来源:BuyBit
发布方:XBITRUST & Paiclub Capital
作者:苏文杰
黑客盗取比特币的活动屡见宣布,这不只使得个人和机构资产涌现巨额丢失,而且个中的交易所被盗事宜还会对市场行情产生影响,引发价格颠簸。在这样的形势下,资产安全防护已成为个人和机构考虑的紧张问题。
因此,对付普通用户而言,理解一些黑客根本技能或许是有一定意义的。本文对网站渗透、木马、宏病毒和DDoS攻击进行了干系的浅近的先容,为了更形象地解释问题,编写了较为大略的程序并利用一些工具对自有网站和主机进行了攻击实践。
一、网站渗透[1]- [3]
(一)网站渗透——Web运用威胁剖析
Web运用程序的体系构架一样平常被分为上、中、下三个层次,个中上层是与业 务干系的运用程序,中间层是通用组件及Web做事器干系的做事如数据库做事, 底层为操作系统。若个中任何一层涌现安全问题或存在安全隐患都会导致全体 Web运用受到安全威胁。
由于现阶段创造和公布安全漏洞的实时性,时时时会有不法分子利用公开的漏洞对各个层次的做事进行攻击,如(1)对底层——利用操作系统漏洞对底层的操作系统进行远程攻击;(2)对中间层——利用运行在Web做事器上的脚本程序(asp、jsp、php等)的漏洞、Web做事器漏洞、数据库做事器漏洞对中间层进行攻击;(3)对上层——利用SQL注入漏洞、XSS漏洞等对网页程序进行攻击。
另一方面,纵然Web运用支配了防护设备并采纳了一定的防护手段,安全威胁一样可能随时产生,究其缘故原由是由于防火墙或IDS无法实时进行阻断攻击,且受配置参数影响检测精度有限,仅起到亡羊补牢的浸染,因此,Web运用程序自身存在漏洞、程序关键参数配置不当及短缺安全防护手段等安全隐患是导致Web运用程序安全事宜频发的紧张缘故原由。
Web运用受到威胁还有一部分缘故原由可归结为以下几点:一是有的网站培植人 员在建站过程中利用了自身存在安全漏洞的建站模块对网站进行架设;二是在自主开拓Web运用程序时,编程职员安全意识不高,未对用户的输入数据进行处理,导致数据过滤不严;三是短缺专业技能职员对Web运用程序进行管理,导致Web运用程序自身参数配置不当;四是Web运用管理职员技能水平不高或者未能履行自身职责,未能对运用程序进行定期安全加固及安全检讨;五是没有一个高效的Web运用安全戒备策略给管理员进行参考。
现在很多的企业给自己的网络运用了入侵检测系统、网络防火墙、VPN、网络防病毒系统等,但每每不能实现有效的安全。虽然我们运用了诸多的安全设备,但是Web做事还是要对外开放的,也便是说80、443端口须要开放——80及443是HTTP及HTTPS做事的端口。由于防火墙一样平常不会对经由80端口的数据包进行拦截,以是从研究攻击路径的角度出发,黑客会选择从HTTP等协议端口进行入侵,扫描Web运用程序和做事器等漏洞,发动网络攻击。
(二)紧张的几种网站漏洞
根据天下有名的Web安全与数据库安全研究组织OWASP供应的报告,目前对 Web业务系统,威胁最严重的两种攻击办法是SQL注入攻击(SQL Injection)和跨站脚本攻击(XSS)。
攻击者在SQL注入成功后,可能会拥有全体系统的最高权限,可以修正页面和数据,在网页中添加恶意代码,还可以通过查看数据库来得到所有关键数据信息,危害极大。跨站脚本攻击是向Web系统提反目意脚本,当访问者浏览受到攻击的网页时,会导致恶意脚本被实行,从而透露用户密码等敏感信息。如果访问者是管理员,则Web系统的管理员权限将有可能透露,使得攻击者可以提升权限,乃至掌握全体网站,其威胁程度更大,威胁波及面更广,同时攻击过程也更加繁芜多变。
下面我们先对以上两种漏洞进行先容,然后再先容上传漏洞和旁注漏洞:
1、SQL注入漏洞
这种漏洞对网站最具威胁性,一旦攻击成功将能得到网站后台数据库中的所有数据,在这些数据中很有可能包括网站管理员的用户名以及密码,据此进而可能进一步掌握全体网站做事器。
该漏洞的成因紧张是由于网页编程职员在编写动态脚本页面的时候没有对用户输入的数据进行合法性的判断以及必要的过滤,把用户输入的数据底本来本的提交到后台数据库,并且后台数据库在查询时仅仅是利用预存的SQL查询语句与用户提交的语句进行拼接。那么当该页面须要进行数据库查询时,攻击者可以在提交给数据库的命令中添加自己的数据库查询语句,而这时由于页面没有对付用户的输入进行判断过滤,使得这些数据将会被提交到数据库中实行,并返回相应的数据给代码提交者。这样攻击者便能通过一次次的数据库查询得到全体数据库中的所有数据。通过这种方法不仅能得到攻击者想要得知的数据库数据,还能达到绕过登录验证、实行系统命令和上传监控软件的目的。
SQL注入攻击时提交的输入信息所形成的交互信息与一次正常的页面访问是相同的,不同之处是提交的页面参数是攻击者精心准备并能达到某种目的的数据库查询或者其他一些数据库命令,以是常见的网络防火墙以及防病毒软件等都不会对SQL注入发出警报。如果网站管理员没有定期地查看网站日志信息或者故意识地检索近期上传文件列表的话,可能网站被入侵良久都不会有所察觉。
其余,SQL注入的方法是相称灵巧的。在实际进行SQL注入评估时会碰到很多不同的情形(有些网站可能对用户的输入数据进行了过滤,但又过滤得不完全,或者可以利用Cookie注入,利用Cookie信息进行查询字符的拼接),因此在实际检测时须要根据当时的详细情形进行剖析,布局得当的SQL语句,从而达到成功获取数据的效果(对付有输入过滤的页面,须要根据不同的情形变换输入数据)。
2、跨站脚本漏洞
跨站脚本漏洞是指恶意用户在网站上的某些可以留言或者其他一些网页上添加精心布局过的HTML脚本代码,并且网站做事器会解析实行这些脚本代码。那么在其他用户访问该页面的时候,嵌入的脚本代码就会被解析实行,从而实现这些经由精心布局的脚本的功能。
跨站脚本漏洞的攻击是属于被动式的攻击,无论嵌入的脚本是在网站的网页中还是在邮件中,都须要用户进行了访问或者点击才能达到预定的效果,这与上文提到的SQL注入攻击的主动办法有较大的差异。
3、上传漏洞
可以上传文件并且该文件上传之后可以到指定网站虚拟目录中进行访问的网站或者论坛上可能会存在上传漏洞。利用上传漏洞可以向网站上传Web shell(Web shell为能达到暗藏掌握效果的网页后门程序,常日有实行cmd命令、查看磁盘文件信息、掌握系统等功能)。一旦有Web shell上传到网站上,那么该网站将可能会被永劫光地侵入,使网站上的信息以及用户的数据变得不再安全,并且也可能会威胁到同在一个虚拟主机上的其他网站做事器。
上传漏洞形成的事理为:在文件上传时可以变动添加文件类型或者通过/0截断字符串的办法把原来上传的文件类型改为Web shell的文件类型。通过以上的类似方法来绕过类型验证程序达到上传指定文件的目的。
针对付该漏洞的渗透便是在确定能上传的根本上,上传能进一步网络信息和检测的Web shell网页后门。若上传文件大小受限,则还需先上传小型的一句话Web shell或者其他小型Web shell。
4、旁注漏洞
当网站本身不存在漏洞时,若网站做事器运行的虚拟主机上其他的网站存在漏洞,那么也有可能导致该不存在漏洞的网站遭到攻击,这便是旁注漏洞攻击。
旁注漏洞事理是,通过查询同一IP地址上(也便是同一虚拟主机)的其他域名,查看做事器上是否存在可以被利用的漏洞。通过入侵有漏洞的网站,进一步入侵虚拟主机,末了使没有漏洞的网站遭到入侵。
评估网站旁注漏洞的紧张事理是,利用whois技能查看同一虚拟主机上是否存在多个网站做事器,如果存在则可能存在旁注漏洞。
(三)Web渗透测试
渗透测试并没有一个标准的定义。国外一些安全组织达成共识的通用说法是,渗透测试是通过仿照恶意黑客的攻击方法,来评估计算机网络系统安全性的一种评估方法。
利用渗透测试技能进行系统安全评估与常用的评估手段有所不同。比较较而言,常日的安全评估方法对被测试系统的评估更具有全面性结果,而渗透测试则更看重安全漏洞的危害性及严重性。在进行渗透测试时,渗透测试职员会站在恶意攻击者的角度,仿照恶意攻击者的思维及利用漏洞创造技能和攻击手腕,创造被测试系统中潜在安全隐患及薄弱环节,从而对被测试系统做的一次深入性的安全检测事情。在进行测试过程中,测试职员会采取包括目录猜解、口令预测、密码破解、端口扫描、漏洞扫描等技能手段,通过不同路子来对被测试网络的各个环节进行安全性检测。
(四)Web渗透测试的基本步骤
1、信息网络
对目标网络进行侦查之前,首先要网络汇总各种与目标系统有关的信息,形成对目标网络必要的轮廓认识,并为履行攻击做好准备。
信息的网络可以通过这几种办法进行:DNS域名做事,Finger做事,Whois 做事,Nslookup,Ping与Path Ping,Tracert等信息查询。
2、扫描
通过信息网络节制了目标网络的外部特色信息之后,可以对目标网络进行有针对性的扫描,扫描的终极结果决定了能否对目标网络进行攻击,任何扫描得到的漏洞信息,都可能成为打破网络的切入点。
当然扫描得到的结果不一定便是可以直策应用的系统漏洞。从利用办法来说,可以将信息分为两类:一类是安全敏感信息,这包括第一阶段网络到的信息,以及扫描阶段得到的关于端口开放以及操作系统类型信息,这些信息虽然不能直接用于对目标网络的渗透与攻击,但有助于全面理解目标网络的信息;另一类便是安全漏洞信息,这类安全漏洞可能是系统配置上的轻忽造成的(例如没有及时打补丁),也可能是操作系统或运用程序自身的毛病,结果是都可能导致利用漏洞打破并掌握目标网络。
探测类扫描的常用手段有:端口扫描、操作系统探测、运用做事探测、路由器探测、防火墙探测等。
漏洞发掘类扫描紧张有:Web、CGI安全漏洞扫描,Windows、Unix、Linux操作系统漏洞扫描,SNMP漏洞扫描、SQL Server等数据库做事漏洞扫描,路由器、防火墙漏洞扫描。
扫描过程实际上已经与目标主机或网络发生物理链接,可以看作是程度较轻的攻击行为。扫描结果决定了攻击者的下一步辇儿为。
3、攻击
通过信息网络和扫描阶段得到干系线索往后,经由剖析和方案,下一步就可以采纳各种手段以实现直接的攻击目的。
从黑客攻击的目的来看,可以分为两种,一种是给目标甚至命打击,使目标系统受损,乃至瘫痪;另一种攻击则更加常见,其目的在于获取直接的利益,比如下载到目标系统的机密信息,或者是得到目标系统的最高掌握权,在此过程中,攻击者无意对目标系统的正常能力进行毁坏,他可能更希望非常暗藏地实现自己的目的。
4、植入后门
在一次成功的攻击之后,为了往后的再次进入和掌握目标主机,一样平常要放置一些后门程序。由于网络主机系统常常升级,一些原来被利用打破系统的漏洞在系统升级往后就可能被修补,而后门程序就可以不依赖于原来用于打破的漏洞,保持长期稳定的掌握能力。后门可能是一个隐蔽的管理员账号、一个具有超级权限的做事进程,有时乃至是一个故意置入的系统漏洞。好的后门程序在担保最高的系统权限的同时,必须不易被目标用户察觉。许多木马程序、远程掌握程序都可以作为后门程序植入,最新的一些后门采纳可卸载内核模块(LKM)的办法,动态地修正系统内核,一样平常情形下无法检测出来。功能强大的后门程序,可以利用被控主机运行扫描、嗅探等技能打破全体网络。
5、肃清痕迹
作为一次完全的Web攻击,黑客在取得须要的战果往后,就要打扫沙场了,也便是肃清痕迹。在信息网络、扫描、攻击阶段,纵然采纳了许多防护方法,也会留下直接或间接的攻击痕迹。攻击痕迹可能会在目标主机的管理员进行例行检讨时暴露出来,进一步的安全检讨则可能导致攻击行为的完备暴露,乃至创造植入的后门程序;攻击痕迹也可能使富有履历的安全调试员反向跟踪到真正的攻击源头,同时,攻击痕迹是攻击技能和手段的直接反响。
肃清痕迹是一项细心的事情,系统的审计日志、Web的访问记录、防火墙的监控日志、攻击留下的残余线索都必须负责清理。对付一些必须留下的后门程序,须要采纳进程掩蔽、文件隐蔽、核心文件更换、程序加密等多种手段避免被创造。
末了,作为Web 渗透测试职员在进行上述测试内容的根本上,还要为被评测单位出具风险评估报告,从而形成一次完全的渗透测试做事。
须要把稳的是,真实的网站中有许多可能存在漏洞而被黑客攻陷,从而导致网站被挂马和植入病毒等恶意操作,这使得我们在进行Web渗透测试时可能会中病毒,故可以考虑安装虚拟机,在虚拟机环境中进行安全测试,从而减少本地打算机受危害的几率。
(五)网站渗透实践
1、密码破解攻击实践
如果我们知道某自有测试网站中某用户的ID,可以考试测验进行密码破解攻击。安装Python的sqlmap模块,将个中的wordlist.tx_文件解压后得到wordlist.txt文件,该文件中包含超过120万个密码。编写程序,以便从该文件中逐个读取密码,反复考试测验登录,直到得到精确的密码:
2、Web shell攻击实践
在获知用户ID和密码的情形下有多种办法可以得到完全或不完全的Cookie(包括手动登录网站,找到完全Cookie进行复制),而采取Python的Selenium模块一样平常可以得到完全的Cookie,以便程序登录我们的某自有网站。Selenium模块是一个用于Web运用程序测试的工具,它直接运行在浏览器中,就像真的用户在操作一样。在得到了完全的Cookie后,利用程序来进行各种操作就很便捷了。
编写一个大略的盗取Web做事器的多种环境信息的文件webshell.html,考试测验利用程序或手动将其上传至某自有测试网站,这可借助该网站登录后可上传如头像之类的功能来实现。对付头像,由于按网站限定每每只能上传图像格式,因此先把待传文件的扩展名进行修正,例如改为webshell.jpg。
利用Fiddler可在一定程度上绕开网站对图像上传格式的限定。Fiddler是一个免费的Web调试代理工具,它记录打算机和因特网之间的所有HTTP(S)流量,可以检讨通讯,设置断点和处理要求/相应。我们利用Fiddler设置断点,选择在要求之前截断要求,然后在网站中选择“伪装的头像”webshell.jpg上传。在拦截的Request信息中,Fiddler供应了方便的查看办法,个中包括Cookies、Raw、WebForms等。我们可将webshell.jpg改回webshell.html,然后连续相应要求。这样便成功上传了webshell.html文件。
图2展示了Fiddler在本次操作的部分界面。本次操作绕过了客户端验证。而在网站加强安全戒备,例如添加了包括做事器端验证等安全方法之后,对付此类攻击行为和疑似的攻击要求将被自动拦截。
二、木马[4]- [7]
木马全称为特洛伊木马程序,它与病毒的差异在于木马不把自己的代码拷贝到宿主文件或勾引区中,而是将自己伪装成其它程序,病毒的特点却是把自身变成其它程序的一部分,因此它们的传播办法是不同的。
病毒紧张分外性是能自我复制,具有传染性和毁坏性;木马的分外性是木马攻击者能够对木马履行掌握,具有可控性。病毒的传染是没有可控性的传染,纵然是病毒体例者也可能无法对其进行掌握,它以自我复制的办法进行繁殖和传染文件;而木马并不刻意地去传染其他文件,其紧张浸染是向掌握端打开目标系统的门户,使掌握端能远程操控目标系统。
木马在植入目标系统后能够接管掌握真个指令、完成掌握端交给的任务。随着技能的发展领悟,木马制造者借助病毒的传染技能,进行木马植入,使木马的危害更加严重。
(一)木马的暗藏办法
1、集成到程序中
在被用户创造后,木马为了达到难以被删除的目的,常常把自身集成到程序里,即木马被激活后,木马文件被捆绑到某一个运用程序中。在这种情形下,即便它被删除了,但只要运行了那个运用程序,它又会被安装上去。
2、隐蔽在配置文件中
打算机中一样平常利用的是图形化界面,这使得我们随意马虎忽略那些不太主要的配置文件。木马会利用这些配置文件的一些分外浸染使得自身可以在打算机中运行,不过这种隐蔽办法不是很高明,被创造的概率较大。
3、潜伏在Win.ini中
这样便可安全地在系统启动时自动运行。
4、伪装在普通文件中
这种木马目前比较盛行,用户若对Windows不熟习会很随意马虎被欺骗。例如将可实行文件装扮成合法的图片或者文本文件。
5、内置到注册表中
把木马内置到繁芜的注册表中是更加不易被创造的办法。
6、在System.ini中藏身
把木马隐蔽在Windows安装目录下的System.ini文件,这也是一种比较暗藏的地方。
7、隐形于启动组中
这使得木马在启动组中能自动加载运行。
8、捆绑在启动文件中
这里的启动文件指的是运用程序的启动配置文件,掌握端利用这些文件能够启动的特点,将带有木马启动命令的同名文件对其进行覆盖,这样启动木马的目的就实现了。
9、设置在超级链接中
用户点击网页上的恶意链接就有可能传染木马。
目前涌现了驱动程序及动态链接库技能,这使得木马变得更加暗藏。这种技能摆脱了原有的木马监听端口模式,改为了去改写驱动程序或动态链接库。这样造成的结果是没有新的文件涌如今系统中(故不能用扫描的方法查杀)、不用去打开新的端口(以是不能用端口监视的方法查杀)、也没有涌现新的进程(因此不能够用进程查看去检测它,同样也不能够用杀进程的方法停滞其运行),而且这类木马在平时运行时没有任何的症状,木马程序在木马的掌握端向被掌握端发出特定信息后才开始运行。
(二)木马的通信事理
木马被安装在做事端后,当掌握端、做事端都在线的时候,掌握端就能够用木马端口与做事端建立连接了。
木马通信的方法很多,最常见是用TCP或者UDP协议,这种方法的暗藏性比较差,随意马虎被监测到,例如用netstat命令就可以查看到当前活动的TCP、UDP连接。
除此之外也可以采取其他方法,个中一种便是把木马的通信连接与通用端口进行绑定,这样的话木马就可以用这些端口来传送信息。例如,木马把做事真个信息转化成普通的电子邮件形式发送到指定的地方,或者利用FTP协议把在做事端得到的信息传送到指定的FTP主机上(后者随意马虎被创造)。还有一种相对来说比较安全的办法是利用HTTP协议来传送信息,此时防火墙一样平常难以判断这些信息是属于正常的通信信息还是木马要传送的信息。
以上所有的办法都有一个共同的毛病,即木马必须要打开一个和外部联系的端口才能够发送数据。对此,有一种改进办法是用ICMP协议来进行数据通信——ICMP报文由系统内核或进程来直接处理,无需通过端口。
现将木马的通信事理详细先容如下:
1、TCP/IP木马通信事理
假设A机为掌握端,B机为做事端,A机如果知道了B机的做事端端口与IP地址就可以与之建立连接。由于做事端端口是事先设定的,为已知项,以是最主要的是得到B机的IP地址。得到该IP地址的方法紧张有两种:信息反馈和IP扫描。
所谓信息反馈是指木马成功安装后会网络一些做事真个软硬件信息,并通过E-MAIL,IRC或ICQ的办法奉告掌握端用户,从而得到做事真个IP等信息。
对付IP扫描技能,由于B机在被木马程序侵入后,其某端口(例如7626端口)显示为开放的,故A机只要扫描IP地址段中7626端口开放的主机即可。例如B机的地址是202.102.45.53,当A机扫描到这个IP时创造它的7626端口是开放的,则此IP会被添加到列表中,此时A机就能够通过木马的掌握端程序向B机发出连接旗子暗记,B机里的木马程序收到旗子暗记后立即做出相应,当A机收到相应的旗子暗记后,开启一个随机端口(例如1031端口)与B机的木马端口7626建立连接,这使得一个木马连接被成功建立起来了。而如果用户每次上网的IP地址不同——它的变动是在一定的范围以内的,例如B机的IP是202.102.45.53,则B机上网IP的变动范围是在202.102.000.000~202.102.255.255,因此掌握端只需按照这个方法进行搜索。
值得一提的要扫描全体地址段显然费时费力,一样平常来说掌握端都是先通过信息反馈得到做事真个地址。
2、ICMP木马通信事理
ICMP木马技能便是为相识脱端口的束缚而涌现的。ICMP报文由系统内核或进程直接处理而不通过端口,如果木马将自己伪装成一个Ping进程,系统就会将ICMP-ECHOREPLY(Ping的回应包)的监听、处理权交给木马进程,一旦事先约定好的ICMP-ECHOREPLY包涌现(这样的包经由修正ICMP包头,加入了木马的掌握字段),木马就会接管、剖析并从报文中解析出命令和数据。防火墙一样平常不会对ICMP-ECHOREPLY报文进行过滤,由于过滤ICMP-ECHOREPLY报文就意味着主机无法对外进行Ping等路由诊断操作。
3、反向连接技能
从实质上来说,反向连接和正向连接的差异并不大。
在正向连接的情形下,做事器端也便是被掌握端,在编程实现的时候是采取做事器真个编程方法,而掌握端在编程实现的时候是采取客户真个编程方法。
当采取反向连接技能编程时,实际上便是将做事器端变成了采取客户真个编程方法,而将掌握端变成了采取做事器真个编程方法。防火墙一样平常会对付连入的链接进行严格的过滤,而对付连出的链接疏于戒备,于是,与一样平常的木马相反,反弹端口型木马采取反向连接技能的编程方法将做事器端(被掌握端)利用主动端口,客户端(掌握端)利用被动端口。被植入反弹木马做事器真个打算机定时监测掌握真个存在,创造掌握端上线立即弹出端口主动连接掌握端打开的端口。这种连接模式还能打破内网与外部建立连接。
4、端口复用技能
在winsock的实现中,对付做事器的绑定是可以多重绑定的,在确定多重绑定利用谁的时候,根据的原则是谁的指定最明确则将包递交给谁,而且没有权限之分,便是说低级权限的用户是可以重绑定在高等权限如做事启动的端口上的。
(1)一个木马绑定到一个己经合法存在的端口上进行端口隐蔽,它通过自己特定的包格式判断是不是自己的包,如果是,就自己处理,如果不是,则通过127.0.0.1的地址交给真正的做事器运用进行处理。
(2)一个木马可以在低权限用户上绑定高权限的做事运用的端口,进行该处理信息的嗅探,本来在一个主机上监听一个socket的通信须要具备非常高的权限哀求,但实在利用socket重绑定,可监听这种具备socket编程漏洞的通信,而无须采取挂接,钩子或低层的驱动技能(这些都须要具备管理员权限才能达到)。
目前新的木马理论层出不穷,基于木马的事理剖析也在不断加深,新木马和变种每天都有涌现。例如,现在木马技能和病毒的发展相互借鉴,也使得木马具有了更好的传播性,病毒具有了远程掌握能力,这使得木马程序和病毒的差异日益模糊,我们在研究木马理论和实践上还任重道远。
(三)木马攻击实践
Bitcoin Core钱包的关键文件是wallet.dat,若该文件被盗且知道其对应的钱包密码,就能盗取里面的比特币。为了形象地展示完成这一目标的流程,我们编写了一个大略的木马程序来进行解释。
对某台安装了Bitcoin Core钱包的自有做事器进行攻击,在个中植入木马。须要把稳的是,如果掌握端和做事端涉及到了内网,则编程中还须要做内网穿透的干系处理。运行掌握端程序,按照预设提示依次实行干系步骤如下图所示:
这里的口令是为了防止其他黑客连接上我们的木马而设置的大略樊篱,我们接着往下实行程序:
以上程序还可进一步做成图形化界面。由上图可知,我们获取了wallet.dat文件在目标中的路径并将其拷贝到了自己的主机中。随后可利用木马键盘记录和截图的功能来获取钱包密码,这样就成功完成了一次盗取比特币的木马攻击。
三、宏病毒
(一)宏病毒简介[8]-[9]
宏是多少个单独命令的组合,能够完成某项特定的任务。这是软件设计者为了避免几次再三地重复相同的动作而设计出来的一种工具,它利用宏措辞——VBA措辞把常用的动作写成宏,利用宏自动运行来完成任务。微软在Office系列软件中开拓了对宏的支持,在方便用户的同时,也给攻击者带来了较大的便利,使Office系列文档变成了宏病毒攻击的最大目标。
宏病毒常日会寄存在办公函档或模板之中,一旦带有宏病毒的文档被打开, 就会触发宏病毒,将自身复制到打算机上,并勾留在文档模板上。至此,该电脑上自动保存的文档会被传染,当用户在其他电脑上打开了这些被传染的文档后, 宏病毒又会将自身转移到他的打算机上。
以Word宏病毒为例,Word宏病毒一样平常都首先隐蔽在一个指定的Word文档中,一旦打开了这个Word文档,宏病毒就被实行,它要做的第一件事便是将自己拷贝到全局宏的区域,使得所有打开的文档都可以利用这个宏;当Word退出的时候,全局宏将被储存在某个全局的模板文档(.dot文件)中,这个文件的名字常日是“Normal.dot”,即Normal模板;如果全局宏模板被传染,则Word再启动时将自动载入宏病毒并自动实行。
在一样平常情形下,我们可通过将Office文档中宏的安全性设置调高以便不运行宏来避免传染风险,但部分行业必须利用宏,这使得宏的传染风险依然存在。此外,黑客还可能会提示用户“某文档由较高版本的Office所创建,为了显示内容,必须启用宏”或“某文档受到保护,为了显示图片须启用宏”等来欺骗用户开启宏,从而达到传染用户电脑的目的。
宏病毒的特色包括传播迅速、制作变种方便、毁坏力大和多平台交叉传染。以毁坏力大为例,宏病毒能够得到很多系统级底层调用的权限,如调用Windows API、DLL及DOS系统命令等。这些底层接口均可能对系统造成巨大威胁,而Office运用程序在指令安全性和完全性上的检测能力较弱,使得毁坏系统的指令很随意马虎就能够得到实行,从而对系统本身直接产生危害。
(二)宏病毒攻击实践
我们利用渗透测试框架Metasploit Framework来制作宏病毒,实现木马功能,在内网中进行渗透测试。与自主编写代码比较,在此工具下宏病毒的制作变得十分便捷。
在监听端,以制作电子表格Excel的宏病毒为例,在Metasploit Framework中,我们只需一句代码即可自动天生所有必要的VBA代码:
如上图所示,这些VBA代码在天生的new.vba文件之中。将这些代码复制到电子表格的Visual Basic编辑器中,并将宏名称取为“Auto_Open”,以便启动电子表格时自动运行。这样,此电子表格的宏只要被运行就将传染目标电脑。其余,还可以在此宏中添加一些其他代码以实现特定的任务,例如创建一个操持任务,每隔固定时间实行一次(非必要),并添加一个提示框。随后,我们将该电子表格进行传播。
在目标电脑真个测试中,若用户点击了此电子表格,该提示框便提示木马已成功运行或暗示用户已被传染(实际利用中不加此项):
此时,在监听真个Metasploit Framework下实行msfconsole后,创造已连接上目标电脑:
随后,我们便可连续在监听端录入大略的指令,在监听端实现将其对目标电脑的权限提升至系统权限、列出目标电脑的系统进程、截获音频、截屏、摄像头拍照和拍视频、记录键盘击键过程、开启远程桌面等功能。
四、针对Web做事器的DDoS攻击
DDoS攻击彷佛与直接盗取比特币的关系不大,但其在数字货币领域会偶尔涌现,故值得进行简要的阐述。2020年3月13日,BitMEX交易所就分别在北京韶光10:16和20:56遭受了两次DDoS攻击。
(一)针对Web做事器的DDoS攻击简介[10]- [11]
DDoS攻击是指攻击者采取分布式攻击平台对一个或多个制订目标进行谢绝做事攻击,致使受到攻击的Web做事器或者网络无可用资源供应做事。
黑客们为了建立僵尸网络常日利用网络木马和网络蠕虫两种方法,网络木马通过恶意捆绑或程序漏洞等进行扩散,网络蠕虫通过系统漏洞、敲诈等办法传播。当打算机传染僵尸程序后,便在主控端和被传染打算机之间建立一个可一对多掌握的网络——僵尸网络,僵尸网络的拥有者便可远程掌握网络内的所有主机对目标做事器或目标主灵活员运用层DDoS攻击。
为了达到既定的攻击侵害,僵尸网络建成之后,攻击者需对攻击目标进行探测,确定目标开放的做事和站点,即决定利用何种攻击流量。对付Web做事器的DDoS攻击每每须要探测更多信息数据,例如,须要探测Web做事器上哪些网页包含大内存的图片、哪些网页包含数据库动态查询功能。这些网页被攻击者所利用,会对Web做事器造成巨大威胁,通过不断地要求这些网页中资源花费较大的节点,无形中增加了Web做事器资源花费的速率,提高了攻击效率。DDoS 攻击开始时,僵尸主机将按照攻击者方案的攻击程序运行,向受害目标发送大量具有攻击行为的要求,因攻击行为皆为模拟正常用户访问行为所设计的,这造成目标做事器难以区分合法要求与造孽要求,终极达到受害目标无可用做事资源供应做事的目的。
按照BitMEX交易所的博客所述,其在今年3月13日受到了两次相同的DDoS攻击,僵尸网络通过一个精心设计的谈天室功能查询使得该平台不堪重负。
据称,谈天室有七种措辞,每种措辞的大略频道ID为1到7,首先是英语,末了两个是西班牙语和法语。BitMEX相应的接口许可按频道ID来查询末了的100行。考虑到表的大小(大约5000万行),实行反向顺序扫描,然后进行筛选实际上会更快。查询优化程序对所有措辞实行反向顺序扫描,直到终极找到要返回的100行。就西班牙语而言,良久没人谈天了,以至于扫描了849748行才能找到足够符合条件的行数。这种昂贵的顺序扫描快速地分配和开释大量内存,溢出到磁盘上,并通过系统调用迅速使得系统不堪重负。在攻击发生时,数据库只花了0.6%的韶光处理要求,别的99.4%的韶光用于IO等待,这便导致所有查询都非常慢。
虽然与用户干系的数据(电子邮件、活动、谈天室、登录事宜等)与交易数据(仓位、交易、担保金等)是分开的,但是谈天室与用户有关,访问令牌和API密钥也是如此。这意味着这种资源花费引发了位于交易引擎前面的身份验证和访问掌握层的严重问题。交易引擎运行正常,市场数据、存款和提现也没有中断,但在这段韶光内,要求险些不可能到达引擎,导致做事质量严重低落。
这对付已经登录网站的用户,会创造攻击前原来因行情大幅颠簸而波涛彭湃的盘口,瞬间成为了沉着的湖面,偶尔有小鱼跳动引发的荡漾,而当用户退出后就再也无法登录成功。
没有一个别系能够抵御DDoS的滋扰,而有许多技能可以用来减少或肃清影响。BitMEX称其已经办理了潜在的问题,并一贯在昼夜一直地引入额外的检测和相应层,他们也将进行其他努力,以提高负载下的自动化扩展性和进一步隔离关键系统。BitMEX强调,作为上述持续监察和缓解方法的一部分,其安全团队正在审查系统中历史最悠久且因此最薄弱的部分,以简化、解耦、提高性能和隔离系统。同时,其团队正在开拓关于宕机、市场停息、市场规复和通信的面向"大众年夜众的协议,在将来其做事涌现任何中断的时候,为其用户供应更大的透明度。
(二)DDoS攻击实践
由于我们用于攻击的主机数量较少,严格地讲,我们下面进行的攻击实践应属于DoS攻击(谢绝做事攻击),只有昔时夜量的主机参与攻击时才能称其为DDoS攻击(分布式谢绝做事攻击)。
通过编写程序,我们利用一些主机不断发送大量的数据包到某台自有做事器,希望造成该做事器资源耗尽,以至于宕机崩溃。不过由于发动攻击的主机数量较少,不易达成目标。此类攻击的程序示例在网络上比较多,这里就不再进行更详细的阐述和展示了。
我们也可以利用干系工具来开展攻击——下载pyloris模块来进行DoS中的Slowloris攻击。
在Slowloris攻击中,纵然只利用一台PC也有可能使Web做事器陷入瘫痪。剖析攻击缘故原由时,常日利用Web做事器的日志,由于头文件剖析结束时才记录日志,以是Slowloris攻击不会在日志文件中留下痕迹,这样就很难对其进行探测。正常的HTTP头以/r/n/r/n结束,Web做事器通过查找/r/n/r/n判断HTTP头结束,然后进行剖析,处理做事要求。Slowloris攻击利用的HTTP头只以/r/n结尾,以是Web做事器认为HTTP头尚未结束,就无法对HTTP头进行剖析,从而连续保持连接。当做事器连接数达到最大值时便无法连续处理新的要求,继而谢绝对外供应做事[12]。
从官网下载的pyloris模块的版本号是3.2,适用于Python 2。我们将其源码进行修正,使其能在Python 3中运行,然后在运行界面中填入要攻击的某自有测试网站的地址和端口:
点击“Launch”按钮便可开始攻击。如下图所示,运行界面分为两个区域,Status区域用于显示当前实行的攻击状态,个中Attacks代表当前利用的连接个数,Threads表示目前为止创建的线程数;Log区域显示用于发送攻击的程序日志:
五、结语
为了阐明盗取比特币的一些黑客技能,上文对网站渗透、木马、宏病毒和DDoS攻击进行了干系的浅近的先容。只管个中的DDoS攻击与直接盗取比特币的关系不大,但鉴于其主要程度以及对数字货币交易所的巨大影响,本文对其也做了简要的先容。同时,我们还编写了较为大略的程序并利用一些工具对自有网站和主机进行了攻击实践。这在一定程度上有助于普通用户对黑客根本技能的理解,匆匆使人们积极地做好数字货币资产安全的防护事情。
由于篇幅所限,对付以上黑客技能和其他部分技能的综合利用以及干系的安全防护方法,我们将在今后的文章中进行详细的谈论。
参考文献
[1]吴松泽. 基于Web安全的渗透测试技能研究. 哈尔滨师范大学硕士学位论文, 2015. 9-11
[2] 蒲石. Web安全渗透测试研究. 西安电子科技大学硕士学位论文, 2010. 2-17
[3] 钱伟. 网站评估渗透系统的研究与实现. 复旦大学硕士学位论文, 2011. 6-7
[4] 贺瑞强. 木马的攻击及新型的木马检测技能的研究. 西安建筑科技大学硕士学位论文, 2009. 3-18
[5] 谢宗仁. 木马事理剖析与实现. 山东大学硕士学位论文, 2009. 16-19
[6] 朱腾绩. 64位Windows木马关键技能研究与实现. 西安理工大学硕士学位论文, 2015. 2
[7]刘成光. 基于木马的网络攻击技能研究. 西北工业大学硕士学位论文,2004. 14
[8] 王津梁. Office漏洞挖掘与剖析技能研究. 重庆理工大学硕士学位论文, 2017. 8-9
[9] 宏病毒事理及实现. 百度文库. https://wenku.baidu.com/view/c4f763dfa200a6c30c22590102020740bf1ecd32.html?fr=search
[10] 任皓. 针对WEB做事器的DDoS攻击与防御技能研究. 河北科技大学硕士学位论文, 2019. 9-10
[11] Arthur Hayes. 我们对付3月13日所遭受的DDoS攻击的回应. BitMEX Blog.https://blog.bitmex.com/zh_cn-how-we-are-responding-to-last-weeks-ddos-attacks/
[12] 赵诚文, 郑暎勋. Python黑客攻防入门. 武传海译. 北京: 公民邮电出版社, 2018. 182-183
本文链接:https://www.8btc.com/media/621090
转载请注明文章出处
