网络的安全性已有了直观的了解。1.3 对其他一些门户网站的入侵测试
如果说从新浪青岛分站到新浪青岛主站,对其进行入侵测试过程中所发现的各种漏洞,仅仅是网络安全管理人员的疏忽而已,那么下面再看看国内其他一些大型门户网站是否也有这样的疏忽。1.3.1 对搜狐门户网站的注入攻击检测搜狐网站上的动态网页大部分是采用 PHP 语言编写的,通过网站中一个欧莱雅广告页面注入点,破解出了论坛数据库管理员账号和密码(图1-10)。此外还发现在网站中存在着多处注入漏洞,可破解加密的管理员密码,登录后台上传WebShell控制网站。图1-10 破解出管理员账号与密码1.3.2 对TOM门户网站的注入攻击检测TOM 网也是国内一大门户网站,在对 TOM 门户网站进行检测的过程中,也发现了许多严重的SQL注入漏洞,而且危害性非常大,直接导致攻击者登录后台上传木马获得WebShell,并进一步控制整个网站服务器。通过 TOM 网站博客的注入点,可以猜解出后台管理员账号与密码(图 1-11)。然后搜索到网站的后台管理页面,利用账号密码即可成功登录(图1-12)。图1-11 获得管理员账号密码信息图1-12 管理员后台登录页面此外,在对国内其他门户网站进行检测时发现,有许多网站也同样存在着SQL注入漏洞。例如在网易中存在注入点,可猜解获取其中包含的管理员账号数据信息(图1-13)。和上面的几个门户网站一样,其危害性也是非常大的。图1-13 网易注入点猜解示例Chapter02 网络安全行业中的误区与纠正
在上一章的入侵测试过程中,我们可以看到,众多的门户网站表面上看起来固若金汤,但事实上却存在着一些不为安全管理人员所注意的漏洞。然而正是这看起来“小、旧”的漏洞,成为整个安全防线上的最弱之处,最终可能导致整个网络安全防线全面失守。这次的入侵测试,事实上也反映了当前国内网络安全行业中最为普遍的一些安全意识误区,许多大型的公司企业及各种行业网络中,都或多或少地存在着下面一些安全误区。● 误区1:缺乏网络安全整体意识,过于偏重或忽略了网络安全维护工作中的某一方面。● 误区2:过于侧重网络安全的理论研究,是典型的网络安全学院派,而不屑于各种黑客入侵技术。● 误区3:过于依赖于入侵检测系统、硬件防毒墙、防火墙等网络安全设备,认为安装了这些安全设备就可以高枕无忧了,忽视了在网络安全维护中人为因素也很重要。● 误区4:对各种新出现的漏洞很重视,对一些过时的旧漏洞不太关注。2.1 网络安全的木桶理论与整体观
有许多网络安全管理人员定期进行着各种网络安全维护工作,例如随时为服务器打补丁,能够补救安全漏洞;安装防病毒软件和防火墙;为确保服务器安全,频繁更改复杂的口令;定期对数据进行备份;严格控制邮件、网页与移动存储设备病毒传播等。这些工作都落到了实处,但为什么网络还是遭受黑客入侵攻击呢?在网络安全业内流传着一句经典的话——“网络安全是一个整体,安全等级取决于最弱处”。木桶理论同样适用于网络安全行业,对整个网络安全工作意义的评估,不在于安全防护最强处有多么强,而取决于网络安全防护的最弱处。“一只木桶盛水的多少,并不取决于桶壁上最高的那块木块,而恰恰取决于桶壁上最短的那块。”根据这一核心内容,木桶理论还有两个推论:其一,只有桶壁上的所有木板都足够高,那木桶才能盛满水。其二,只要这个木桶里有一块不够高度,木桶里的水就不可能是满的。同样,在网络安全中只有各方面的安全维护工作都做充分,网络才是安全的;只要网络安全维护工作中有任何一处疏忽遗漏,那么即使其他方面安全性再强,整个网络也是不安全的。在前面的入侵测试中,可以看到虽然新浪青岛分站服务器操作系统及时进行了更新,打上了各种系统软件漏洞补丁,屏蔽了各种危险的端口,但是却忽视了对网站网页程序漏洞的弥补,因此导致分站服务器被入侵控制。网站程序漏洞,成为新浪青岛分站服务器安全维护中最短的那一块木板。在整个新浪青岛分站内部网络中,有许多主机安全性也做得不错,但是由于对新浪青岛分站服务器,以及同一C段网络中一台主机的安全漏洞,会导致整个新浪青岛服务器所处的内部网络安全防线全面失守。新浪青岛分站服务器及同一 C 段网络中一台主机,成为整个新浪青岛服务器所处的内部网络安全维护中最短的那一块木板。而新浪青岛分站又成为入侵渗透新浪主站的跳板,尽管在整个新浪主站服务器群组中,安全措施极为严密,但因为新浪青岛分站服务器的漏洞,而导致整个服务器群组也遭受了渗透入侵的威胁和风险。新浪青岛分站服务器成为整个新浪网站服务器群组安全维护中最短的那一块木板。在当前国内网络安全行业中,许多网络安全管理人员和工作者都存在着某些误区,或者因为对网络安全的某个方面不够了解,或者由于对网络安全某方面维护工作不够重视,又或者由于工作人员无法协调彼此的工作,因而在网络安全维护中总有一些未曾注意到的死角,尤其是在大型的企业公司或其他行业的网络中,这样的安全遗漏点和死角普遍存在。但是这些网络安全维护的死角却很容易被黑客攻击者所发现,从而对整个网络的安全性造成极大的威胁。在本书中,正是基于网络安全的整体观的基础,以各种典型的大中型网络遭受黑客入侵攻击事件为案例,介绍了各种类型的大中型网络中最易遭受黑客攻击之处,呈现各种网络中的安全死角与弱点,以便网络安全管理人员对所维护的网络安全有一个全面的评估方案,并采取相应的维护和加强措施。2.2 90%攻击来源于10%安全防护的偏失
对于网络安全维护者所做的各种安全防护措施,总的来说,攻击者入侵一个大中型网络,其途径有以下几种(图2-1)。● 利用系统或应用软件漏洞溢出打开缺口。● 利用防火墙或路由器等网络设备漏洞打开缺口。● 拒绝服务类攻击。● 利用木马欺骗入侵内部网络。● 利用Web应用入侵内部网络。图2-1 大中型网络攻击来源统计图其中,前两种手法相对来说成功率比较低。这是因为目前网络安全管理人员都比较偏重于升级对外服务器的系统补丁,加强入侵检测系统、硬件防毒墙、防火墙等网络安全设备的防护等级。因此,试图寻找网络对外网关服务器的系统漏洞进行溢出攻击,或者利用硬件网络设备的漏洞入侵内网攻击,几乎是不太可能的,除非是利用一些0Day漏洞,但这类攻击占所有攻击类型中的比例不到5%。针对大中型网络的拒绝式服务攻击比例也不是很高,占5%左右。这是因为进行拒绝服务攻击时,必须调用大量的肉鸡,这会占用非常大的带宽,进行流量式拒绝服务攻击。而许多大中型网络在网关处都安装了防火墙,并采取了相应的防范措施,阻止了此类攻击。所以拒绝式服务攻击的危害性非常大,但是其成功率却不是很高。事实上,90%以上的攻击是来自于木马欺骗入侵与利用网站Web应用漏洞进行入侵的。由于杀毒软件注定无法查杀所有的木马,而木马又能随机修改自身的特征,让杀毒软件无法识别查杀。同时,木马可以通过网页、邮件、聊天软件等各种方式入侵进入大中型网络内网之中,无阻碍地对整个网络进行攻击。因此,针对大中型网络的各种木马攻击极为频繁。各种大中型公司、企业、教育部门、政府机构等网站,通常为对外提供 Web 网站或其他一些Web应用服务。通过Web应用漏洞入侵网络,是所有针对大中型网络入侵事件中所占比例最大的,这是缘于 Web 网站及应用的漏洞多样性与难以弥补所造成的。同时,也与网络安全维护管理人员的安全工作偏失有关系。大约 90%以上的安全防护工作都是针对网关、网站服务器等各种主机系统进行的,偏重于对入侵检测系统、硬件防毒墙、防火墙等网络安全设备的应用与维护,以及抵御拒绝服务类攻击。然而针对这些目标进行的网络攻击仅仅只占不到10%的概率。也就是说,目前许多网络安全维护方案与措施中,有90%以上的工作针对了攻击比例仅为10%的目标进行,然而90%以上的攻击来源却仅有不到10%的应对防护(图2-2)!图2-2 网络安全防护投入的偏失因此,在本书中将重点对占 90%攻击来源的各种入侵攻击手段及其防御进行详细介绍,而对在日常工作中大部分网络安全维护与管理人员都熟悉的安全防护将省略不讲。其目的是使网络安全维护工作者和管理人员的工作重点真正放在应对90%的攻击之上。2.3 “学”与“术”之辨——不可轻视黑客入侵技术
新浪、网易、搜狐、TOM这四大门户网站有着众多的网络安全专家及安全管理人员进行着各种严密的安全防范措施,但是或多或少地遗留下了一些不该出现的漏洞。因此不得不说,许多网络安全管理人员和工作者,对网络安全的理解与研究,往往偏向了脱离实际的理论,而对理论在现实工作中的应用性缺乏足够的认识。目前,国内的网络安全界面临着一个非常尴尬的局面,许多提供网络安全服务的研究组织与培训认证机构,大多数都难以适应和满足实际工作中所碰到的入侵状况与安全维护需求。造成这种局面的原因是长期以来在网络安全界中“学”与“术”两极分化,存在各执一端的状况。所谓“学”,是指学院式的各种网络安全理论研究,而“术”则是指实用性的技术、方法与手段。其中,“术”的最直接体现,就是各种黑客入侵攻击技术。在许多学院派的安全研究者和工作人员的眼中,往往厚“学”而薄“术”,甚至瞧不起“术”,对各种入侵行为和入侵技术持不屑的态度。学院派的网络安全研究工作者们往往对网络安全的整体规划、网络协议原理及分布、入侵检测设备、防毒墙等津津乐道,而把各种黑客攻击入侵技术视为旁门左道,认为所谓的黑客攻击只不过是利用已有的漏洞或现成的工具,是很表面、很粗浅的,即使对网络和系统原理有所了解,也是极为局部的。然而事实却是,许多对网络原理一窍不通,甚至只会利用工具的“脚本小子”或“工具黑客”,令学院派的高材生们防不胜防,使网络遭受入侵攻击。但是也有一部分网络安全研究人员和工作者以前曾从事过各种黑客攻击研究,对黑客攻击入侵的常见手法与入侵途径都非常熟悉和了解。在实际的网络安全维护工作中,他往往能站在黑客攻击的角度去寻找现有网络安全防护方案的弱点,预先发现网络安全防线的缺口,从而有效地防范各种黑客入侵行为。他们的经验证明了唯有真正了解黑客入侵技术,知己知彼,才能在网络安全攻防战中占据主动。在本书中,全面例举了各种类型的大中型网络中黑客入侵的常用手法与入侵途径,可以让网络安全工作者了解真实的黑客入侵攻击是如何进行的,并将所学习的安全理论应用到对付黑客攻击的实践中来。黑客攻击与网络安全防守是既矛盾而又统一的,学习攻击是为了更好地防守。2.4 堵住已知的漏洞,网络安全就成功了一大半
新浪、TOM、搜狐和网易作为国内最著名的四大网络门户站点,其用户数量是难以计数的,其网络安全的重要性也是不言而喻的。然而正是这些拥有众多网络管理人员及安全维护工作者的站点和网络,竟然存在着令人难以置信的安全漏洞。一个小小的安全漏洞,足以导致无数网络用户遭受挂马攻击,而门户网站内部网络被渗透入侵控制,攻击者如果稍作恶意破坏,其带来的经济损失将会是难以估算的。回顾上一章的入侵测试过程,其中并没有用到什么未公布的网站程序或系统漏洞,也没有使用什么高深的黑客技术。在整个入侵过程中,所使用的不过是早在2003年就开始出现的,如今已被视为过时了的“烂”技术——SQL注入与脚本上传漏洞攻击利用技术(图2-3)。图2-3 SQL注入攻击四大门户网站连普通的小网站都知道要打上SQL注入补丁,堂堂门户网站新浪青岛分站及新浪主站,以及其他三大门户网站还存在如此“弱智”的漏洞,原因究竟是什么呢?是新浪网不重视网络安全,置各种网络攻击于不顾吗?显然并不是这样的。那么是新浪公司的网络工程师技术水平不够吗?当然,也不是。其实,对于四大门户网站均存在SQL注入漏洞的原因,只不过是因为网络安全管理人员对于这些漏洞并不重视!许多网络安全管理人员对 SQL 注入之类的旧漏洞的危害性认识不够,在他们看来,这些“过时”的漏洞远没有系统出现的各种远程攻击溢出漏洞严重,要从 SQL 注入到控制漏洞主机,并进一步入侵内部网络的过程是很漫长的。而在这个过程中,有企业级的防火墙、防毒墙和各种入侵检测设备的保护,以及内部网络规划隔离等层层安全防护措施,攻击者要实现入侵目的是很困难的。千里之堤,往往只是毁于蚁穴。上一章的入侵检测过程中,所谓“过时”的SQL注入“旧漏洞”,却恰恰成为了网络安全防线大堤上的蚁穴。有不少网络安全管理人员和工作者对最新的各种0Day漏洞,以及各种安全公告极为关注,却忽略了一些可能存在的旧漏洞。一些网络安全管理人员和工作者认为,如果运行老的系统就不会成为黑客的攻击目标,因为黑客只盯住使用较为广泛的软件,而这些软件的版本要比我们自己正在用的来得新。然而本次入侵检测过程,却提醒了网络安全管理人员和工作者,漏洞是否存在危害,不在于这个漏洞是否发布了很久,是否过时,而在于所维护的网络中是否存在这个“过时”的旧漏洞。并不是只有最新的漏洞或最新的黑客攻击技术才会对网络造成危害,真正对网络安全造成危害的是管理人员的疏忽大意,导致网络中存在一些本不该存在的旧漏洞。旧的黑客攻击技术不如最新的攻击技术影响轰动,但早已出现的旧技术恰恰是发展得最成熟的,在黑客攻击中的使用率也是最高的。旧漏洞也许被许多人遗忘,但在大中型网络中由于网络安全维护工作面太广,以及多人工作的配合方面存在问题,往往很容易导致一些旧漏洞隐藏在网络中不为人所注意,成为网络安全防线中的一颗定时炸弹。以在本次入侵测试中所使用的SQL注入技术为例,从最早的Access数据库注入,PHP、JSP与ASPX网页程序注入,Oracle与MySQL 5数据库注入,到搜索型注入、Cookie注入、时间差注入、PHP 双字节编码注入技术等,SQL 注入攻击的手段可谓越来越多,其威力也越来越大。而许多网络安全管理人员却还停留在早期对 Access 数据库注入技术及危害性的认识上,远远未意识到SQL注入技术不仅没有过时,其攻击手段及危害性反而变得更强。正是鉴于这个原因,本书后面的章节中将会全面深入地介绍各种漏洞攻击与黑客入侵技术。我们并不会在书中公布所谓最新或未公开过的漏洞和技术,而是旨在让读者真正全面了解到各种黑客入侵技术,并真正切实地认识到各种旧漏洞的攻击及危害。只要真正堵住现在的各种漏洞,应对已经被广泛利用的入侵攻击技术,网络安全就已成功了一大半!上 篇大中型网络中的特洛伊木马入侵攻击
在针对大中型网络的各种入侵攻击事件中,特洛伊木马入侵攻击占了高达 30%的比例,这充分说明了特洛伊木马入侵攻击对网络安全所带来的严重威胁。然而许多网络安全管理人员和维护者往往过于信任网络中的硬件防火墙和防毒墙,以及网络内主机服务器上安装的杀毒软件,忽视了特洛伊木马的多变性与难以查杀性。这严重导致了许多特洛伊木马悄悄植入了大中型网络中,并进而入侵控制整个网络,造成严重后果。针对多变的特洛伊木马攻击,本篇将向网络安全管理人员和维护者详细介绍远程木马与资料窃取型木马是怎样制作生成的;木马如何连接服务端实施远程控制;木马如何躲过杀毒软件的查杀,以及木马的伪装和传播等内容。相信通过全面的介绍,可以让网络安全管理人员和维护者了解到木马入侵攻击的途径与方法(图1),以及其详细的内幕技术(图2),从而弥补入侵检测系统和网络防火墙、防毒墙的安全遗漏之处。图1 木马攻击流程图2 木马攻击与防御技术关系图Chapter03 案例——木马篡改数据,福彩3305万元惊天诈骗案
2009年6月9日晚,双色球第2009066期开奖,中奖号码为:红球“02、15、19、24、31、32”,蓝球“04”。广东省当期揽得5注661万多元一等奖,皆落在深圳。来自福彩部门的信息显示,中奖彩票是一张机选5倍的单式票,投注额仅10元,由福田区益田路万佳百货一楼商铺第83021022号投注站售出。也就是说,这5注头奖由一人独中,总奖金达到3305万多元。深圳彩民中得3305万多元巨奖的消息立即轰动全国。然而,兑奖人却迟迟未能现身,甚至连咨询电话也没有。一时间,中奖人不知自己中奖最终可能错过兑奖截止日期的猜测随之而出。人们纷纷对此感到惋惜,并关注事件的发展。然而,在2009年7月初,深圳警方公布了一个令人震惊的消息,这起无人兑奖案件调查结果的背后竟然暗藏着一个惊天骗局——黑客利用木马攻击,制造了福彩3305万元大骗局(图3-1)。图3-1 福彩骗局的媒体报道3.1 案例类型及背景介绍
案例类型:特洛伊木马入侵核心安全网络实施远程控制代表网络:深圳市福彩中心计算机网络销售系统案例背景介绍:警方与深圳福彩中心公布了案件发现及处置的详细经过(图3-2)。图3-2 黑客利用木马修改福彩数据(来源 南方都市报)2009年6月9日,福彩双色球第2009066期摇奖结束后,深圳市福彩中心在收到中奖号码传真后,进行中奖数据检索时,发现封期时从销售数据库中导出的两份数据文件(分别存放于硬盘和光盘中)均报错,摇奖程序无法正常对文件进行处理。深圳福彩中心担心影响双色球公告在全国的正常发布,因而未按规定程序操作,重新从封期状态的数据库中导出数据文件进行中奖数据检索。结果显示,深圳83021022站中出了5注一等奖,为一张机选、单注5倍的彩票,深圳福彩中心随即将生成中奖检索结果报告单上报中彩中心,以发布当期中奖信息。中奖结果公布后,为核验那5注中奖彩票的真实性,深圳市福彩中心工作人员对上传中彩中心的数据备份文件进行对比校验后,发现备份数据中该彩票的投注号码并非中奖号码,即该彩票未中一等奖。再会同中彩中心对深圳上传数据文件再次进行中奖数据校验,仍然得出同样结果。因此判断,怀疑有人非法入侵深圳福彩中心销售系统,篡改该张彩票数据记录,人为制造一等奖,并于10日凌晨2时向辖区罗湖区桂园派出所报案。经警方初步调查,这是一起企图利用计算机网络信息系统技术诈骗彩票奖金的案件,所涉金额高达3305万元,数额巨大、性质恶劣。案件发生后桂园派出所随即与市公安局网警支队进行联合办案,根据线索及时分析案情,迅速实施布控,于6月12日下午将犯罪嫌疑人程某成功抓获。经过审讯,犯罪嫌疑人程某如实交代了作案过程。程某为深圳市某技术公司软件开发工程师,利用在深圳福彩中心实施其他技术合作项目的机会,通过木马攻击程序,恶意篡改彩票数据,以达到伪造一等奖牟取非法利益的目的。程某在福彩中心的机房植入了一个自动运行的木马程序,一旦开奖,这个程序将自动将他购买的彩票数据修改成一等奖。程某原打算在木马程序将其购买的彩票数据修改成一等奖后,再伪造一张彩票兑奖,但假彩票至开奖后一直没有制作。3.2 3305万元福彩诈骗案事件还原
如果要篡改数据,必须进入福彩中心的机房。而按照福彩中心规定,外部人员未经允许是不能进入机房的。程某是如何在福彩中心的机房上植入木马,并修改福彩数据库伪造3305万中奖彩票数据的呢?关于案件的详情,警方并未过多披露,但大致的作案情节还是很清楚的,程某作案的过程有如下几个环节:进入福彩中心的机房→在机房中的某台主机上植入木马→木马控制该主机→继续入侵控制福彩销售数据库主机→通过木马控制福彩销售数据库主机并修改中奖数据。根据此环节,可以模拟还原福彩3305万元诈骗案的详细过程,以助了解一台处于安全网络中的主机是如何被木马入侵控制,并险些造成巨额经济损失的。3.2.1 起贪念,并不高明的福彩诈骗计划程某所在的公司长期与深圳福彩中心有业务合作,福彩中心内部的技术保障措施非常严谨,但是程某有着工作上的便利,可以接触福彩中心机房的某些主机。由于工作原因,程某对福彩中心内部的网络安全状况比较了解,再加上对福彩从摇奖、核对、中奖到领奖流程的熟悉,以及对中奖后一夜暴富的渴望,程某萌生了贪念。2009年3~4月间,程某开始了利用木马,修改福彩中心数据,伪造中奖彩票进行诈骗的计划。3.2.2 诈骗计划开始,制作免杀木马由于不可能直接操作福彩中心计算机机房中的销售数据库服务器,即使因工作需要能够接触到福彩中心网络中的一台专用主机,时间也是极为短暂的。因此,程某必须采用木马进行作案,通过木马入侵深圳福彩中心计算机网络,远程控制修改销售数据库服务器上的中奖数据。在网络上各种木马后门程序满天飞,程某本身也是软件工程师,很容易就能从网上下载威力巨大而且隐蔽性极强的远程控制木马程序(图 3-3),并对其源代码进行简单的修改和功能增强。程某利用该木马程序生成了一个木马服务端文件(图 3-4),这个木马文件只有仅仅 130 多KB,但是具备了强大的远程控制功能,而且还可以记录键盘密码,在程某入侵福彩中心的销售数据库服务器时起了很大的作用。程某早已得知深圳福彩中心计算机网络中大部分主机安装的是瑞星杀毒软件,于是特别针对瑞星杀毒软件对木马进行了免杀操作。程某为木马加了一个免杀加密壳,并使用了移动PE文件头和修改区段,以及输入表导入函数的方法,实现了瑞星杀毒软件的文件与内存免杀(图3-5)。此外,程某还特别使用了多款杀毒软件,以及当前流行的360安全卫士对木马进行查杀检测,确保木马不被常见的各种杀毒软件所查杀。图3-3 SART远程控制木马程序图3-4 配置木马服务端程序图3-5 修改特征码免杀3.2.3 制作自动运行木马如何将精心制作的木马植入福彩中心的计算机中呢?虽然程某可以接触到福彩中心的一台电脑,但由于工作的原因,他并没有太多机会直接操作那台电脑。而且在程某工作时,福彩中心的工作人员也在一旁,程某没有机会植入木马。于是,程某想出了一个非常巧妙的木马运行方法,他决定利用自己的U盘制作一个AutoRun自动运行木马。程某将木马服务端文件改名为 qq.exe,并加了一个伪装的图标,将它复制到自己的 U 盘根目录,并为文件设置了隐藏属性。程某在U盘下建立了一个名为“autorun.inf”的文件,内容如下(图3-6)。这样,一个简单的U盘自动运行病毒就打造成功了(图3-6)。利用U盘自动播放功能,只要U盘一插入某台电脑中,木马就会自动执行。图3-6 创建U盘自动运行文件图3-7 生成自动运行病毒3.2.4 拇指U盘藏玄机,木马悄悄植入程某等到了一次到福彩中心维护软件的机会,在与工作人员交谈的过程中,程某借助身体的遮掩,悄悄将自己那只有拇指大小的U盘插入到了身边一台电脑机箱的前置USB接口上。过了不到10秒钟,程某再次悄悄地将U盘取下来,这一过程非常隐蔽且短暂,工作人员根本没有察觉到。程某相信,U盘插到电脑USB接口上后,通过自动播放功能就已经悄悄地运行了。从福彩中心返回后,程某在自己的电脑上打开了木马客户端程序,等待福彩中心运行了木马的电脑上线。然而过了几天,也没见有任何反应。福彩中心的被程某试图植入木马的电脑不可能一直未开机联网,唯一的可能性是木马未自动执行,看来福彩中心的电脑安全性不错,禁用了U盘之类移动存储设备的自动播放运行功能。过了几周,程某终于又等到了一次机会。这次在福彩中心维护软件时,恰巧有个工作人员在工作时不小心删除了一个数据文件,正着急如何恢复。程某自告奋勇帮肋其恢复文件,由于有长期的业务合作,福彩中心的工作人员对程某并没有太多的戒心。当程某说恢复数据文件要用到自己U盘上的一个数据恢复软件时,该员工也未阻止程某将U盘插在电脑USB接口上……在恢复数据文件的过程中,程某悄悄地运行了保存在 U 盘上的木马,没有任何人察觉到程某行为,一切如计划般完美实现。3.2.5 福彩中心网络权限划分很严格程某打开客户端,等待片刻之后,肉鸡终于上线了,福彩中心的那台电脑已经完全被程某控制在手中(图3-8)。图3-8 福彩中心主机被控制程某打算利用这台电脑作为一个跳板,入侵机房中的福彩销售数据库服务器。然而当程某在木马远程Shell窗口中查看网络连接,并开启Socket代理功能进行内网扫描时,才发现该主机只处在一个网络访问权限极低的子网网段中(图3-9),路由器交换机已将此子网段设置为“禁止访问其他网段”。虽然扫描发现此网段中也有几台主机,但是都是一些没有太大作用的主机。图3-9 被控主机网络信息试读结束[说明:试读内容隐藏了图片]