第二步:扫描。是攻击者获取活动主机、开放服务、操作系统、安全漏洞等关键信息的重要技术。扫描技术包括Ping 扫描(确定哪些主机正在活动)、端口扫描(确定有哪些开放服务)、操作系统辨识(确定目标主机的操作系统类型)和安全漏洞扫描(获得目标上存在着哪些可利用的安全漏洞)。Ping扫射可以帮助我们判断哪些系统是存活的。而通过端口扫描可以同目标系统的某个端口来建立连接,从而确定系统目前提供什么样的服务或者哪些端口正处于侦听状态。著名的扫描工具包括nmap,netcat 等,知名的安全漏洞扫描工具包括开源的nessus 及一些商业漏洞扫描产品如ISS 的Scanner 系列产品。另外,在网络环境下,网络扫描技术则是指检测目标系统是否同互联网连接、所提供的网络服务类型等等。通过网络扫描获得的信息有:被扫描系统所运行的TCP/UDP服务;系统体系结构;通过互联网可以访问的IP地址范围;操作系统类型等。
第三步:查点。是攻击者常采用的从目标系统中抽取有效账号或导出资源名的技术。通常这种信息是通过主动同目标系统建立连接来获得的,因此这种查询在本质上要比踩点和端口扫描更具有入侵效果。查点技术通常和操作系统有关,所收集的信息包括用户名和组名信息、系统类型信息、路由表信息和SNMP信息等。
综观本年度比较热门的攻击事件,可以看到,在寻找攻击目标的过程中,以下手段明显加强:
(1)通过视频文件寻找“肉鸡”。在今年,这种方法大有星火燎原之势,攻击者首先要配置木马,然后制作视频木马,如RM木马、WMV木马等,然后通过P2P软件、QQ发送、论坛等渠道进行传播,用户很难察觉。
(2)根据漏洞公告寻找“肉鸡”。现在,关于漏洞技术的网站专业性更强,在http://www.milw0rm.com这个网站上,经常会公布一些知名黑客发现的漏洞,从远程攻击、本地攻击到脚本攻击等,描述十分详细。在漏洞补丁没有发布之前,这些攻击说明可能会进一步加大网络安全威胁。
(3)利用社会心理学、社会工程学获取目标信息。比如,通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段,取得自身利益的手法,近年来已呈迅速上升甚至滥用的趋势。目前,已经有攻击者通过“溯雪+社会工程学”的形式破解了263信箱。
2、一则安全日记引发的攻击思路分析
时间:2007年7月某天晚上
地点:某出版社网络管理中心
人物:某网络管理员
序幕:一个网友突然传来一个网址,让我检测一个数据中心网站的安全性。资料显示,该站点是一个大型虚拟主机系统,支持ASP PHP JSP。
事件记录:
拿过站点地址,没经过任何思考,我利用SuperScan等软件对主机进行了端口扫描,扫描后共发现开了10个端口,重要的有80、110、135、139、3389等,但能够利用的服务不算多。从扫描的80信息显示来看,对方的系统是Windows 2000 IIS5.0,还打开了一个远程桌面管理(开放了3389端口)。
第1步:检查是否有应用程序漏洞。登录3389服务,看看有没有非系统自带的输入法,因为某些类型的输入法还是有帮助文件和URL的,结果没有任何帮助文件。使用net命令测试后,发现不能顺利与服务器建立空连接,猜测密码口令也没有结果。
第2步:现在,比较合理的选择是检测CGI漏洞,使用安全扫描软件后,发现默认的“scripts”、“_vti_bin”等目录以及大量的“ida”、“idq”、“htw”等映像,但是用了许多溢出程序都没有溢出。初步推测,系统打上了SP3补丁。
第3步:下面再看看邮件服务软件是否支持expn、vrfy指令。经测试,返回“OK”并枚举出一个100多个用户的详细列表,接着用POP3密码破解软件破密码,自然收获不小了。然后尝试用这些帐号登录ftp服务,终于发现其中有一个用户名为cndes,密码为1234abcd,而且可以登录ftp空间。也就是说,这个用户买了服务器的收费邮箱和收费主页空间,并且邮箱和主页空间的密码设置的是相同的。
第4步:计划向主页空间上传两个文件,一个是win.exe,这是一个大小仅有4kb的木马,功能相当强大;另一个是海阳顶端ASP木马。上传完毕,现在就可以查看服务器的详细情况了。顺便查查cndes空间目录在什么位置,并把win.exe的路径记下来。
第5步:使用temp.asp进行入侵。为了防止被系统日志记录下来,明智的选择是另外开个没有日志记录的shell,并准备运行另一个win.exe木马。怎么运行它呢,用过Unicode漏洞的人都知道,有了木马在服务器的绝对路径,并且木马所在的目录有脚本可执行权限,我们就能运行它了。看到IE状态区的进度条,表示已经在服务器端运行了程序。现在就可以从刚开的后门进去了。
第6步:取得admin权限。由于Administrator帐号更改,现在把一个特殊的cmd.exe(利用exe合并软件把cmd.exe和木马合成一个程序)上传到服务器C盘下并隐藏起来,等待管理员运行cmd.exe时,系统就会多了一个admin权限的帐号,接下来就是用这个帐号来停掉w3svc服务并修改日志,整个过程到此结束。
其实,这位黑客是一位受到委托的网络安全专家。通过自己的经验和专业技术,他找到了可能被黑客利用的重大安全隐患。可见,随着网络技术的不断发展,网络攻击者的思路也日趋成熟,在某些方面甚至比网络管理员更专业、更了解对方。在这种程序化的思路中,他们就能够号入座寻找可能存在的对象,并实施有目的性的攻击。
3、攻击测试平台的新发展
对于网络管理员来说,虚拟机是一项很不错的技术,安装了虚拟机,管理员就可以在自己的机子上同时运行多个操作系统,并可在它们之间进行自由的切换。不过,从2007年各大安全论坛的讨论主题来看,虚拟机技术在黑客中间也得到了普及。通过使用虚拟机,网络攻击者不需要重新开机就能在同一台电脑使用好几个操作系统,它可以将电脑上的一部分硬盘和内存进行组合,虚拟出若干台机器,实施各种操作系统下的攻击。
文章整理:西部数码--专业提供域名注册、虚拟主机服务
http://www.west263.com
以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢!
