进攻!木马病毒的七日入侵日记

科普中国-科普文创 2020-10-22 作者:沈馨悦

  Image title

  2020年09月01日 侦查跟踪

  今天是行军的第一天。

  老大说,这次的攻击目标很厉害,名唤神隐,有着铜墙铁壁般的防火墙、二十四小时运行的入侵检测系统和先进的终端检测平台。“知己知彼,百战百胜!”老大大手一挥,安排我们去收集神隐公司的信息。

  老兵们得了命令,一哄而散了。我跟着独眼怪nmap来到了神隐公司门口。只见它独眼一横一竖,和雷达似得,神隐公司的IP网段分布和端口开放情况便统计出来了。

  图片独眼怪nmap,是一个网络连接端扫描软件,常被黑客用于侦查嗅探。

  我看得傻眼,被爱虫军师拿烟杆子猛敲脑袋,“愣着干嘛,干活!”

  “我……我不会……”我委屈地抱住脑袋。

  她像独眼怪般横竖将我一扫,带我来到了一个社交网站,敲了敲搜索框,“打字。”

  我输入神隐公司的名字。

  神隐不愧是世界知名的大公司,节日庆典、抽奖活动、国际新闻,处处都有它的身影。我瞬间就被信息流淹没了。

  可是,要收集哪种信息呢?我看向爱虫军师。

  军师慢悠悠吐出一个烟圈,“小木马,你觉得世界上最厉害的漏洞是什么?”

  “逃过沙箱检测?”

  军师摇了摇头。

  “宕机整个机房?”

  “行军结束后再告诉我吧。”爱虫军师叹了口气,结束了这个话题。

  她带我来到一个id叫“不招够人不改名”的账号面前。账号的主人是一个笑眼弯弯的长发姑娘,认证信息是“神隐公司人力资源招聘专家”。这似乎是她的生活账号,每天都会发动态。

  “看到了什么?”爱虫军师问我。

  “漂亮姐姐。”我老实交代。

  爱虫军师恨铁不成钢地给了我一记板栗,用虫尾巴指着时间线上的帖子挨个给我‘翻译’讯息,“女,蓉大研究生,英语专业,92年生人,生日是4月1日,手机号码是xxxx。会喂养流浪猫,被前男友骗过,说明本人善良单纯。经常加班到半夜,说明工作努力。最重要的是,她今年的招人指标没完成。”爱虫军师停顿了下,“这意味着什么,你知道吗?”

  我想了想,道:“如果我把自己藏在一封求职信里,再发送到她的邮箱,她很可能会没有防备地直接打开,这样我就能顺利潜入神隐公司内网了?”

  “聪明。”爱虫军师满意地点头,转身去辅导其他新人去了。一个又一个的社交账号、邮箱地址被爱虫军师和前辈们从繁杂的讯息堆里挑出,很快堆成了一座小山。其中,从事销售、人事、财务或文职类岗位的人类总是被优先选出。

  爱虫军师意味深长地说:“谁的安全意识最差,落在了最后,那就会被熊吃掉哩。”

  2020年09月02日 武器构建

  今天是行军的第二天。

  “工欲善其事,必先利其器!”老大说,我们今天的任务是去武器库挑选组装属于自己的兵器。

  这又有什么讲究?

  我看着武器库里琳琅满目的漏洞和漏洞利用代码陷入沉思。

  身旁,爱虫军师手脚麻利地组装好了她的武器:一封主题为“我爱你”、邮件内容为“请查收我寄来的情书”的邮件。这封邮件的最大秘密在名为“LOVE-LETTER-FOR-YOU.TXT.vbs”的附件里,一旦在Outlook里打开这个邮件,附件就会改写本地及网络硬盘上的文件,并向地址簿中的所有地址发送爱虫军师的分身。20年前,爱虫军师就是靠这封不起眼的邮件在短短两天内侵袭了一百多万台电脑,坐上了军师之位。

  携带爱虫病毒的邮件

  携带爱虫病毒的邮件

  爱虫军师瞥了我一眼,“好好想想昨天收集的信息。”

  昨天那些支离破碎的信息如拼图在我脑海浮现。

  “不招够人不改名”小姐用的电脑是windows8;一周前她的电脑出现网络故障,于是她将防火墙整个关闭了,并发了一个成功修好电脑的帖子;为图方便省事,她的电脑常年以管理者权限在运行各类软件。

  我恍然大悟。只要我能在武器库里找出适用于windows8的漏洞,并成功在她的电脑上运行,就可以完成任务了。

  老大让我负责窃取神隐公司的机密文件。作为公司的人力资源管理专家,不改名小姐的电脑里一定有很多和公司组织架构相关的资料,比如各层级的人员名单、联系方式,这可是老大最喜欢的东西……

  我兴奋地冲入武器库。

  2020年09月03日 载荷投递

  今天是行军的第三天。我们终于要出征了!

  老大说,神隐公司的安保系统很厉害。如果一拥而上,准会被他们的入侵检测系统发现异常。于是我们分成了几支小分队,每隔一段时间就投递一次。

  “让一让,让一让!”一群应用软件朝发射台走了过来。游戏、新闻、金融等领域应有尽有。

  “走错路了?”我疑惑地问。

  爱虫军师笑着说:“你再仔细看看呢?”

  我定睛一看,这才发现这群应用都透着古怪,或是多了条尾巴,或是换了个字体,原来是一群披着正常应用皮的后台执行木马。它们剖开了官方应用,将其中涉及收费的组件通通摘掉,又将自己塞了进去,以潜入人类的电脑窃取机密。

  “天下哪有白吃的午餐?”爱虫军师瞪大了眼睛,“他们要免费的软件,我们要他们的隐私。一物换一物,很公平嘛。”

  

  市面上流通的盗版软件几乎都被植入了后门或病毒,这些盗版软件会持续窃取用户数据,破坏电脑的安全性。

  在这群披皮应用软件后,我又见到了举着三支香的熊猫、魔窟等知名前辈们。再等了一会儿,发射台开始喊我们小队的名字了,“钓鱼的!钓鱼的!”

  我和小伙伴们挤到前列,头上纷纷顶着“来自A公司的分析报告”、“2020年度采购清单”、“付款收据”、“邀请函”、“求职简历”等字样。爱虫军师将锦囊挨个塞给我们,叮嘱我们在遇到密码时再打开。

  经过漫长的网络传输,我被投递员丢到“不招够人不改名”小姐的邮箱入口。环顾四周,密密麻麻的邮件们正在邮件网关处排队过安检。那安检设备和人类机场的安检设备一样,邮件们依次站在安检台上,哔哔两声,代表是恶意邮件,当场就被保安处决了;哔一声,代表是垃圾邮件,会被扫进垃圾邮件箱;只有不会触发声音的邮件才有资格进入不改名小姐的未读邮件箱。

  身旁有些吵吵嚷嚷,原来是烧香的熊猫被邮件网关认了出来,保安正将它隔离销毁。我突然庆幸自己听从了爱虫军师的建议,没有直接将自己的木马本体放到这封邮件里,而是在简历文件里嵌套了一段代码。一旦不改名小姐打开简历,简历里的这段代码就会在电脑后台自动下载木马本体。这样,我就能成功绕过邮件网关的检测了。这个小技巧只有在主人关闭了各式安全软件时才能使用,感谢不改名小姐。

  排在我后面、顶着“XXX验证码”的大哥和我攀谈起来,“呦小兄弟,找工作呢。”

  大哥穿着笔挺的西装,眼圈下有着厚厚一层黑眼圈,看起来不像坏人。

  我点头道,“大哥,您说这网关系统这么先进,我主人用的不知名的邮件提供商给的邮件地址,它会不会把我当垃圾邮件丢进回收箱啊。”为了藏匿自己的身份,主人习惯使用小众邮件提供商。

  大哥笑了,“你主人真是马大哈,这邮件网关可是个看脸下菜的家伙。“

  “那怎么办?”我紧张地问道。

  “不打紧。你看,你这种来路不明的会被扫进垃圾邮件,我这种发送频率过高的也会被扫进去。这邮箱的主人是我的熟客,你等下就跟着我,她来我这里找验证码时,自然会看到你。”

  我松了口气。

  新型邮件网关系统的清关速度很快,没过几秒就轮到了我和验证码大哥。我忐忑不安地踏上安检台,扫描仪缓缓扫过我的身躯,我的心脏也跟着提到了嗓子眼。

  “哔!”刺耳的警告声响了起来,只有一声。

  我沮丧地朝垃圾邮件箱走去,身后,验证码大哥也跟了过来,“小兄弟,放轻松,不就是被当做垃圾邮件嘛,总比被当成病毒强啊。”

  我点点头,和验证码大哥一起坐到了属于垃圾邮件的等候区。

  2020年09月04日 漏洞利用

  这一夜我睡得特别不踏实,梦里全是不改名小姐发现了我简历附件里藏着秘密的情境。一旁的验证码大哥倒是呼噜打得震天响。

  我就这样辗转反侧到了第二天早上9点。果不其然,不改名小姐先去了未读邮件区,里面传来噼里啪啦的敲字声。一小时后,未读邮件区消停了,脚步声朝我们这儿传来。验证码大哥这才打了个哈欠,懒洋洋起身。我蹦了起来,紧张得双手都汗湿了。

  不改名小姐进了门,果然径直朝验证码大哥走去,语气里透露着喜悦,“总算找到你了!”验证码大哥挺了挺胸脯,将我往前一推,“还有这个。”

  不改名小姐更开心了,咯咯笑起来,“还有个漏掉的小鲜肉。”在查阅过验证码大哥的邮件内容后,不改名小姐的视线快速扫过我的身躯,然后,她的鼠标朝附件处点击了一下。

  该死,是预览模式!

  这我没办法运行木马本体下载代码啊!我有些失望。

  好在不改名小姐又迅速将附件下载到了本地,再次点击。

  我屏住呼吸,悄悄运行代码和线上的木马本体建立了网络连接。由于她关闭了防火墙和安全管家,我很轻松地便将木马下载到了本地。我简单翻看了电脑的安全配置,发现她连补丁升级系统也一并关闭了!这可真是天助我也,那些勤劳的安全专家日夜修复漏洞发布补丁又有什么用,只要用户不买账,哼哼,这里依然是我们的天下。

  

  钓鱼邮件是黑客最常使用的入侵手段。只要不点开陌生邮件中附带的链接、附件,就能避免中招。

  2020年09月05日 安装植入

  今天是行军的第五天。由于不改名小姐薄弱的安全意识,我的入侵之路进展得异常顺利。按照老大的安排,我今天要加固入侵。

  为了避开终端安全检测平台的监视,我先对不改名小姐的电脑进行了一次简单扫描。神隐公司的数据管理还算到位,留存在本地的文件并不多,即便下载到本地,文件也都被打上了数字签名,一旦泄露很容易查出源头。但丢饭碗的是不知名小姐,和我有什么干系?

  我吹了声口哨,尝试破解硬盘里的加密区域。这种地方的密码通常由用户设置,而非公司自动生成的强密码。

  我想起出征前爱虫军师交到每个人手中的那份锦囊。拆开一看,原来是一份弱口令密码字典。

  

  弱口令密码字典是黑客人手一份的工具书。我们在设置密码时,需要提升密码的复杂度,如超过8位,包含大小写及特殊符号,避免使用生日、姓名、手机号等公开信息。

  我挨个试了试,只成功了一半。嗯,看来不改名小姐的安全意识还不至于被打上零分。那还有什么可能呢?我想起第一天侦查跟踪时得到的不改名小姐的生日,920401。会是生日吗?我试探着输入,成功了!

  神隐公司完整的组织架构就这样呈现在了我面前。这可是千金难买的商业机密啊!

  我压抑住内心的狂喜,继续完成持久化的工作。所谓持久化,就是让我尽可能长地存在于受害人电脑,不被安全软件发现。我首先创建了一个名为“system”的任务,要求其每80分钟运行一次我的数据窃取脚本,然后在注册表里写入执行数据窃取脚本的命令。为了瞒过安全系统,我将这些脚本、任务通通修改为了电脑内各种默认配置文件的名字,并进行定期的复制备份,以期逃过神隐公司入侵检测系统的慧眼。

  反正不改名小姐经常从网上下载一些乱七八糟的流氓软件。这台电脑早被它们搞得千疮百孔了,再添我一个也只是乱上加乱,锦上添花。

  2020年09月06日 命令与控制

  今天是行军的第六天。经过这几日的努力工作,我已成功在不改名小姐电脑里站稳了脚跟,是时候联系老大了。

  我小心翼翼地启动了一个网络连接,我在受害者这头,老大在和我相隔了无数中转站的那头。很快,网络连接缓缓亮了起来。我谦恭地为老大呈上操作界面,便于老大远程查看我这几日的成果。

  半分钟后,老大满意地点头,”做得好。“ 他将下一步的行动清单递给我,我打开一看,内网渗透、横向移动、漏洞利用,应有尽有。

  这一刻,我意识到,老板的野心远不只在窃取这一个小小的人力资源专家拥有的资源。但正是拜她薄弱的安全意识所赐,神隐公司这座戒备森严的城池,被我撕开了一个口子,又或是被我们撕开了成百上千个口子。

  2020年09月07日 目标达成

  今天是行军的第七天,也是数据回传日。

  为了防止被发现,我小心翼翼地将这几日收集到的神隐公司机密文件加密打包,并拆分成一小包一小包的信息包。

  3、2、1,时间到!我启动一个全新的网络连接,这一次,网络连接对面是爱虫军师。我没有说话,慎重地放入一个个加密信息包,看着网络洪流将它们带离。

  待到我终于发完所有的信息包,军师的声音传了回来,“第一日的问题,找到答案了吗?”

  我回想起这几日的经历来——虽然神隐公司花费了大力气购买了一系列先进的安全设施,如邮件网关、入侵检测系统和终端检测平台,却终究敌不过自己人的无心出卖。

  我叹了口气,郑重回答军师,“是人类。这个世界上最大的漏洞,是人类。”

责任编辑:科普云

科普中国APP 科普中国微信 科普中国微博
科普中国-科普文创
是中国科协为深入推进科普信息化建设而塑造的全新品牌,旨在以科普内容建设为重点,充分依托现有的传播渠道和平台,使科普信息化建设与传统科普深度融合,以公众关注度作为项目精准评估的标准,提升国家科普公共服务水平。

猜你喜欢