黑客可以厉害到什么程度?
结果有一天,国安局的人突然把这个教授的电脑搬走了。
后来才知道这个教授的电脑被国外黑客监控很久了,然后国安局监控这台电脑也很久了……细思极恐很多人应该还会记得被熊猫烧香这个病毒支配的恐惧吧。十几年前,一个黑客开发的病毒就能席卷全中国,影响了造成了巨大的经济损失。
事后,很多程序员们纷纷表示,这个病毒编写其实很简单,自己完全能做到。只是出于公共道德和法律的原因不会拿出来放到网上罢了。8月份时,腾讯一个经理来我们学校做讲座,他说他就是黑进腾讯qq号系统,然后就被腾讯拉去上班了。在配色酷炫的终端里一秒钟十行 c 代码五秒钟攻破服务器,甚至有的写几行 hello world 都能轻易破解密码
研二的时候,学校突然涨空调费,当时计院的大神直接黑了那个收费系统。后来学校报警,发现是自己学生也就不了了之了,我想报警的老师看老了计院同学过硬的专业功底也很开心吧,哈哈哈。事后在路上碰到那个背着二次元小背包,穿着凉拖的大神,都会忍不住多看两眼,并在心中连连称赞。
彩蛋就来一张大神的背影吧!
不羁中带着一丝潇洒,潇洒中透着一股屌丝,屌丝中藏着一抹帅气。
德云色有次直播,忘记是吃鸡还是lol韩服了,网络很卡,也不知道是什么原因,弹幕都在刷开了两个加速器,但是秃子和卡子一帮人都没看见,结果有人直接黑了直播间,在上面放上一行字“开了两个加速器”(大概是这样,记不清了)。黑客党啊噗啊噗!
黑客可以厉害到什么程度,我从一个小故事说起吧:
黑客是如何从一条诈骗短信剥丝抽茧查出骗子所有信息的。
- 每一次诈骗事件在黑客眼中都是能刺激多巴胺分泌的娱乐游戏。
坐标X市,市区一个老旧的巷子里。
桌上的烟灰缸已塞满了烟头,烟雾缭绕的会议室里诡异的安静,阿片一个人静静的坐在里面,陪伴他的或许还有那无形的压力。
快过年了啊,阿片呆呆的看着窗外,白色的雪花无序的飞舞着,老大早上的训话让他心情略感烦躁,能不能回家盖上房子娶上媳妇,可就看年底这一波冲刺了。
阿片叹息着翻出了手机通讯录,拨通了阿黑的电话。
阿黑是河北人,为人活泛,涉猎甚广。
喂,阿黑吧,上次那批货我要了。必须给我保证是新鲜的,烂大街的东西我可不要。
阿黑:咱们合作多少次了您还不放心呐,要不给您一点儿试试?
阿片:算了,只要货新鲜,我们就能消化掉
阿黑:我说你们也真够厉害的,还专门为这开发了个程序,这一批下去赚不少吧
阿片:就这次,收手了。
阿片说完挂断了电话,深深的吸了口气,拖着身子准备开工了。
时间不长,一条条没有营业执照的无线电波开始有目的的扩散了。。。
=====================================================
正题:
坐标帝都,5环外的一个公寓内。
唔~哈,老妈,这么早发视频来干嘛。
老妈:一休,你看看这个积分怎么兑换,省不少钱呢
我:都说多少次了不要这么叫我,会被朋友笑的
老妈:哎呀你这孩子,这么多年不都这么叫过来的,你看看这条短信,移动给我发的
“尊敬的XX女士,因您的话费积分没有兑换,12月底将全部清零,请登录xxxxx网站,下载客户端兑换287.80元话费礼包”。
我:换就换呗,真是麻烦艾,我瞅了一眼,这号码显示到确实是移动的。你把短信转发我,我帮你看看。
老妈还是挺聪明的,知道在微信发给我,短信一毛钱也是钱嘛。
手机打开网址扫了一眼觉得有些不对劲,立马转到了pc端。
呵呵,低劣的高档冒10086的钓鱼网站 ,这种智商的网页也想骗到我?
表面上看来跟真实的10086网站并没有很大的差别,这时候我去点击“现在就去兑换”按钮时,网页会跳转到另一个页面,这个页面会让你输入储蓄卡或者信用卡的银行卡信息。
继续研究,这是提示你选择收款银行卡种类页面
当你选择了收款银行卡种类后,网页就会跳出窗口提示你“恭喜您已成功兑换人民币¥288.00元,请您填写接收款项的收款信息并点击(激活)安装移动客户端打开激活才能领取成功!”
然后会跳转到一个填写你的信息的页面。和想象的有点不一样了,不都是直接骗人输入信息就完事了吗?怎么还要安装客户端?骗子高端了?
有意思,既如此,就陪你好好玩耍玩耍!
这是填写你银行卡信息的页面
这个时候如果你输入了你的个人信息,那么很不幸你的个人信息就已经被骗子获取了,赶紧去修改银行卡密码,或者先冻结你的银行卡。
按照我的尿性,看到这类网站必然是掏出神器一通扫描的,以骗子的智商和网络技术,显然并不足以和我抗争,23333
先想办法登你的后台吧,尝试利用XSS对钓鱼网站进行攻击
来到刚刚的“填写银行卡信息的页面”
这里要用到XSS平台,我可以自己搭建一个XSS平台但比较繁琐,我这么懒的人当然是直接在网上找一个免费的来使用。
看我左手右手一个慢动作,在开户银行这里审查元素成功插入XSS代码(获取COOKIE)
然后下一步,这个时候可以看到已经提交了,过一会就可以在XSS平台收到COOKIE了,可以看到网站提示“请点击"激活提款"下载安装并激活移动掌上营业厅客户端完成领取!
我们修改COOKIE登录网站后台 ,成功!
赶打开了收集信息的栏目,嗬。。琳琅满目的信息!怕是有上万条!
在该钓鱼网站的后台可以看到大量人在国内各大银行的网银信息已遭到了窃取。(因隐私问题已经对敏感信息打马赛克)
友情提示:由于这个事情涉及众多银行开户用户信息的泄露,我事后已第一时间将此事上报有关部门了。。。
警察叔叔我是无辜的,我不知道怎么就进后台了,真的!请你们相信我,我一点链接就进去了,我压根就不懂技术!我是良民!
最后:
你觉得这就完事了?不存在的。。。
很显然,现在很多人都使用了手机转账,并绑定了银行账户,这个钓鱼网站目的就是盗取用户的账户和密码。使用过网上银行的小伙伴们都知道,在网上银行转账都是要你自己手机的短信验证码的。那么犯罪分子是如何把你的钱转走呢?继续看看!
下一步计划是对假冒移动掌上营业厅客户端进行分析
刚刚我们输入个人信息提交后,网站跳到了另一个页面提示“请点击"激活提款"下载安装并激活移动掌上营业厅客户端完成领取!完成领取后¥288.00元将在24小时内到达您的账户,务必要激活,否则资金将无法到达!”
下载了移动掌上营业厅客户端 (伪造的)
我下载了这个客户端后发现这个一个APK(APK是AndroidPackage的缩写,即Android安装包)这个APK的名字是l0086,如果大家这里看清楚一点可以发现这个名字第一个不是数字10086,而是英文字母L的小写l。呵呵,幼稚的手法,比康帅傅还幼稚。
接着Apk反编译得到Java源代码
这里利用到工具Dex2jar和jd-gui,将要反编译的APK后缀名改为.rar或则 .zip,并解压,得到其中的额classes.dex文件。
将获取到的classes.dex放到之前解压出来的工具dex2jar文件夹内。
在命令行下定位到dex2jar.bat所在目录
输入d2j-dex2jar.bat classes.dex,效果如下:
这个时候在该目录下会生成一个classes_dex2jar.jar的文件,然后打开工具jd-gui文件夹里的jd-gui.exe来查看改客户端的源码。
通过反编译分析该软件
监听用户收到的短信
从下载的客户端中分析其中一段代码,该服务主要是在主页面中的oncreate创建的该类让服务总在前台运行,使之不被系统回收,之后动态注册各种监听器,以达到监听用户收到的短信。
卧槽,骗子野心很大啊。
看看下图。。世界有多险恶,你的手机简直就是一个移动监视器!
对手机各功能的的危险操作如下:
通过对客户端的配置文件分析可以知道该软件对手机各种功能的监控,想到这里,我不禁冷汗涔涔,骗我钱就算了,还要祸害我的朋友圈!
可以和你随时随地视频,查短信、查你通话记录、甚帮你发短信的服务,刺激不?
到这一步了,给我带来的乐趣也足够了,接下来,嘿嘿,我就不客气了!
仔细查找后在其中的一段代码中发现了骗子的联系方式,可以看到该邮箱账号是属于阿里云邮箱。从另一段代码可以看到骗子的联系方式,手机号码132XXXX,属于南京的手机号。
这显然还不够,继续扒证据。
利用刚刚的邮箱账号密码登录了骗子的邮箱,在这里可以看到受害人对软件的激活,卸载都会通过邮件方式发送到这个邮箱里面。
骗子就是在用这个邮箱接收“受害人的短信验证码” 也可以从上面对客户端的分析发现这个软件的功能不止是拦截短信,还可以获取你的通讯录从而达到很多的目的。
接着从服务器的ip地址中定位到了具体的地址,所有信息已全部提交给警方,该钓鱼网站现在也已关闭。
我们梳理下这次骗子钓鱼程序的流程:
- 1.犯罪分子通过伪基站即假冒的基站伪装成运营商的基站冒用各种号码强行向用户手机发送诈骗、广告等短信。
- 2.发送短信的内容一般为“尊敬的用户,因您的话费积分没有兑换即将清零,请登录xx网站,下载客户端兑换287.80元现金礼包”。从而骗取用户登录网站,并输入相关银行卡等敏感信息。
- 3.钓鱼网站还会欺骗用户下载安装一个“手机营业厅”软件,这其实是个手机木马。这种木马会拦截银行发给你手机的网银转账验证码等信息,将其发给远程的骗子,导致资金流失。
- 4.你该手机病毒下载安装之后,会提示用户在手机上激活设备管理器,实现自我保护目的,并监听拦截用户短信箱内指定号码发送过来的短信,进一步把监听到的短信内容,转发到嫌疑人指定的手机号码,并在后台偷偷删除指定短信内容,让人难以察觉。诈骗分子掌握了用户的银行账号密码等个人信息之后,可利用安装在用户手机上的病毒拦截用户短信验证码,并通过第三方支付平台等成功实现用户资金盗付。
来自白帽黑客的友情提示:
- 1.当你发现手机在无信号的情况下仍然会收到推广、中奖、银行等相关短信,很可能用户所在区域被“伪基站”覆盖,请认真仔细甄别短信内容的真实性。
- 2.不要轻信任何号码发来涉及银行账号和转账的短信,更不可向任何陌生账号转账。如确有转账需求,又正好收到转账短信涉及银行账号的,请再次核实账号相关情况。
- 3.注意识别网站的官方网址,不要轻易点击短信息中收到的网址链接,以免手机中木马病毒,造成手机中资料信息被盗。
- 4.虽然各类全家桶服务很烦,但是如果要想提示安全性,还是得装一个手机卫士啥的。
写在最后:
阿片今天有些心神不宁,年底的一波冲刺,已经让他腰包丰盈,他应该翘着二郎腿,思考思考买什么礼物,享受着回家之前的宁静了。
他不自觉的登陆了后台,查看了一下日志,发现并无异常。信息仍然在源源不断的涌来。
嗬,这些愚蠢的人。
阿片蔑笑道,拆开了新买的黄鹤楼1916,
淡淡的烟雾让他有种高处不胜寒的快感。
放下摇晃的小腿,阿片准备来点音乐舒缓一下心情,
这时,门铃突然响了起来。
想从零开始学习看这里:
黑客如何学起?这么炫酷的黑客技能你也能轻松学会
你想了解的炫酷白帽黑客技能都在这!最后给大家出道题:
本文开头阿片(骗)找阿黑买的到底是什么东西?第一个猜对了的我就关注你哈哈。
亲身经历!在清华校园路过计算机系的楼楼
搜到了一个wifi叫 密码是8个8
然后很开心的连上了!
我哥说你快别瞎连
这里住的什么人你不知道嘛…
哈哈哈哈 不是黑客,也不厉害。说一个自己的小故事吧,差不多10年前,上初中的小外甥的女同学和一个社会小青年私奔了。求助警察,让等消息。家长急的火急火燎,因为一直帮亲戚朋友装电脑修电脑,自然而然的成为他们眼里的计算机高手,遂求助于我。我一脸懵逼啊,我只会组装电脑和重装系统啊!可也不能丢脸啊,灵机一动问外甥有没有女同学的QQ号,回答有,登上QQ,居然改(打错了,该)女同学在线。呵呵哒,马上和她聊天,顺利拿到她的IP地址。现在还清晰的记得是贵州省都钧市(谢谢指正,应该是都匀)某联通网吧。小姑娘后来被找到,后来我就被传为大神级的人物。也许在他们眼里我就是个黑客吧
不算是厉害,但有点逗比的经历。
大约是iPhone 6s比较流行那阵子,有家火锅餐厅搞了个活动,参加公众号游戏赢取iPhone 6s大奖,活动规则是在截止时间之前可以随便怎么玩,但只记录自己最高的分数,然后根据排位来决定大奖,然而,大奖只有一份,所以只有第一名能够拿到iPhone 6s。
在餐厅吃饭的时候得知这个活动,当晚我就行动了,是什么游戏我已经记不清楚,用Proxy代理抓了下公众号游戏的页面的网络请求,很容易就发现原来游戏过程并不重要,最后会提交一个分数到后台,而且并没有任何校验,所以这个Hack其实一点都不厉害,只用到我功力的一成。我看了下总榜,发现一切都还正常,为了不显得那么招摇,我将自己的积分放到了第三位,准备在时间快截止前再发起总攻,以便让数据增长看上去相对自然(也许我高估了后台,他们根本不会记录每次分数的,但小心驶得万年船)。
然而我觉得最厉害的是:终于快到最后截止时间了,我发现第一名的积分已经超过之前很多,而我已经跌出前三,当我多刷新了几次排行榜之后发现,原来这个世界上至少还有5个比我更不要脸的人,他们几番篡改已经将游戏积分提升至人类绝无可能达到的级别……
后来是谁拿了iPhone 6s不得而知,估计再往上篡改就要溢出了,而我虽然也Hack了,但我是有底线的……最后我获得了餐厅的100元代金券。
一个制作病毒的骗子被路过的女黑客轻松破解+各种调戏蹂躏后,竟不死心,又发布了新的勒索病毒版本。
那么该轮到我替天行道了:一次破解勒索病毒并人肉找到骗子住址的过程。
故事前传:
调戏勒索软件大黑客
【续集】再次调戏勒索软件大黑客
0x01 咱们先下载体验一下大黑阔的新作品
虚拟机运行勒索软件 这家伙把最新版的勒索软件改成一些极有吸引力的软件。
我们下载到虚拟机,解压出来以后运行。
恭喜你,你的电脑被锁了,想要解锁请支付比特币。
比特币没有,一巴掌要不要?
0x02 破解勒索软件三部曲
第一步;打开进程抓包工具,找到勒索软件的进程,然后双击。
第二步;点击勒索软件上面的重新生成KEY,然后在抓包工具里面找到经过base64加密的部分。
从图中可以看到两段经过base64加密的代码,我们进行解密
密文:VGhlWXVDaGVuZ0B5ZWFoLm5ldA==
解密:[email]TheYuCheng@yeah.net[/email]
密文:SWxsdW1pbmF0aTY2Ng==
解密:Illuminati666
第三步;下载Foxmail,把抓包得到的解密邮箱账号和密码填入Foxmail里面,然后登录以后在已发送列表里面找到对应自己电脑的ID,把解密的key复制下来即可解锁。
我这里因为在虚拟机测试了两次,所以产生的ID不一样了,不过只要你中招,你登录Foxmail里面都有解锁密码的。
解锁完成
0x03 事情还没完,既然你贼心不死,那么这次我就让你感受社工的恐惧吧。
首先我用小号查找了xiaoba的QQ3047861776 在他的资料面板上发现了QQ群,我用小号申请加入。
进入群以后发现,在群资料里面发现了他创建群的地址
咱们点击进去看看具体在哪个位置
为了验证这个地址是否真实,我用小号在查找他的时候,点开它资料,然后给他点赞。
然后打开QQ里面附近的人。
点击这里进入
点击这里
点击我赞过谁
点开大黑阔的资料
然后会发现距离和他有991km
现在我们伪造自己的GPS地址,把自己GPS地址设置成大黑阔群资料里面的地址,然后重复以上动作一遍。
然后我们得到大黑阔的详细地址
重新点开大黑阔的资料,发现距离他只有0.14KM左右,那么已经可以肯定大黑阔就是住在这里没错了。
通过百度街景地图看到就是在这个小区里面。
警察蜀黍,就是这个人,用勒索软件到处搞坏事,地址出来了,快去抓他。
故事前传:
调戏勒索软件大黑客
【续集】再次调戏勒索软件大黑客
想从零开始学习黑客的看这里:
>>>>黑客是如何学起的?
这么炫酷的黑客技能你也能轻松学会
>>>>你想了解的白帽黑客技能都在这!
Stuxnet病毒,破坏伊朗的离心机,将伊朗核计划拖延一年多。
还记得大三的时候,学校曝出 学生修改考试成绩 被开除的通报。
当时就想,能够修改 学校教务处的成绩系统,也算是人才啊。
就算比不上大黑客,退学也能够有口饭吃。
然后又详细看了下内容,发现是个 非计算机专业 的同学。
心想,厉害了,比我们学校计算机专业的牛B多了。
再往下看,,
该生 偷瞄老师登陆密码。。
一只猴子暴力黑了地府的轮回系统,把自家猴子猴孙从地府数据库删了。
陈同学补上了这只猴子的悲惨结局:
————————————————
陈明明1 天前
从删库到跑路,一气呵成。可惜还是没跑掉。局子里蹲了500年,出来外包给取经团队。被甲方产品经理唐小僧虐的体无完肤
上大学时,有个老师的课件ppt保存u盘上,我们请求拷贝,老师不给。于是有个同学写了个木马程序(也不算黑客),放到教室的电脑上,当老师的u盘插进去,就开始往外拷数据,结果下课后,发现拷出来的有两份试卷,没错,就是期末考试的ab卷。讲一个我黑网吧的真实故事吧,跟大神比自然比不了,不过在菜鸡面前足以装X了。坐标沈阳,几年前那里的网吧特别流行一种管理系统,安装在每个客户机上,可以通过该系统访问网吧服务器的影音及游戏资源。
我发现某个网吧的影音资源很棒,动不动就是1080p高清,而自己去搜集和下载这些资源是很耗费精力的,就想把这些片子拷出来。但在客户机上只能通过管理系统访问这些东西,而且不能提取,在这个系统里鼠标右键和Ctrl-C/V都是没用的。
于是我开动脑筋,在桌面的该系统影音图标上右键查看此快捷方式的属性,找到其在C盘的客户端程序。然后打开系统的隐藏文件查看选项,发现一个叫movie.ini的文件被隐藏了。再打开这个文件,好家伙,各种192.168.x.x高清1,192.168.x.x高清2…之类的名字一目了然。
然后你懂的,我花了一个月时间,没事就去那儿上网拷贝,于是便就有了这个:
更可怕的是,有一次我灵机一动,在浏览器里输入192.168.x.xd$,发现了网管的隐藏文件夹,里面是各种某热、某道、某加勒比。
就这样,我又打开了一扇新世界的大门…”*8
随便发一张以前的老图吧,某省飞机场ATM沙盒绕过。取钱的时候玩了一会,发现成功出了沙盒,正准备逛内网,顺便看看有没有什么预留的测试接口啊,比如什么取钞测试之类的,然后突然就看到了上面一左一右的两个摄像头,默默的当做没发生,溜了溜了,狗命要紧狗命要紧。。。。。
还有之前给银行做渗透项目的时候……
另外吐槽国内的银行是真的水,特别是地方银行。
我接手的项目一半都是银行金融相关的,都是几年前的网站,中途还没有打过任何补丁。客户丢出一个资产列表,然后就挨个挨个秒掉。。。。。
有时候真的是感觉自己和马云的差距只有一个胆子……
嗯,和精神领袖的差距也只是一个胆子。传奇的故事都有一个平凡的开场。以下内容摘抄整理自网络,著作权属于原作者。
2010 年 6 月,白俄罗斯的一家微型安全公司在为伊朗客户检查系统时,发现一种新型蠕虫病毒。这种病毒除了导致客户的电脑不断死机重启外,好像没什么特别的危害。
凡是新病毒,都会被加入到公共病毒库,供业内人士研究。根据病毒代码中出现的特征字,新病毒被命名为 " 震网(Stuxnet)"。
● 《攻壳机动队:崛起》中,能植入虚假记忆的病毒以 " 震网 " 命名
著名信息安全厂商赛门铁克的应急团队开始着手研究震网。虽然已经知道如何杀死病毒,但他们仍不明白病毒到底想干点啥,因为震网太神奇了。
神奇之一:非常大
震网的主文件大得不可思议—— 500k 字节,而常见恶意代码文件大小仅为 10k 到 15k 之间。
一般体量大的病毒都会包含一块非代码区域,多是用图片文件来填充。但震网中并没有图片文件,也没有无关填充物,扎扎实实,全是精巧的代码。
这事儿一般黑客搞不定,震网病毒背后一定有一个非常庞大而专业的团队。
神奇之二:不用互联网
为了窃取信用卡和银行账号信息,黑客会想方设法让病毒尽可能广泛的传播。传播得越广,感染的电脑越多,赚得越多。可震网病毒只凭借某个用户用 U 盘从一台计算机传播到另一台计算机,或者通过局域网传播。
基于这一点,可以判断攻击者确信他们的目标系统不在互联网上。
神奇之三:有截止日期
震网给自己的行动设定了终止日期:2012 年 6 月 24 日。每当震网病毒进入一台新的计算机,都会检查计算机上的日期,如果晚于这个日期,病毒就会停下来,放弃感染。已经被感染机器上的恶意程序载荷仍然会继续运作,但震网病毒将不再感染新的计算机。
神奇之四:一个病毒有 4 个零日漏洞
零日漏洞,是黑客世界中最牛的东西之一。因为它利用的漏洞是软件开发者和反病毒公司还没发现的——这意味着根本没有补丁。
每年有超过 1200 万种恶意代码出现,但 " 零日漏洞 " 大概只有 10 来个。而震网这一个病毒就华丽丽地配了 4 个。
● 震网病毒的感染路径
如果是为了勒索敲诈赚钱,那黑客太想不开了:直接卖了不好嘛?一个顶级的零日漏洞连同相应的漏洞利用程序,可以在黑市上卖到 5 万美元以上,在以政府的网络部队和间谍机构为卖家的内部灰色市场上甚至能卖到 10 万美元。
到底是什么目标才配得上四个零日漏洞?
病毒的目标只是一个国家
入侵计算机后,震网病毒做的第一件事,是判断计算机到底是 32 位还是 64 位,如果是 64 位,放弃。
震网还会仔细跟踪自身在计算机上占用的处理器资源情况,只有在确定震网所占用资源不会拖慢计算机速度时才会释放病毒,以免被发现。
感染电脑后,震网开始搜索并把战果汇报给指挥控制服务器。如果计算机没有安装特定的两种软件,震网会主动进入休眠状态。
这两种软件是西门子公司的专有软件 Step 7 和 WinCC。它们都是与西门子公司生产的可编程逻辑控制器(PLC)配套的工业控制系统的一部分,用于配置自动控制系统的软硬件参数。
只有发现了这两款软件,软件所对应的 PLC 还必须是 S7-315 和 S7-417 这两个型号,震网病毒才会开始攻击。这两个型号对应的是两种特定的变频器。
通过层层限定,震网不会感染任何一个配置稍有偏差的工业控制系统,只会把它们作为传播的载体和攻击的跳板,直到找到最终的攻击目标。
之后,专家发现,震网攻击的是安装了这两种变频器的 6 组大型机组,每组 164 台。
震网攻击的第一个步骤,是为期 13 天的侦察。期间,震网只是安静的记录着 PLC 的正常运行状态。震网记录的频率为每分钟 1 次,在完成约 110 万次记录之后,才会转入下一个阶段。
在这一阶段,震网会把变频器的频率提升到 1410 赫兹,并持续 15 分钟;然后降低到正常运行频率范围内的 1064 赫兹,持续 26 天。这 26 天,还是侦察期。
之后,震网会让频率在 2 赫兹的水平上持续 50 分钟,然后再恢复到 1064 赫兹。再过 26 天,攻击会再重复一遍。反反复复来来回回,这路数安全专家看不懂。所幸,科学与国际安全研究所的原子能专家们看懂了。
1064 赫兹这个频点是 IR-1 铀浓缩离心机独有的。13 天,是令 IR-1 离心机充满铀所要的时间。
● IR-1 离心机,右边箭头是震网攻击的目标
当震网实施攻击时,会将变频器的频率设定为 1410 赫兹,并持续 15 分钟。这个频率,恰好处于 IR-1 型离心机马达可以承受范围的极限上,频率再高一点,离心机可能就直接损毁了。
在铀浓缩生产进程中,离心机必须持续稳定的高速旋转,才能将含有铀 235 和铀 238 从混合气体中分离出来。如果离心机转速降低 50 到 100 赫兹,六氟化铀气体产量会减半,何况是降到 2 赫兹。
震网先让变频器转得飞快,再让它转得死慢。就像坐过山车上上下下你心脏受不了一样,忽快忽慢变频器也受不了,障碍率会噌噌噌往上窜。
● 震网传播渠道
而世界上使用 IR-1 型离心机的国家只有一个——伊朗。伊朗纳坦兹铀浓缩工厂的级联机组,正好由 164 台离心机构成。
病毒成功的攻击了核设施
纳坦兹铀浓缩工厂的核设施深埋沙漠下面,那里有一个巨大的离心机车间。
2009 年 11 月,纳坦兹大概有 8700 台 IR-1 离心机。因为 IR-1 离心机非常脆弱,在正常情况下,一年会替换 800 台。在 2009 年 12 月到 2010 年 1 月期间,仅仅两个月就坏了 1000 台离心机。
监控录像显示员工没有违规操作,控制系统也没有报故障。无论换了多少回离心机、换多少批工程师,工厂的运行效率仍只有设计能力的 45%~66%,六氟化铀气体原料的消耗量远低于预期。
● 纳坦兹周围的防空武器
纳坦兹核工厂始终无法形成稳定的浓缩铀生产能力,伊朗方面一直没办法找到原因。
直到 2010 年 11 月 12 日,赛门铁克公司发布了一条博客,称震网的攻击对象是某个特定型号的变频器,通过攻击,实现了对变频器的操控。
4 天后,纳坦兹全面暂停了工厂的铀浓缩活动。又隔了 6 天,所有离心机停止运转。
11 月 29 日,伊朗著名核物理学家沙利亚里和放射性同位素分离专家艾巴西在上班途中遭到暗杀,前者死亡,后者重伤。暗杀事件当天,伊朗总统内贾德首次确认,电脑病毒攻击了纳坦兹核设施。
伊朗把锅扣在了以色列和美国的头上。两个国家当然不承认,可惜,不承认没用。近些年美国政府都要漏成筛子了,这回,当然也是靠内部人泄密。泄密的是美军参谋长联席会议前副主席、退役四星上将詹姆斯 · 卡特赖特。
直到这时,震网病毒所有神奇的设置都有了答案。
震网病毒之所以编制得如此精巧,华丽丽地配了四个零日漏洞,因为背后有美国国家安全局 NSA 和以色列的 8200 部队做后盾。将 2012 年 6 月 24 日设定为行动终止日期,因为再过几个月又得选总统啦。震网病毒这事儿挺大的,如果换人了,新总统(当时是奥巴马连任)什么态度不好说。
● 以色列精英部队 8200 标志
其实震网这事儿,早在布什任期内就开始部署了。2005 年 8 月,内贾德上任两个月后,伊朗核问题的国际谈判破裂,伊朗宣布退出之前签署的 " 暂停核活动协议 "。
以色列催促美国向伊朗开战,连着打了伊拉克和阿富汗两场战争的美国没法再打第三场。于是乎,美国军方和情报部门官员向布什总统提交了一个 " 不保证成功 " 的建议案,代号 " 奥林匹克计划 "。
震网,不过是冰山的一个小小角。
网络战离我们有多远?
奥林匹克计划究竟包括啥、想干啥,还没完全被披露出来。目前已知的是,除了震网病毒,另一种病毒也是计划的一部分。
火焰病毒(Flame)是一部间谍工具百科全书。这个 20M 的病毒里,有的模块负责从染毒计算机中直接盗取文档,有的模块负责获取击键记录、每隔 15 到 60 秒抓取屏幕截图,有的模块通过暗中打开染毒计算机上自带的麦克风来偷听环境声音,还有的模块利用染毒计算机的蓝牙功能,自动搜寻能连接的智能手机和有效通信范围内的其他蓝牙设备,再盗取手机或设备上的数据。卡巴斯基实验室认为,彻底搞清楚火焰病毒,需要十年时间。
● 火焰病毒因这一段代码得名
更令人吃惊的是,火焰病毒的第一个组件,写于 1994 年和 1995 年。
1993 年,美国空军将电子战中心改组为信息战中心,并在 2 年后成立了美军首支网络战部队——第 609 信息战中队。
2003 年,五角大楼秘密发布了一份 " 信息作战路线图 ",首次将信息战列为与空战、陆战、海战和特种作战并列的核心军事能力。
7 年后,当震网病毒疯狂传播时,五角大楼组建 " 美军网络司令部 " 并正式宣布,网络空间已经成为继空、地、海、太空之后的 " 第五作战域 "。
全球第一个投入实战的网络武器,是专门定向攻击现实世界基础设施的震网病毒。
和精确制导导弹相比,网络武器打击更精准,危害只大不小。这可不是我们瞎说。
首先,病毒有能力攻击的可编程逻辑控制器 PLC 可不只有核设施会用。PLC 被用于各种各样的自动控制系统,大到发电厂、水库、天然气管道,小到红绿灯的亮灭、监狱牢房的开关。你想象一下,一座城市停水停电一个月、监狱里犯人全出逃,会是什么模样。而且,不连接互联网并不能幸免。纳坦兹就不通互联网。
另外,网络武器的特点是使用即发布。网络武器的代码中,包含着攻击者所有的设计思路和蓝图,当你在使用网络武器攻击敌人的同时,你就给了敌人 " 以其人之道还治其人之身 " 的能力。震网病毒被揭开没多久,俄罗斯就掌握其中所有道道儿。
更可笑的是,震网病毒后来传回了美国,美国国土安全部不知道震网背后的秘密,还大费周章地成立专门应对小组。
然而,从某种程度上说,可怕的不是俄罗斯,也不是 " 搬起石头砸自己的脚 ",而是那些高智商天才程序员们,其中相当一部分还没成年。他们掌握了网络武器,会干什么?
投下一枚导弹,目标总归是有限的。可网络武器一旦上线,路径和影响无法预测。
在线杂志《原子能科学家公报》执行主编柏南迪说,
" 可笑的是,网络武器的第一次军事化运用,居然是为了阻止核武器的扩散。为了终结前一个大规模杀伤性武器的时代,开启了一个新的大规模杀伤性武器的时代。"
过年回家饭局上碰到一个原来心仪的妹子,虽然已经4、5年没见面了,妹子见到我还是分外亲热,不仅主动挨着我坐着,居然还邀请我一起玩游戏,心中窃喜不已,哥们王者刚上了王者星耀,先好好炫一下技术,然后……
妹子就给我发来了这个:
下载一看,尼玛什么鬼,妹子居然也玩网络棋牌了,这种小游戏一般都很弱啊,要是能把他拿下来,岂不是可以让妹子好好崇拜一下,别人都说妹子喜欢一个男人是从崇拜他开始的……嗯……
言归正传,访问目标主站,只有一个游戏下载页面,暂时没发现什么有价值的东东,先放一放。
在 Android 模拟器上安装游戏,配置好 burpsuite 代理,并开始用 wireshark 抓包进行流量分析。启动游戏,发现 app 会通过 www.game1579.com 进行身份认证并获取游戏基本信息,另一个URL是 http://fjsss.ruiyoushouyou.com 。
简单测试了一下已知的几个API,未发现明显漏洞,同时发现该服务器安装有安全狗。
继续分析流量,发现了一个比较关键的功能:用户通过微信登陆成功后,APP会把用户头像上传到服务器上,在APP加载的时候从WEB服务器上读取用户头像。而文件上传的操作,是通过/Public/XmlHttpUser.aspx这个API来完成的。
1) 任意文件上传配合web.config绕过安全狗getshell
漏洞位置:http://www.game1579.com/Public/XmlHttpUser.aspx?type=AddImg
filename参数可以控制文件上传的文件名,配合../可以跨目录。但是直接上传asp或者aspx会被安全狗拦截,因此,此处需要利用web.config来让iis解析自定义的后缀。
但是这个服务器不能解析自定义后缀的aspx文件,只能为asp自定义后缀,尝试向当前目录写入web.config,将asdx解析为asp。然后写入asdx后缀的asp webshell,由于安全狗会拦截菜刀,此处只写入了一个最基本的cmdshell。
然后上传操作数据库的aspx shell,利用move命令将后缀改为aspx,读取web.config获得数据库连接字符串。此处简单把sql语句reverse了一下,防止安全狗拦截,然后就直接system了。
2) 后台
System是远远不够的,我一定要进后台满足一下小小好奇心。
读取iis配置,发现网站管理后台在8080端口的admin目录下,但是无法直接从外网访问到。读取iis日志,也发现admin的访问记录,分析发现应该是iis做了ip限制。截取一部分日志……
虽然你有限制,但我有system权限啊,上了一个meterpreter,抓到了系统管理员密码明文:Administrator NfrsWQ86r^n9$***
将8080端口转发到本地,分析web代码,从数据库中找到网站管理员的账号和密码hash,破解后得到明文,神奇后台闪亮登场:
一些令人惊讶的小发现
1)游戏采取代理进行管理
代理后台位于网站主站的AgencyPhone目录下,通过代理可以向任意用户发放钻石(房卡),游戏后台管理员可以给代理充钻石。
2) 钻石的有偿交易
在游戏中,玩家要进行对局,需要消耗钻石,APP提供了钻石购买功能,允许玩家使用微信支付来购买钻石,也可以向代理购买,代理向玩家出售钻石,并通过其他支付手段来收取费用,以进一步逃避监管。部分高权限的代理可以继续招收下级代理,所有代理与二级代理之间的交易都有据可查。
3) 游戏可以作弊
管理员不仅搭平台坐庄,还搞了一批“机器”做高胜率赚玩家钱。
后续的拓展
后续通过各种关联分析,又搞定了一批目标,过程太复杂,大概就是程序内特征+IP&域名+全网特征扫描:
以下为各APP抓取的明文密码与通用充值接口,根据其采取的充值接口一致、关联关系与密码一致性可以明确为一个团伙作案,用户总规模近100万,总金额由于大量采取代理线下交接,无法准确统计,但光代理产生的钻石流水就已经突破了公安部《关于办理网络赌博犯罪案件适用法律若干问题的意见》中规定的“赌资数额累计达到30万元以上的属于情节严重,处3年以上10年以下有期徒刑,并处罚金”。
总结
以上六个APP为同一团队运营,均为专业性赌博APP,用户规模近100万,不仅通过各级代理组织线上赌博,且通过后台操作胜率对玩家黑吃黑,既不合法、也不合理。老衲能做的只能是将之公布出来,后面的就交给警察叔叔了。同时也敬告aliyun、yundun等企业,服务器上架要做好监督与核查,欢迎jcss站内私信,更多证据链可以提供……
真人真事,转自FreeBuf。
所谓黑客的厉害,其实也不过就是网络安全研究同学们的日常,我们在西雅图有一间专门研究物联网安全的实验室,最近发现了一个僵尸网络,研究员同学顺手就把它给黑了,详情如下(为确保原汁原味,英文和翻译我都放在下面了):
0.前言
In an irony of epic proportions, we observed that an IoT botnet variant, Owari, which relies on default/weak credentials to hack IoT devices was itself using default credentials in its command and control server, allowing read/write access to their server database.
我们的研究员最近发现了一个挺搞笑的事情:就是Owari这个利用物联网设备的弱密码来攻击它们的僵尸网络自己的数据库也是用的弱密码。听起来有点绕对不对?且待我慢慢道来。
1.Owari的MySQL数据库
Mirai botnet was designed to set up a MySQL server for the command and control containing three tables, namely users, history, and whitelist. While IoT botnets have evolved and many of them have different attack vectors, most of them still retain this tried and tested MySQL server structure, and Owari is no exception to this.
讲Owari这个物联网僵尸网络,就得先说说Mirai这个物联网僵尸网络的老祖宗。Mirai的数据库是MySQL的,里面有三张表:用户,历史和白名单。好多Mirai的后代都开拓了新的方式,不过数据库这块还是用老祖宗的多,Owari也是这么个好孩纸。
We observed few IPs attacking our honeypots with default credentials, with executing commands like /bin/busyboxOWARI post successful login. In one of the cases, a payload hosted on 80(.)211(.)232(.)43 was attempted to be run post download.
我们的某个蜜罐某天受到一个来自80(.)211(.)232(.)43这个IP的攻击,命令是/bin/busybox OWARI post successful login。我们发现发过来的载荷代码里面想搞一下post 下载。
When we investigated the IP, we observed that port 3306, the default port for MySQL database, was open.
处于黑客的直觉我们自然去看了看对方的IP,然后发现他们开着3306口,配置MySQL也不改个缺省端口,鄙视一下。
We tried to investigate more into this IP. To our surprise, it is connected to the attacker’s servers using one of the weakest credentials known to mankind.
我们就跑去试了一下对方的密码,结果发现:全世界人民都知道啊!
Username: root
Password: root
2.数据库里那点事儿
User table contains login credentials for various users who will control the botnet. Some of them can be botnet creators, or some can simply be the customers of the botnet, a.k.a black box users, who pay a sum of money to launch DDoS attacks. Besides credentials, duration limit such as for how much time the user can perform the DDoS, maximum available bots for attack (-1 means the entire botnet army of the bot master is available) and
cooldown time (time interval between the two attack commands) can also be observed.
既然门都没关我们就进去瞅了瞅。用户表里面是一帮控制这个僵尸网络的人的用户名和密码。有些应该是作者,还有一些是客户,也叫黑箱用户,就是交钱然后打流量。除了密码还有能用多久,用多少僵尸,如果是-1就是全军都能用,以及冷却时间,就是打过以后要休息多久的意思。
In the specific Owari case, we observe one user with duration limit of 3600 seconds with permissible bot usage set as -1(maximum). It is to be noted that the credentials of all these botnet users are also weak.
我们发现的这个Owari的例子里面,我们找到一个用户的时间是3600秒也就是一小时而且僵尸总量是-1,大客户啊。注意这里用户密码也是明文的,再鄙视一次。
User with duration limit of 3600 seconds with permissible bot usage set as -1(maximum)
In the history table, we can see DDoS attack carried out against various IPs. Few of these IPs were IoT botnet related which lead us to speculate that the attacker might have tried to attack his rival botnet operators.
在历史记录表里面,我们找到了历史攻击IP记录。好多IP地址都没啥关联,我们猜测是因为他们在打对手的僵尸网络,黑吃黑的意思。
History table
In the next table, whitelist which is supposed to have a “do not attack these IPs” information was empty, implying that the bot makes no discrimination, and attacks every device it can.
白名单表居然是空的,说明这个僵尸网络胃口很好逮谁打谁。
Whitelist table
This IP was not a standalone case with its database exposed via weak credentials. The MySQL database of another attack IP (80.211.45.89) was accessible with “root: root” credentials.
而且这个还不是孤例,另外一个IP(80.211.45.89)也是一样的root:root登录。
3.商业模式了解一下
With some of Owari variant code being leaked in dark forums, it is difficult to pinpoint the people involved in these specific attacks. However, to understand more about the working of this user database we decided to talk to one of the known Owari operators known as “Scarface” who had the following to say on the attack time, cooldown and the related prices charged for such users of Owaribotnet.
Owari的代码已经在暗网上面泄露了,所以很难找到原作者。不过我们还是找到了一位代号“疤脸”的僵尸网络操控者,让TA讲解一下攻击事件,冷却时间和Owari网络的使用价格。
“For 60$ / month, I usually offer around 600 seconds of boot time, which is low compared to what other people offer. However, it is the only way I can guarantee a stable bot count. I can’t allow having 10+ people doing concurrent attacks of 1800 seconds each. Usually there is no cooldown on my spots. If I decide to give the cooldown, it’s about 60 seconds or less. 60$/month is not much but when you get 10–15 costumers per month it is enough to cover most of my virtual expenses”
-Scarface
“一般我每个月收费是60美元,提供600秒的服务。这个价位跟同行比不算高的。不过只有这种方法我才能保证僵尸设备的数量。我不能让十来个用户每个人都跑1800秒。我一般不让设备冷却。如果要冷却时间,我一般会设置成最多60秒。一个用户每月60每月不算多,不过每月有10个到15个用户的话,我平时的网络费用就够用了”
-疤脸
4.善后
One can assume that once they have the write access to the MySQL database, they can disrupt botnet by deleting the content. Sadly, it’s not such simple in case of most IoT botnets as these CNC related IPs already have a very low shelf life (on an average, a week). Botnet operators are aware that their IPs will be flagged soon due to the bad network traffic. Hence to stay under the radar, they often voluntarily change attack IPs. Both the IPs mentioned in the blog are already offline. NewSky Security IoT Halo protects and remediates against the Owari botnet.
或许大家以为一旦拿到MySQL数据库的改写权限,就能删除数据来把僵尸网络给搞掉。可惜事情没有这么简单,因为僵尸网络控制服务器CnC的IP地址很快就会失效(平均有效期是一周)。僵尸网络的控制者知道自己的IP地址很快就会被标记为恶意,因为流量太差了。所以他们经常会主动的改变IP来躲开监控。我们文中提到的两个IP地址都已经下线了。青天科技IoT HALO可以帮助大家挡住Owari僵尸网络的进攻。
以上
本文作者:Ankit Anubhav, 青天科技高级研究员(NewSky Security)
特别鸣谢 Vesselin Bontchev 博士的帮助(@vessonsecurity)
翻译:李嵩 @美人她爹 青天科技首席技术官