口令入侵攻击
口令入侵是指使用某些合法用户的帐号和口令登录到目的主机,然后再实施攻击活动。这种方法的前提是必须先得到该主机上的某个合法用户的帐号,然后再进行合法用户口令的破译。
攻击方式
放置特洛伊木马程式:
特洛伊木马程式能直接侵入用户的计算机并进行破坏,他常被伪装成工具程式或游戏等诱使用户打开带有特洛伊木马程式的邮件附件或从网上直接下载,一旦用户打开了这些邮件的附件或执行了这些程式之后,他们就会象古特洛伊人在敌人城外留下的藏满士兵的木马相同留在自己的计算机中,并在自己的计算机系统中隐藏一个能在windows启动时悄悄执行的程式。当你连接到因特网上时,这个程式就会通知攻击者,来报告你的IP地址及预先设定的端口。攻击者在收到这些信息后,再利用这个潜伏在其中的程式,就能任意地修改你的计算机的参数设定、复制文件、窥视你整个硬盘中的内容等,从而达到控制你的计算机的目的。
WWW欺骗技术: 在网上用户能利用IE等浏览器进行各种各样的WEB站点的访问,如阅读新闻组、咨询产品价格、订阅报纸、电子商务等。然而一般的用户恐怕不会想到有这些问题存在:正在访问的网页已被黑客篡改过,网页上的信息是虚假的!例如黑客将用户要浏览的网页的URL改写为指向黑客自己的服务器,当用户浏览目标网页的时候,实际上是向黑客服务器发出请求,那么黑客就能达到欺骗的目的了。
一般Web欺骗使用两种技术手段,即URL地址重写技术和相关信关信息掩盖技术。利用URL地址,使这些地址都向攻击者的Web服务器,即攻击者能将自已的Web地址加在所有URL地址的前面。这样,当用户和站点进行安全链接时,就会毫不防备地进入攻击者的服器,于是用记的所有信息便处于攻击者的监视之中。但由于浏览器材一般均设有地址栏和状态栏,当浏览器和某个站点边接时,能在地址栏和状态样中获得连接中的Web站点地址及其相关的传输信息,用户由此能发现问题,所以攻击者往往在URLf址重写的同时,利用相关信息排盖技术,即一般用JavaScript程式来重写地址样和状枋样,以达到其排盖欺骗的目的。
电子邮件攻击:
电子邮件是互连网上运用得十分广泛的一种通讯方式。攻击者能使用一些邮件炸弹软件或CGI程式向目的邮箱发送大量内容重复、无用的垃圾邮件,从而使目的邮箱被撑爆而无法使用。当垃圾邮件的发送流量特别大时,更有可能造成邮件系统对于正常的工作反映缓慢,甚至瘫痪。相对于其他的攻击手段来说,这种攻击方法具有简单、见效快等好处。
通过节点攻击:
攻击者在突破一台主机后,往往以此主机作为根据地,攻击其他主机(以隐蔽其入侵路径,避免留下蛛丝马迹)。他们能使用网络监听方法,尝试攻破同一网络内的其他主机;也能通过IP欺骗和主机信任关系,攻击其他主机。
这类攻击非常狡猾,但由于某些技术非常难掌控,如TCP/IP欺骗攻击。攻击者通过外部计算机伪装成另一台合法机器来实现。他能磙坏两台机器间通信链路上的数据,其伪装的目的在于哄骗网络中的其他机器误将其攻击者作为合法机器加以接受,诱使其他机器向他发送据或允许他修改数据。TCP/IP欺骗能发生TCP/IP系统的所有层次上,包括数据链路层、网络层、运输层及应用层均容易受到影响。如果底层受到损害,则应用层的所有协议都将处于危险之中。另外由于用户本身不直接和底层相互相交流,因而对底层的攻击更具有欺骗性。
网络监听:
网络监听是主机的一种工作模式,在这种模式下,主机能接收到本网段在同一条物理通道上传输的所有信息,而不管这些信息的发送方和接收方是谁。因为系统在进行密码校验时,用户输入的密码需要从用户端传送到服务器端,而攻击者就能在两端之间进行数据监听。此时若两台主机进行通信的信息没有加密,只要使用某些网络监听工具(如NetXRay for 视窗系统95/98/NT、Sniffit for Linux、Solaries等)就可轻而易举地截取包括口令和帐号在内的信息资料。虽然网络监听获得的用户帐号和口令具有一定的局限性,但监听者往往能够获得其所在网段的所有用户帐号及口令。
利用黑客软件攻击:
是互连网上比较多的一种攻击手法。Back Orifice2000、冰河等都是比较著名的特洛伊木马,他们能非法地取得用户计算机的终极用户级权利,能对其进行完全的控制,除了能进行文件操作外,同时也能进行对方桌面抓图、取得密码等操作。这些黑客软件分为服务器端和用户端,当黑客进行攻击时,会使用用户端程式登陆上已安装好服务器端程式的计算机,这些服务器端程式都比较小,一般会随附带于某些软件上。有可能当用户下载了一个小游戏并运行时,黑客软件的服务器端就安装完成了,而且大部分黑客软件的重生能力比较强,给用户进行清除造成一定的麻烦。特别是最近出现了一种TXT文件欺骗手法,表面看上去是个TXT文本文件,但实际上却是个附带黑客程式的可执行程式,另外有些程式也会伪装成图片和其他格式的文件。
安全漏洞攻击:
许多系统都有这样那样的安全漏洞(Bugs)。其中一些是操作系统或应用软件本身具有的。如缓冲区溢出攻击。由于非常多系统在不检查程式和缓冲之间变化的情况,就任意接受任意长度的数据输入,把溢出的数据放在堆栈里,系统还照常执行命令。这样攻击者只要发送超出缓冲区所能处理的长度的指令,系统便进入不稳定状态。若攻击者特别设置一串准备用作攻击的字符,他甚至能访问根目录,从而拥有对整个网络的绝对控制权。另一些是利用协议漏洞进行攻击。如攻击者利用POP3一定要在根目录下运行的这一漏洞发动攻击,破坏的根目录,从而获得终极用户的权限。又如,ICMP协议也经常被用于发动拒绝服务攻击。他的具体手法就是向目的服务器发送大量的数据包,几乎占取该服务器所有的网络宽带,从而使其无法对正常的服务请求进行处理,而导致网站无法进入、网站响应速度大大降低或服务器瘫痪。常见的蠕虫病毒或和其同类的病毒都能对服务器进行拒绝服务攻击的进攻。他们的繁殖能力极强,一般通过Microsoft的 Outlook软件向众多邮箱发出带有病毒的邮件,而使邮件服务器无法承担如此庞大的数据处理量而瘫痪。对于个人上网用户而言,也有可能遭到大量数据包的攻击使其无法进行正常的网络操作。
端口扫描攻击:
所谓端口扫描,就是利用Socket编程和目标主机的某些端口建立TCP连接、进行传输协议的验证等,从而侦知目标主机的扫描端口是否是处于激活状态、主机提供了哪些服务、提供的服务中是否含有某些缺陷等等。
特洛伊木马程式能直接侵入用户的计算机并进行破坏,他常被伪装成工具程式或游戏等诱使用户打开带有特洛伊木马程式的邮件附件或从网上直接下载,一旦用户打开了这些邮件的附件或执行了这些程式之后,他们就会象古特洛伊人在敌人城外留下的藏满士兵的木马相同留在自己的计算机中,并在自己的计算机系统中隐藏一个能在windows启动时悄悄执行的程式。当你连接到因特网上时,这个程式就会通知攻击者,来报告你的IP地址及预先设定的端口。攻击者在收到这些信息后,再利用这个潜伏在其中的程式,就能任意地修改你的计算机的参数设定、复制文件、窥视你整个硬盘中的内容等,从而达到控制你的计算机的目的。
WWW欺骗技术: 在网上用户能利用IE等浏览器进行各种各样的WEB站点的访问,如阅读新闻组、咨询产品价格、订阅报纸、电子商务等。然而一般的用户恐怕不会想到有这些问题存在:正在访问的网页已被黑客篡改过,网页上的信息是虚假的!例如黑客将用户要浏览的网页的URL改写为指向黑客自己的服务器,当用户浏览目标网页的时候,实际上是向黑客服务器发出请求,那么黑客就能达到欺骗的目的了。
一般Web欺骗使用两种技术手段,即URL地址重写技术和相关信关信息掩盖技术。利用URL地址,使这些地址都向攻击者的Web服务器,即攻击者能将自已的Web地址加在所有URL地址的前面。这样,当用户和站点进行安全链接时,就会毫不防备地进入攻击者的服器,于是用记的所有信息便处于攻击者的监视之中。但由于浏览器材一般均设有地址栏和状态栏,当浏览器和某个站点边接时,能在地址栏和状态样中获得连接中的Web站点地址及其相关的传输信息,用户由此能发现问题,所以攻击者往往在URLf址重写的同时,利用相关信息排盖技术,即一般用JavaScript程式来重写地址样和状枋样,以达到其排盖欺骗的目的。
电子邮件攻击:
电子邮件是互连网上运用得十分广泛的一种通讯方式。攻击者能使用一些邮件炸弹软件或CGI程式向目的邮箱发送大量内容重复、无用的垃圾邮件,从而使目的邮箱被撑爆而无法使用。当垃圾邮件的发送流量特别大时,更有可能造成邮件系统对于正常的工作反映缓慢,甚至瘫痪。相对于其他的攻击手段来说,这种攻击方法具有简单、见效快等好处。
通过节点攻击:
攻击者在突破一台主机后,往往以此主机作为根据地,攻击其他主机(以隐蔽其入侵路径,避免留下蛛丝马迹)。他们能使用网络监听方法,尝试攻破同一网络内的其他主机;也能通过IP欺骗和主机信任关系,攻击其他主机。
这类攻击非常狡猾,但由于某些技术非常难掌控,如TCP/IP欺骗攻击。攻击者通过外部计算机伪装成另一台合法机器来实现。他能磙坏两台机器间通信链路上的数据,其伪装的目的在于哄骗网络中的其他机器误将其攻击者作为合法机器加以接受,诱使其他机器向他发送据或允许他修改数据。TCP/IP欺骗能发生TCP/IP系统的所有层次上,包括数据链路层、网络层、运输层及应用层均容易受到影响。如果底层受到损害,则应用层的所有协议都将处于危险之中。另外由于用户本身不直接和底层相互相交流,因而对底层的攻击更具有欺骗性。
网络监听:
网络监听是主机的一种工作模式,在这种模式下,主机能接收到本网段在同一条物理通道上传输的所有信息,而不管这些信息的发送方和接收方是谁。因为系统在进行密码校验时,用户输入的密码需要从用户端传送到服务器端,而攻击者就能在两端之间进行数据监听。此时若两台主机进行通信的信息没有加密,只要使用某些网络监听工具(如NetXRay for 视窗系统95/98/NT、Sniffit for Linux、Solaries等)就可轻而易举地截取包括口令和帐号在内的信息资料。虽然网络监听获得的用户帐号和口令具有一定的局限性,但监听者往往能够获得其所在网段的所有用户帐号及口令。
利用黑客软件攻击:
是互连网上比较多的一种攻击手法。Back Orifice2000、冰河等都是比较著名的特洛伊木马,他们能非法地取得用户计算机的终极用户级权利,能对其进行完全的控制,除了能进行文件操作外,同时也能进行对方桌面抓图、取得密码等操作。这些黑客软件分为服务器端和用户端,当黑客进行攻击时,会使用用户端程式登陆上已安装好服务器端程式的计算机,这些服务器端程式都比较小,一般会随附带于某些软件上。有可能当用户下载了一个小游戏并运行时,黑客软件的服务器端就安装完成了,而且大部分黑客软件的重生能力比较强,给用户进行清除造成一定的麻烦。特别是最近出现了一种TXT文件欺骗手法,表面看上去是个TXT文本文件,但实际上却是个附带黑客程式的可执行程式,另外有些程式也会伪装成图片和其他格式的文件。
安全漏洞攻击:
许多系统都有这样那样的安全漏洞(Bugs)。其中一些是操作系统或应用软件本身具有的。如缓冲区溢出攻击。由于非常多系统在不检查程式和缓冲之间变化的情况,就任意接受任意长度的数据输入,把溢出的数据放在堆栈里,系统还照常执行命令。这样攻击者只要发送超出缓冲区所能处理的长度的指令,系统便进入不稳定状态。若攻击者特别设置一串准备用作攻击的字符,他甚至能访问根目录,从而拥有对整个网络的绝对控制权。另一些是利用协议漏洞进行攻击。如攻击者利用POP3一定要在根目录下运行的这一漏洞发动攻击,破坏的根目录,从而获得终极用户的权限。又如,ICMP协议也经常被用于发动拒绝服务攻击。他的具体手法就是向目的服务器发送大量的数据包,几乎占取该服务器所有的网络宽带,从而使其无法对正常的服务请求进行处理,而导致网站无法进入、网站响应速度大大降低或服务器瘫痪。常见的蠕虫病毒或和其同类的病毒都能对服务器进行拒绝服务攻击的进攻。他们的繁殖能力极强,一般通过Microsoft的 Outlook软件向众多邮箱发出带有病毒的邮件,而使邮件服务器无法承担如此庞大的数据处理量而瘫痪。对于个人上网用户而言,也有可能遭到大量数据包的攻击使其无法进行正常的网络操作。
端口扫描攻击:
所谓端口扫描,就是利用Socket编程和目标主机的某些端口建立TCP连接、进行传输协议的验证等,从而侦知目标主机的扫描端口是否是处于激活状态、主机提供了哪些服务、提供的服务中是否含有某些缺陷等等。
分析过程
对涉及服务器进行排查,分析事件原因。以下,为详细排查过程:
1、经过有***公司有关人员沟通,互联网无法直接访问到内部主机(172.***.***.101),因此,怀疑***公司存在其他主机被黑客当作跳板。通过查看内部安全设备,确认仅(172.***.***.11)(172.***.***..59)(172.***.***..112)三台主机登录过(172.***.***.101),因此,对以上三台主机展开调查。
2、经过确认,(172.***.***.11)(172.***.***..59)两台主机未发现异常,均为运维人员的正常操作,但在(172.***.***..112)主机secure日志中,发现该主机被大量暴力破解,并且成功登录,源IP为(172.**.**.103):
3、遂对(172.**.**.103)主机进行跟进,发现该主机为一台Windows机器,通过查看内置IE浏览器的历史记录,发现该主机曾经下载过“超级弱口令检查工具”、“暴力破解字典”等,由以上妥协的指标(IOCs)确定,该主机已沦陷:
4、由于超级弱口令检查工具仅有图形化版本,猜测攻击者曾通过3389远程登陆到该主机(172.***.***.103)。于是对该主机安全事件日志进行分析,仅源地址为(172.***.***.105)的主机成功登陆过:
5、对(172.**.***.105)主机进行分析,发现该主机/tmp目录下存在大量的黑客工具,包括“frpc”、“1.py(端口扫描脚本)”等:
6、经过多维度分析,该主机上最早的妥协的指标(IOCs)为/var/log/cron日志中的一条反弹shell记录——每3分钟反弹一次shell到公网IP(54.179.148.207):
7、通过对主机开放端口查看,发现主机开启了tomcat、redis、ssh等服务。且在/var/spool/cron/root文件中发现了上述的反弹shell命令:
8、并且,该文件首行为“redis”关键字,此为典型的redis未授权访问漏洞反弹shell的利用手法:
9、因此,可以确定,攻击者通过redis未授权访问漏洞写入计划任务反弹shell控制了(172.**.**.105)主机。同时,通过对主机tomcat的access日志分析,发现几条源地址为(172.**.***.6)的异常日志:
10、以上几条日志为典型的互联网扫描行为,利用的为Tomcat PUT上传漏洞(CVE-2017-12615),因此,怀疑互联网可直接访问到(172.***.***.105)主机。经过与网络管理人员确认,(172.***.***.6)为负载均衡地址。
11、登陆负载均衡查看端口映射,发现最外侧负载公网IP(211.***.***..151)映射给内网应用F5 VSIP (172.***.***.12),在应用负载访问(172.***.***.105)时通过automap NAT转换为F5的接口地址(172.***.***.6)为源去访问(172.***.***.105)。即内网主机(172.***.***.105)被全端口映射到公网IP(211.***.***..151)。因此,可以确定,内网主机为(172.***.***.105)最初沦陷的主机:
1、经过有***公司有关人员沟通,互联网无法直接访问到内部主机(172.***.***.101),因此,怀疑***公司存在其他主机被黑客当作跳板。通过查看内部安全设备,确认仅(172.***.***.11)(172.***.***..59)(172.***.***..112)三台主机登录过(172.***.***.101),因此,对以上三台主机展开调查。
2、经过确认,(172.***.***.11)(172.***.***..59)两台主机未发现异常,均为运维人员的正常操作,但在(172.***.***..112)主机secure日志中,发现该主机被大量暴力破解,并且成功登录,源IP为(172.**.**.103):
3、遂对(172.**.**.103)主机进行跟进,发现该主机为一台Windows机器,通过查看内置IE浏览器的历史记录,发现该主机曾经下载过“超级弱口令检查工具”、“暴力破解字典”等,由以上妥协的指标(IOCs)确定,该主机已沦陷:
4、由于超级弱口令检查工具仅有图形化版本,猜测攻击者曾通过3389远程登陆到该主机(172.***.***.103)。于是对该主机安全事件日志进行分析,仅源地址为(172.***.***.105)的主机成功登陆过:
5、对(172.**.***.105)主机进行分析,发现该主机/tmp目录下存在大量的黑客工具,包括“frpc”、“1.py(端口扫描脚本)”等:
6、经过多维度分析,该主机上最早的妥协的指标(IOCs)为/var/log/cron日志中的一条反弹shell记录——每3分钟反弹一次shell到公网IP(54.179.148.207):
7、通过对主机开放端口查看,发现主机开启了tomcat、redis、ssh等服务。且在/var/spool/cron/root文件中发现了上述的反弹shell命令:
8、并且,该文件首行为“redis”关键字,此为典型的redis未授权访问漏洞反弹shell的利用手法:
9、因此,可以确定,攻击者通过redis未授权访问漏洞写入计划任务反弹shell控制了(172.**.**.105)主机。同时,通过对主机tomcat的access日志分析,发现几条源地址为(172.**.***.6)的异常日志:
10、以上几条日志为典型的互联网扫描行为,利用的为Tomcat PUT上传漏洞(CVE-2017-12615),因此,怀疑互联网可直接访问到(172.***.***.105)主机。经过与网络管理人员确认,(172.***.***.6)为负载均衡地址。
11、登陆负载均衡查看端口映射,发现最外侧负载公网IP(211.***.***..151)映射给内网应用F5 VSIP (172.***.***.12),在应用负载访问(172.***.***.105)时通过automap NAT转换为F5的接口地址(172.***.***.6)为源去访问(172.***.***.105)。即内网主机(172.***.***.105)被全端口映射到公网IP(211.***.***..151)。因此,可以确定,内网主机为(172.***.***.105)最初沦陷的主机:
防护建议
·加强企业员工安全意识培训,不轻易打开陌生邮件或运行来历不明的程序;
·尽量避免危险端口对外开放,利用IPS、防火墙等设备对危险端口进行防护(445、139、3389等);
·开启Windows系统防火墙,通过ACL等方式,对RDP及SMB服务访问进行加固;
·通过Windows组策略配置账户锁定策略,对短时间内连续登陆失败的账户进行锁定;
·加强主机账户口令复杂度及修改周期管理,并尽量避免出现通用或规律口令的情况;
·修改系统管理员默认用户名,避免使用admin、administrator、test等常见用户名;
·安装具备自保护的防病毒软件,防止被黑客退出或结束进程,并及时更新病毒库;
·及时更新操作系统及其他应用的高危漏洞安全补丁;
·定时对重要业务数据进行备份,防止数据破坏或丢失。
·边界增加安全网络入侵防护/检测系统(IPSIDS)、下一代防火墙等防范许欧式
技术服务可解决该问题或提供服务的企业
