神刀安全网

黑客小说:杀手(第二章 白帽子)

黑客小说:杀手(第二章 白帽子)

第一章 网络杀手 

对手出现


台湾某安全公司内

总监办公室内,一位身穿黑色西服,留着利落短发的人正坐在电脑前认真的盯着屏幕,双手在苹果键盘上敲打着,一张帅气的脸,还有那干净的鬓发看上去洒脱从容。突然有一个人敲了三下他的门,他停下正在敲击键盘的手,微微转了下头,看到敲门的人是他的手下小张,说了句:“进来,有什么事?”。小张走近屋子里,接着说:“最近几天我们发现有几个新发现的ip地址(ip地址:IP地址是指互联网协议地址(英语:Internet Protocol Address,又译为网际协议地址),是IP Address的缩写。IP地址是IP协议提供的一种统一的地址格式,它为互联网上的每一个网络和每一台主机分配一个逻辑地址,IP地址通常用“点分十进制”表示成(a.b.c.d)的形式,其中,a,b,c,d都是0~255之间的十进制整数。例:点分十进IP地址(100.4.5.6)。ip地址相当于网络中的门牌地址。通过它可以实现网络通信。具体不细讲解。读者感兴趣的可自行了解。)扫描很频繁。扫描的范围很大。我觉得有必要对其进行深入的反跟踪,去查一查这个是否有一个团伙在作案。”。

“哦?有趣哦~你把这几个ip地址还有相关信息发过来看看”。他的脸上略带一点喜悦。

“好,我这就回去给你发送。”

“去吧~”。接着又补充道:“还有,继续跟踪下去,看可否追根溯源,找到攻击者。”

小张点头离去。

他继续敲击键盘,做刚才停下的事情。

此人网络id是hip,在一家网络安全公司做安全总监,他看上去也就二十三四的样子,从相貌上来看一点不像个做总监的,但是当了解他的技术以及能力之后,你不得不对他竖起大拇指。当然,你也不会想到年轻的他开的是一辆宝马i8。

对于他的id,他不仅是一名技术专家,还曾经是一名狂热的hiphop舞者,曾经获得台湾地区的hiphop冠军。不过那都是他学生时代的事情了。他用hip这个id也是缘于此。后来一直没有改。

hip还创建了一只网络安全技术交流小组——insight labs。insight labs是一个国际安全组织,组织成员分布在全世界各国。他们大多数都是各大互联网公司的安全研究员,安全工程师,安全总监,少数还有创业的。他们是一群白帽子,不作坏事,不攻击别人,他们对技术保持着一种狂热,保持着黑客的原则以及黑客精神。他们每周都会在自己加密的irc(IRC:Internet Relay Chat的英文缩写,中文一般称为互联网中继聊天。它是由芬兰人Jarkko Oikarinen于1988年首创的一种网络聊天协议。纯文本聊天,国外很流行,全世界有很多公开的服务器,分别有不同的频道,文中所使用的是自己构建的服务。为什么不使用qq这类,主要因为涉及到一些私密性。当然,在互联网的世界中,有很多基于该协议通信的恶意程序。我们称该类为ircbot。ircbot这里先不细讲。)上交流技术,最新的动态等。

hip所在的公司在德国,美国,韩国,日本,以及中国大陆,香港均部署了蜜罐系统(蜜罐:蜜罐是一种用来通过构建虚拟的网络服务或者协议等来引诱黑客来进行攻击。蜜罐是一种故意构造为容易被攻击的目标,这样可以了解黑客的攻击行为,随时了解最新的攻击和漏洞,还可以通过窃听黑客之间的联系,收集黑客使用的工具,找到攻击者。也可使说蜜罐是一种收集情报的方式。)。用于捕获并监控互联网中的恶意攻击行为,发现恶意攻击者。

过了一会,hip的屏幕右下方收到了一封邮件提醒,他点开了邮件看到:

攻击者ip地址如下:

38.99.82.191美国

72.52.4.90美国

198.204.250.242美国

82.165.37.26德国

以上4个ip地址都是一样的攻击行为,他们会对互联网中的计算机去进行ssh(ssh:SSH为Secure Shell的缩写,由IETF的网络小组(Network Working Group)所制定,是一种安全的传输协议,SSH是目前较可靠,专为远程登录会话和其他网络服务提供安全性的协议。SSH最初是UNIX系统上的一个程序,后来又迅速扩展到其他操作平台。)弱口令扫描,java反序列化命令执行(java反序列化命令执行:java所编写的程序的一种高危害漏洞。可自行深入了解。)。这是最近几天新增加的,攻击行为异常频繁。

根据从我们的目前的威胁情报来分析,这几个ip地址的服务器都处在合法的idc机房当中。应该也是被入侵的计算机,受到攻击者的控制。进一步的信息,会继续对其进行溯源跟踪。

hip看了邮件后,他打开了mirc(一款irc的客户端软件),进入了insight labs的频道。

“hi,guys,最近新发现了几个活跃的攻击者ip地址,大家有没有兴趣看看的?:)”。

因为组织里只有两名女性,其余大多都是男性,所以,大家都是以基友相称。在网络世界里,大家从不过问彼此的真实姓名,年龄。他们在网络里只有自己的网络id。

“这个我有兴趣哦~,发出来看看~”,在奇护公司的小白首先回应了,奇护公司是国内只知名的杀毒软件公司,其名字奇护是奇袭的护卫神的缩写。奇护是杀毒行业是后起之秀,而小白是这家公司的一名刚毕业不久的安全工程师。经验不多,接触黑客有2年时间,基础不错,小伙子因为对新鲜的知识充满了渴望,对很多事情都是冲在最前。这次他也不例外。

“好,这就发你。”说这,hip把ip地址发给了小白。

“这是几个ip地址,目前判断,也是被入侵的服务器。有什么新的消息告诉我下。”

“ok~,太好了,又可以实战学习新的东西了。”,小白有些兴奋的回复到。对他来说,是一次实战的大好机会。

“组织里其他有兴趣的人,到时候你们可以一起。”

“好的~”

这时电脑前的hip感叹到,年轻就是好啊!

就这样,小白如打了鸡血般,异常的兴奋,晚上几乎没有睡觉,放着Linken park的音乐,对4个ip地址逐个进行检测。通过几个小时的功夫,他发现了德国服务器的一个漏洞,该服务器是windows操作系统,存在着微软sql server数据库弱口令。当屏幕上的黑客工具显示:“82.165.37.26弱口令存在,用户名sa,密码821653726”(注:该口令为ip地址不加点)。只见他微微一笑,眯缝着的小眼睛里放出一丝光芒,仿佛胜利就在眼前。

他迅速使用查询分析器(一款数据库操作工具)连接了对方的目标,当显示连接成功时,他打了一个响指,并喊了一句哦耶!通过之前获取的信息,对方开放了远程登录服务,小白直接执行添加管理员的命令(添加管理员命令:在命令提示符下输入先添加用户名,在把用户名假如管理员组。添加新用户:net user用户名密码/add.添加用户名到管理员组:net localgroup administrators用户名/add)。顺利的登陆进了该德国服务器。没想到这么顺利救入侵了这台服务器,小白首先建立了一个系统的隐藏账户(克隆了一个账户)。通过查看进程,端口开放情况,这样来确认扫描程序的位置。这时他发现scan.exe的进程连接来很多其他的计算机,并且失败状态显示失败。说明他就是小白要找攻击者的扫描程序了。小白快速的下载了该程序到自己的电脑中。又查找了一下是否还有其他的恶意程序,确认没有后。接着,他在对方计算机系统的管理员桌面放了一个readme.txt的文档,里面写入了“Your computer has been hacked.Please fix it,thx~”.然后他清理了系统日志就下线了。

小白启动了他的虚拟机,创建了一个虚拟机快照。接下来,他把scan.exe程序拷贝入虚拟机中,抄起他的兵器库中的十八般武器,开始对scan.exe程序施刑,先用peid查看该恶意程序是否加壳,结果没有加壳。没有加壳的程序就如同一个只穿内衣的女人,你接下来要做的就是想办法拔掉女人内衣,就可以一览无余了。接下来直接ida进行分析,程序闪过了几个窗口之后,程序代码的执行流程就展现在小白面前了,当然还需要对其进行进一步的分析。通过该程序的string窗口,小白发现了一个字母by phantoms。这应该是编写该程序的作者。小白接着花了一些程序时间看了解了下程序运行原理,这个是一款扫描的程序。在扫描到流程后,会自动的登陆对方系统,根据系统不同去下载一款对应系统的木马程序。小白根据下载地址,下载了全部类型的木马程序。由于该程序有一款是linux系统下,小白对linux不熟悉,而这时候天已经亮了,他把目前的结果给hip留言后,就洗漱去上班了。

此时另外一边的杀手47,还在继续着他的任务,而杀手47还不知道,在不久的未来里,将会与insight labs组织发生不可思议的战斗。

(未完待续)

注解(术语解释):

1、IRC:Internet Relay Chat的英文缩写,中文一般称为互联网中继聊天。它是由芬兰人Jarkko Oikarinen于1988年首创的一种网络聊天协议。纯文本聊天,国外很流行,全世界有很多公开的服务器,分别有不同的频道,文中所使用的是自己构建的服务。为什么不使用qq这类,主要因为涉及到一些私密性。当然,在互联网的世界中,有很多基于该协议通信的恶意程序。我们称该类为ircbot。ircbot这里先不细讲。

2、ip地址:IP地址是指互联网协议地址(英语:Internet Protocol Address,又译为网际协议地址),是IP Address的缩写。IP地址是IP协议提供的一种统一的地址格式,它为互联网上的每一个网络和每一台主机分配一个逻辑地址,IP地址通常用“点分十进制”表示成(a.b.c.d)的形式,其中,a,b,c,d都是0~255之间的十进制整数。例:点分十进IP地址(100.4.5.6)。ip地址相当于网络中的门牌地址。通过它可以实现网络通信。具体不细讲解。读者感兴趣的可自行了解。

3、蜜罐:蜜罐是一种用来通过构建虚拟的网络服务或者协议等来引诱黑客来进行攻击。蜜罐是一种故意构造为容易被攻击的目标,这样可以了解黑客的攻击行为,随时了解最新的攻击和漏洞,还可以通过窃听黑客之间的联系,收集黑客使用的工具,找到攻击者。也可使说蜜罐是一种收集情报的方式。

4、ssh:SSH为Secure Shell的缩写,由IETF的网络小组(Network Working Group)所制定,是一种安全的传输协议,SSH是目前较可靠,专为远程登录会话和其他网络服务提供安全性的协议。SSH最初是UNIX系统上的一个程序,后来又迅速扩展到其他操作平台。

5、java反序列化命令执行:java所编写的程序的一种高危害漏洞。可自行深入了解。

6、添加管理员命令:在命令提示符下输入先添加用户名,在把用户名假如管理员组。添加新用户:net user用户名密码/add.添加用户名到管理员组:net localgroup administrators用户名/add

转载本站任何文章请注明:转载至神刀安全网,谢谢神刀安全网 » 黑客小说:杀手(第二章 白帽子)

分享到:更多 ()

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址