0
累計賭資42億余元
非法獲利7億多!
扣押服務器55臺
抓獲犯罪嫌疑人23名
凍結涉案資金1.1億余元!
一般來說,一則黑產(chǎn)落網(wǎng)新聞吃瓜群眾看到的只是媒體們大寫加粗的震撼數(shù)字,殊不知,比起警察蜀黍坐了飛機、火車、汽車甚至馬車從大洋彼岸或者偏遠深山逮到搞黑產(chǎn)的馬仔這件事,他們更感興趣的是如何從賽博世界順著網(wǎng)線逮到這些人。
就好像宮斗劇有意思的不是誰都能猜到的大結局,而是撲朔迷離的過程。追捕疑犯也是如此,擺在那里的數(shù)字吸引力遠比不上中間的過程,越刺激越好。
但是,真相往往不盡如人意,你所期待的大片既視感可能不存在,存在的只有一臺電腦和一位白帽子。
白帽子 SkyMine 接到通知的時候正在打瞌睡,哦不,工作。掛了電話,SkyMine二話不說趕了過去。
有事,大事
某根正苗紅的網(wǎng)頁被篡改了,篡改內(nèi)容還十分不和諧(請自行想象,根正苗紅的宅宅不多做提示)。
到了現(xiàn)場 SkyMine 檢查后發(fā)現(xiàn)出事的服務器是臺虛擬機,操作系統(tǒng)是 Windows 2008 R2,網(wǎng)站使用了 phpstudy 集成環(huán)境進行部署。但是,Windows 事件日志服務并沒有啟用,更可能的是黑客大哥進來后順手關閉了。
系統(tǒng)日志是個啥呢?他記錄了系統(tǒng)中硬件、軟件和系統(tǒng)問題的信息,同時還可以監(jiān)視系統(tǒng)中發(fā)生的事件。用戶可以通過它來檢查錯誤發(fā)生的原因,或者尋找受到攻擊時攻擊者留下的痕跡。
SkyMine 轉念一想,這臺服務器既然承載著 Web 服務,而且硬件防火墻只對外映射80端口,是不是有可能是以Web攻擊作為入口的?可以一看。
但是,Nginx 的網(wǎng)站訪問日志也已經(jīng)遭到清除……雙擊666
不過幸運的是,網(wǎng)站訪問日志配置了流式異地備份,SkyMine 也就能在另一臺日志服務器上找到了完整且未失真的網(wǎng)站訪問日志副本。
不過,任憑SkyMine反反復復把事發(fā)時間前后的網(wǎng)站訪問日志分析了個遍,都沒有發(fā)現(xiàn)任何web攻擊的痕跡。
這就很奇怪了,這說明黑客并沒有直接用網(wǎng)頁木馬發(fā)送篡改頁面的指令。難道是通過NC之類的反向連接工具建立通道來進行控制的?
為了求證(打臉),SkyMine 通過調(diào)查開始時生成的虛擬機快照提取了內(nèi)存鏡像,為了有多個內(nèi)存樣本進行交叉分析,他又掏出“家伙”( 一款名為dumpit 的工具)提取了內(nèi)核級的內(nèi)存完整鏡像,其中包括物理內(nèi)存和頁面交換文件。
提取了這些內(nèi)存之后,SkyMine開始琢磨起來,如果黑客確實是通過反向連接通道來實施控制的,那肯定曾經(jīng)建立過一個異常的網(wǎng)絡連接,內(nèi)存中很可能會保留著這個信息。
所以SkyMine通過內(nèi)存分析框架對內(nèi)存樣本進行了網(wǎng)絡連接分析,但在事發(fā)時間并沒有可疑的網(wǎng)絡連接。
得了,線索到這里又斷了……
不過也不算一點收獲都沒有,SkyMine在提取了內(nèi)存的歷史進行信息時發(fā)現(xiàn),有一個很可疑的程序在事發(fā)時間正在運行,這個程序名為update.exe,看起來相當正經(jīng)。
但SkyMine留意到,這個進程足足運行了3天之久,誰家正常更新程序能更新三天?
從內(nèi)存中提取出該進程的物理路徑后,SkyMine找到了這個奇怪的程序,是位于C盤的一個很深的目錄里的,而且在同目錄下,SkyMine還發(fā)現(xiàn)了一個命名為 image.jpg 的篡改圖片。SkyMine對這個程序進行逆向分析后發(fā)現(xiàn)是個易語言程序(就是以中文作為程序代碼)。
再次對這個程序逆向分析后 SkyMine 發(fā)現(xiàn),黑客這次利用了一個相對較少見的攻擊方式——邏輯炸彈,程序代碼中有一個條件判斷,當前時間大于既定時間就會自動用該程序目錄下的 image.jpg 替換掉網(wǎng)站根目錄的 image.jpg,達到篡改的目的,在確認圖片已經(jīng)篡改成功后將自動退出程序。
這就等于一個自動定時炸彈,神不知鬼不覺就會爆炸。
找到了攻擊方式,接下來就要尋找妖精洞了。
當確定這個易語言程序就是黑客用來篡改網(wǎng)頁的關鍵代碼以后,SkyMine開始調(diào)查這個程序是如何被傳入服務器的。
因為這個web服務器只對外開放80端口,SkyMine猜測有很大可能是通過web應用漏洞來寫入這個程序的。通過查看這個程序的創(chuàng)建時間,他得到了程序的傳入時間點,這就可以進一步從網(wǎng)站訪問日志中尋找這個時間點的web訪問記錄。
比如 SkyMine 就發(fā)現(xiàn)了在網(wǎng)站訪問日志中有一些 POST 請求(菜刀連接特征),指向網(wǎng)站一個上傳目錄的 php 文件,而這個文件就是用于上傳篡改程序的木馬了。
當然,網(wǎng)站訪問日志記錄的來源IP是個美國的代理地址,不是真實地址。于是他接著調(diào)查起 webshell(黑客用于遠程控制的網(wǎng)頁木馬)是如何被上傳的。
在網(wǎng)站訪問日志中以木馬的文件名作為關鍵詞進行搜索,很輕松的就定位到了木馬的上傳位置,通過對這個 POST 請求的分析,可以確認這個 web 應用是存在任意代碼執(zhí)行漏洞的,黑客通過這個漏洞寫入了木馬。
有趣的是,SkyMine還發(fā)現(xiàn)了個某云服務商的IP地址,而這個IP經(jīng)查證發(fā)現(xiàn)正是攻擊者所持有。
SkyMine的事到這里結束了,他伸了伸懶腰,把技術分析報告提交給了執(zhí)法機關,至于案件的跟進就不是他這個白帽子的活兒了。
來,讓我們重新整理一遍攻擊者的騷操作。
黑客初次訪問網(wǎng)站
黑客開始嘗試進行滲透
黑客發(fā)現(xiàn)網(wǎng)站存在任意代碼執(zhí)行漏洞
黑客利用任意代碼執(zhí)行漏洞寫入webshell
黑客webshell上傳篡改程序
篡改程序自動執(zhí)行網(wǎng)頁篡改
安全專家(SkyMine本人)到場取證分析
取證分析結束提交報告
整個取證分析過程用時三個多小時,更像一場燒腦游戲。SkyMine也感嘆,若不是黑客不小心留下了破綻,他也不可能那么快就完成工作。
SkyMine本名伍智波,是中國網(wǎng)安·廣州三零衛(wèi)士的安全專家,日常工作就是搬磚和處理廣州市政務網(wǎng)的黑客入侵事件。
【SkyMine本人】
處理的事件也是各有不同,假如發(fā)生了網(wǎng)頁篡改,就一步步進行溯源;如果受到了APT攻擊,就需要根據(jù)每個APT組織的常用手法,結合威脅情報提供的攻擊來源信息以及病毒樣本進行識別;如果是數(shù)據(jù)泄露問題,可以通過數(shù)據(jù)庫審計還原竊取過程。用SkyMine的話說,就是花式還原攻擊鏈。
這些情景用到的取證手法都是一樣的嗎?當然不是。
據(jù)SkyMine說,針對Windows三大內(nèi)存管理機制的取證手法有八種:
基于用戶模式程序的內(nèi)存獲取
基于內(nèi)核模式程序的內(nèi)存獲取
基于系統(tǒng)崩潰轉儲的內(nèi)存獲取
基于操作系統(tǒng)注入的內(nèi)存獲取
基于系統(tǒng)休眠文件的內(nèi)存獲取
基于系統(tǒng)冷啟動的內(nèi)存獲取
基于虛擬化快照的內(nèi)存獲取
基于硬件的內(nèi)存獲取
但由于時間緊迫,根本不可能將八種手法一一試過,一般常用的就是三種:基于內(nèi)核模式程序,系統(tǒng)崩潰轉儲和虛擬化快照內(nèi)存提取方式。
發(fā)生了一起搶劫案,如何能快速找到作案者?SkyMine他們要做的就是通過觀察搶劫犯的行為判斷是否是慣犯,是否有案底,進一步查看嫌疑人是否有蹲點,蹲了多久。但如果疑犯作案是臨時起意呢?這種反常行為就很難尋找線索,更何況去反向臨摹用戶畫像。
“所以上面的案例用時三個小時還算快,如果沒有攻擊者的失誤恐怕想要追蹤到他們更慢甚至最后追蹤不到。網(wǎng)絡本身具有匿名性,一個代理跳到國外后就可能什么線索都斷了。”
實施完美的網(wǎng)絡犯罪是有可能的,進行完美的網(wǎng)絡追捕也是有可能的,但最終結果如何,誰也不能肯定。
總之就是難難難。
不過SkyMine還挺喜歡做的,在他看來這種有挑戰(zhàn)又炫技的操作很適合他“平淡”的生活。這可能就是每個白帽子都有的黑客情懷吧。
忘記說,雷鋒網(wǎng)編輯是在上周末由知道創(chuàng)宇舉辦的KCon大會上聽到這個演講,以及見到的小伍哥,感興趣的可以點這里內(nèi)存取證,智能家居被劫持,短網(wǎng)址攻擊,這屆 KCon 都“搞”了什么?
雷鋒網(wǎng)宅客頻道(微信公眾號:letshome)專注先鋒科技,講述黑客背后故事,歡迎關注雷鋒網(wǎng)宅客頻道。
雷峰網(wǎng)原創(chuàng)文章,未經(jīng)授權禁止轉載。詳情見轉載須知。
