骇客攻击模式探讨与木马程式进阶技术
摘要
近几年来随着网路宽频时代的来临,以及电子商务交易的兴起,网路安全也逐渐慢慢受到人们的重视,人们透过各种方式以更快更方便的技术连上网路,人与人之间的种种行为模式几乎都转变到网路上,带来的方便与快捷让你我的生活离不开网路。然而在此同时网路安全乃至于个人隐私的保密这个以往不受重视的一环也逐渐因为越来越多的两岸骇客攻防,或是情书病毒,乃至于木马程式的危害等渐渐受到人们的重视。
本文会介绍骇客攻击技术手法,以及下一代木马程式的会采取的技术,以及系统安全防护者防卫之道。此外也会描述木马程式是如何突穿防火墙的防御,并分析时下防火墙软体的缺失与特点。
关键字:骇客,木马程式,电子商务,防火墙,骇客攻击技术
第一节 前言
在以往人们通常会认为只要公司装设了防火墙,就不必太担心骇客的入侵,至于拨接上网的用户只不过是上网个一两个小时就下线,也不太在意网路安全的问题,然而这一切都因为宽频网路的来临而有所改变,以目前Cable modem越来越朝低价化的市场趋势乃至于中华电信提供ADSL的宽频服务的竞争,人们只会花越来越多的时间上网,同时在网路上有许多方便好用的骇客入侵的Tool免费供人下载使用,甚至附上操作说明,许多年轻的网路族在好奇的心理下往往会想尝试看看,不管是用拙劣的手法骗取他人执行含有特洛伊木马的程式,或是寄发邮件炸弹给他人,或是用个字典档案试图破解密码档以入侵他人主机以窥探秘密,我想类似的问题行为只会随着网路频宽的增加以及上网年龄的普及而会越来越多,相对的网路也会变成一个相当没有安全的保障,乃至于成为另一个杀人不流血的战场。
第二节 骇客攻击步骤
1.目标锁定,资源搜寻
要如何防止骇客的入侵就要从骇客的攻击手法以及骇客的心理开始研究起。首先骇客想要攻击一个目标,往往会先搜集目标公司或网域的相关资讯,其手法不外乎是上目标机构或组织的网站,或是透过搜寻引擎搜查相关的资讯,最后是透过许多的whois的资料库(例如:http://www.arin.net)来帮助达到目标决定与缩小范围的动作[1]。
在这里骇客比较在意的资讯包括组织坐落的地址,相关的公司或机构,网域名称,管理联络人,登记者,DNS Server的名称等等……凡是你认为不重要的资讯说不定都会提供给骇客们一个很重要的入侵线索。
2.扫描
当决定好目标之后,接下来骇客通常会进行扫描的动作,聪明的骇客也知道你有装设防火墙,在没有十全把握之前不会贸然的对目标主机进行扫描的动作,就算要扫描也会透过一个跳板主机来对目标主机进行扫描。由于大部分的主机或是防火墙都会接受外界主机Ping的request封包,因此骇客会用Ping的手法来看看你对Ping的回应,也会用Traceroute这个工具来观察在目标主机与自己之间有多少主机存在,哪些可能是防火墙,哪些是router,在依状况不同来拟定攻击手法。
3.windows资源列举
如果你的电脑是安装微软的windows系列的作业系统,那么这里提供的列举方式将会把你电脑里面的秘密开放出来让骇客参考。骇客可以对目标NT主机建立一个空连线[1],只要目标主机Port135~139有开启,那么就可以透过这个方式来得到目标的主机名称,网路卡编号,群组,帐号等资讯,如果进一步的猜出你的NT系统管理员密码,它更可以远端连上你的主机,拥有一切的权限,这对系统的危害相当的大。幸好在Windows2000里面只要将Port135~139关闭之后,骇客就不能透过这种方式对你主机加以攻击了。但是NT资源分享所带来的方便却是超乎其他作业系统所提供的,因此这种手法往往也能奏效。
在其他列举技术方面,骇客可以利用一些软体来对你开启的port作连线,观看你的作业系统对这些连线的回应讯息就可以知道你安装哪些服务程式[1],同时也可以知道你的网路芳邻资源分享档案名称,来进行密码的猜测攻击。
在Unix下骇客可以透过简单的指令像是finger或是last来观察使用者或是root的资讯[10],同时也可以透过SATAN这个强大的软体来勘查目标网路的系统安全漏洞,当然在unix下一切的所作所为都是以窃取/etc/shadow为目标,再进行密码的破解。
4.入侵系统
当一切都准备妥当之后,就是重头戏入侵的时刻了。在这里我不可能列出骇客所有的攻击手法,有些手法只能用一次,有些技巧是针对某些OS或是OS提供的service的漏洞,有些手法是透过低劣的社交手法来欺骗,骇客入侵系统的手法从充满高深软硬体技术到用低劣的欺骗手法都有,在这里我只提几个大项出来,而不涉及关键实作技术部分。
l 密码破解
传统的骇客是以破主机帐号密码为达成自我成就感的方式之一,现今风行的linux采用的DES演算法如果拿到加密后的密文早已可以使用字典档的方式用暴力方式加以破解[10],成功与否只是时间问题。至于NT上的密码档也可以用DumpACL以及pwdump等工具来破解SAM密码档[1],同时也有在网路上窃听SMB密码hash的软体出现,一再显示NT在密码保护上是多么的不堪一击。
l 特洛伊木马
攻击手法主要是骗取被害人执行特定的程式(不外乎是偷拐哄骗)来植入木马程式,再透过clinet端的程式来窃取对方主机的资源。但随着网路安全的意识逐渐增加,许多人也懂得开始不随意执行来历不明的程式,但是木马程式就此消失了吗?请看本文后面的深入介绍便能了解。
l 应用程式漏洞或系统服务漏洞
骇客可以利用你系统的应用程式的漏洞或是主机上提供服务的程式的漏洞来入侵你的系统,例如NT上的IIS Server或是IE浏览器[1],linux上的snmp等[10],只要你没有更新最新的patch程式,就可能成为别人的目标。许多远端遥控的程式像是PC-anywhere或是VNC等都存在着安全上的问题[1]。
l Sniffer(监听器)监听
监听器的出现来自于网管人员对于网路流量的管理监控需求,因此需要一套软体来记录LAN里面传递的封包资讯,流量等纪录。但被有心人士拿来当作窃取资讯的手法,目前解决的方法有很多种,像是安装SSH或是其他建立远端连线加密的服务便能够有效防止sniffer的危害[10],同时市面上也有许多防sniffer软体可以检查自己网路是否有人架设sniffer。
l DoS/DDoS攻击
这个攻击手法不外乎是利用TCP/IP协定当初设计的缺失[2],以及作业系统针对TCP/IP协定实际implement方式的不同来设计攻击方式[1][10],骇客会使用大量的封包或是特异畸形的封包来瘫痪目标主机上的服务,结果轻则使目标主机服务停止,重则让主机当机,而防止的手法大都是即时更新OS的patch以及随时注意新的DoS/DDoS的攻击新技术在搭配Router端对传入防火墙的封包作有系统的过滤便能对这类攻击加以抵挡,但针对DDoS的攻击则往往很难抵挡,事后也很难追查真正的攻击发起人。
l Buffer Overflow(缓冲区溢位)攻击
一个高明的骇客,往往不屑使用上面的手法,因为对真正的高手而言,什么木马程式或是sniffer乃至于DDoS手法都不能展现他对作业系统的了解与程式语言的天份,他会选择所谓的Buffer Overflow来实施攻击[9],因为这种攻击存在于任何一套软体甚至是作业系统中,也可能是你我写的程式或是你我天天在用的程式,最厉害的骇客可以精心设计出造成Buffer Overflow之后跳到他设计好的程式程序里面,此时如果这个程序有SETUID的程式将会使骇客拥有root的权限,他可以为所欲为而你却完全无法察觉。目前针对这方面攻击的预防不外乎就是程式设计时不光以功能为导向,还要注意系统安全的环节,而不是赶着交差了事的心设计程式,此外要善选安全的compiler,对会造成问题的函式尽量不要使用。
l 人为因素造成安全政策漏洞
再好的系统安全政策都离不开人的因素,高明的骇客很可能会因为系统管理者的一时疏忽而入侵系统,你我都有可能因为没有遵照安全政策对你的规范而成为骇客入侵的跳板。举个例子来说,有人在公司防火墙内架设拨接Server,直接替公司防火墙开了一个大后门,使骇客可以利用拨接的手法入侵系统,你也可能把系统密码取的很简单,让骇客用你的帐号入侵,这些种种都告诉我们世上绝对没有一个保证安全的系统,所有的系统安全都离不开人的因素,人为疏失所造成系统安全的漏洞是占骇客入侵成功最大的百分比。
5.消除痕迹
俗语说,凡走过必留下痕迹。高明的骇客懂得怎么消除他留下的痕迹,以便保留为下次再次侵入的机会。在NT下会记录许多系统安全的log档案,当骇客成功入侵系统后可以到纪录这些档案的位置来消除自己的纪录[1]。至于linux或unix也一样有许多demon纪录连线讯息甚至下过的指令,骇客只要消除相关的讯息就可以成功侵入而不留下痕迹[10],就算留下也只会留下无辜者的主机讯息来愚弄系统安全管理者。
以上步骤就是一个骇客入侵他人主机大致会经历的几个阶段,这些阶段每一步骤的操作都需要相当多的系统知识,以及对相关安全漏洞的深入了解,这也代表了水能载舟亦能覆舟,一个高明的骇客反过来说也能成为一流的系统安全管理者,所用的技术完全相同,但目标却相异。
下一代的木马程式技术探讨
网路上一有新的木马,大家就谈马色变,在这里我就对木马程式该有的功能以及未来木马程式的发展与破解木马方式做个介绍,我尽量不涉及开发木马程式需要的详细技术,尽量用影响面功能面来介绍。
一只完整的木马往往包含两个winsock程式,一个是Client一个是Server。Server端的功能主要是提供下面几项资讯以及服务给Client程式
1. 主机名称,记忆体大小,硬碟空间等系统资讯。
2. 对所有磁碟机下的档案目录有读,写、新增、删除的权利。
3. 下载上传档案
4. 取得键盘/滑鼠输入/移动讯息
5. 强迫关机
6. 取得目标主机萤幕画面
7. 开启/移除资源分享
8. 远端执行目标主机上的Process或AP
9. 执行跳板攻击,攻击其他主机或连线到其他主机
10. 双向聊天送讯息
然而木马背后还包含了许多技术,例如木马是如何做到让你察觉不出来呢?第一代的木马程式大都是恶作居多,也就是所谓的后门程式,让骇客可以规避正常的系统稽核程序直接进入到系统,此时的木马不以窃取资料为主而以开个后门方便入侵者进入系统为主。
后来的木马例如Netspy,NetBus,BO2K,Sub7等木马越作功能越强,体积也越来越小,占用的记忆体也很像一般的process,同时也会取个类似像是kernel32.exe的正经八百的名字让你就算想删除这个process也会犹豫三分,此外木马程式会复制本体执行档到系统目录或是特定目录下,并增加几笔register以增加下次开机存活机会。你如果没有把木马移除干净,下次开机照样执行,让你防不甚防。此外木马程式开启的port往往开后面的port(接近65536),因为系统要扫完全部的port要花很久的时间,好方便木马程式隐藏规避侦测。
有的木马会自动跟某些副档名产生关联(例如:.txt),一旦你开启某个文件档(.txt)就会在系统某个目录下自动产生木马本体,就算你删除了木马程序,木马程式只要你开启.txt木马就会再度产生,唯一的方式只有去修改关联档,但是如果修改不干净,你可能不知不觉又会在木马的控制之下。
新一代的木马client与server的连线彼此采取加密的措施,确保连线过程的资料不被窃取,此外有的木马不会开port让你察觉出来,本身透过其他方式跟其他主机沟通交换讯息,有的则是寄身在正常的port上面,平常只是监听,遇到特殊的封包则进行执行的动作。例如一个ICMP的木马,平常只是监听ICMP封包的内容,当出现约定好的封包格式之后,就会打开某个port等待连接,这种木马在平时是很难被发现的,只有当他跟client连线建立之后才和正常木马一般出现该有的特征。
至于木马的隐藏技术方面,在Win98/Me下木马可以轻易的隐藏在工作列中,但是在win2000下木马大都会出现在Process列里面,因为木马也是一般的Windows程式,任何在windows下的程式都必须向windows注册视窗类别,取得handle才能呼叫CreateWindow建立视窗,因此很难在程序列中消失。不过我们可以使用RegisterServiceProcess将程序设定成系统服务,乔装是一般的windows service 来让作业系统以为这个程序是系统的服务程序而不是一般的应用程式来看待。
未来的木马会隐藏在DLL档里面,他摆脱了传统木马开启port监听的技术,而采用改写DLL(动态连结函式库)或寄身驱动程序的方式,这样一来系统既没有产生新的文件,一切的服务也照常运作,更没有多的port开启,一旦木马的控制端像目标主机发出约定的讯息之后,木马自动启动开启port与远端连线,甚至自动驱动隐藏在DLL内的程序,事实上类似的木马会越来越多,将会对微软引以为傲的DLL技术带来新的冲击。
破解预防木马的技术
当你明白木马程式的执行原理以及存活的方法之后,针对一般的木马要移除或是侦测木马的连线就不是很难的事情了。以下列出几项破解木马所用的技术,并探讨可行性。
l scan port:诚如前面叙述的,一个Scan port的程式就可以将木马所占用的port找出来,但是对于像是不开port的木马,这种方式是无效的。
l 检查register注册表:大部分的木马都会把自己注册到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run这个位址,你只要到这里删除木马产生的register,重开机后木马就不会在开机后自动执行了。
l 查看主机连线:透过netstat –a 这个指令,你会看到主机所有的TCP/UDP的连线状态,看到某个port正在listen的状态你就可以怀疑这是不是一只合法的service还是木马。对于ICMP的木马,这种方式也是无效的。
l 安装防火墙软体:安装所谓的PC版防火墙软体可以档掉一些过气或是有名的已知木马连线入侵,这些防火墙软体(IDS)会侦测电脑开启的port,针对特定的连线比对资料库中的木马特征,自动帮你档掉许多木马的连线。但对透过未知技术开发的木马当然毫无防卫能力[11]。
l 安装扫毒程式:许多人电脑都有装防毒软体,这些防毒软体把木马程式也当作病毒看待,随时提供警示以帮助使用者过滤木马程式与一般程式。当然了,这种方式也只能抵挡一般的木马,针对变种的木马或是自行开发的木马是一点都起不了作用的。
l 检查档案的关联:
某些木马会跟特定文件做关联,当你发现档案的关联性发生异动时,可能是木马程式造成的也不一定。
l 检查具有SETUID的程式:
在unix系统下木马通常危害不像在windows下那么的大,能控制的范围也被限制在某个user的home目录下,但是如果root管理员执行了不慎执行一只木马程式,那危害的程度跟在windows下是一模一样的。以下列举一个我在Solaris下用script写的木马程式,骗取root管理员执行此程式之后(如何骗不在本文范围),一般的user 登录后将可以执行ksh这个shell来取得root的权限,其方法就是透过setuid的方式。
Ex:cat ls
/bin/cp /usr/bin/ksh ./ksh
/bin/chmod 4755 ./ksh
/bin/rm ./$0
/bin/$0 $*
结论
资讯安全的范围相当宽广,牵涉到的作业系统,版本,应用程式等相关技术不是三言两语说的完的,唯有靠大家时时保持警觉,以严谨的心态来遵守网管人员制定的安全政策,以积极的心来防御骇客的攻击,我想才是长远处理网路安全这方面问题的方法。
骇客的攻击是永远不会停止的,换个角度想,其实有了骇客这个系统才会变得更加安全,人们才会真正重视网路安全的危机感,将来才能架构出一个比较合理安全的防卫体系,这对负责维护网路安全的我们而言,不也是一件好事?
<参考文献>
[1]Joel Scambray, Stuart McClure, George Kurtz “HACKING EXPOSED second edition”
[2]W. Richard Stevens, “TCP/IP Illustrated Volumn1”
[3]
http://reptile.rug.ac.be/~co...sniffit.html[4]
http://www.it.kth.se/...sec.html[5]
http://www.cert.org...dex.htm[6]
http://www.ins....org/[7]
http://www.alw.nih.gov/Se...urity.html[8]
http://www.sunworld.com/sunworldon...urity-faq.html[9]
http://www.cert.org/advis...99-12.html[10]”Maximum Linux Security”
[11]
http://advice.networki...wnloads/
