Download presentation
Presentation is loading. Please wait.
Published byIsmo Jurkka Modified 6年之前
1
黑客大曝光 安 阳 大 学 @ http://www.linzhou.gov.cn/wl/index.html
安 阳 大 学 @ 2019年1月1日星期二10时30分24秒2019年1月1日星期二10时30分24秒 黑客攻击与防范
2
第2部分 系统攻击 主要内容: 第5章 攻击UNIX系统 第6章 远程连接和VoIP攻击 5.4 本地访问 5.1 获取root权限
第2部分 系统攻击 5.4 本地访问 5.5 获取root特权之后 6.5 Voic 攻击 6.6 VPN攻击 6.7 VoIP攻击 主要内容: 第5章 攻击UNIX系统 5.1 获取root权限 5.2 远程访问与本地访问 5.3 远程访问 第6章 远程连接和VoIP攻击 6.1 准备拨号攻击 6.2 轰炸拨打 6.3 蛮力脚本 6.4 PBX攻击 2019年1月1日星期二10时30分24秒2019年1月1日星期二10时30分24秒 黑客攻击与防范
3
2019年1月1日星期二10时30分24秒2019年1月1日星期二10时30分24秒 黑客攻击与防范
4
第五章 攻击UNIX操作系统 有些人觉得比获取一个UNIX系统的root访问权更让人上瘾的差不多只有毒品了。对于root访问权的不懈追求可追溯到UNIX历史的早期,因此我们有必要提供一些有关其演化的历史背景知识。 2019年1月1日星期二10时30分24秒2019年1月1日星期二10时30分24秒 黑客攻击与防范
5
5.1 获取权限 1969年AT&T的Ken Thompson和Dennis Ritchie编写一个称为UNIX的崭新操作系统。UNIX的设计目标是一个功能强大而健壮的多用户操作系统,擅长运行程序,特别是称为工具(tool)的小程序。安全性并不是UNIX的主要设计特征,不过如果实现得恰当的话,UNIX具备极高的安全性。UNIX的混杂性除了有使它变得如此强大的众多小工具外,开发和改进其操作系统内核的开放性是个直接的原因。早期的UNIX环境通常位于贝尔实验室或大学机构内,那里的安全性主要通过物理方式控制。这么一来,能够物理接触UNIX系统的任何用户都被认为已经授权。在许多情况下,采用root级口令被认为是种阻碍而取消了。 我们将在本章中说明获取所渴求的root访问权的原因及手段。需要通篇留意的是,在UNIX中只有两级访问权:全权的root和其他任何访问权。root是无可代替的。 2019年1月1日星期二10时30分24秒2019年1月1日星期二10时30分24秒 黑客攻击与防范
6
5.1.1 弱点映射 弱点映射是把一个系统的特定安全属性映射到某个关联的弱点或潜在弱点的过程。这在发掘目标系统漏洞的过程中是个关键的阶段。攻击者有必要把安全属性映射成潜在的安全漏洞,这些属性包括监听中的服务、运行中的服务器程序的特定版本号(例如用于HTTP的Apache1.3.9以及用于SMTP的sendmail8.9.10)、系统结构以及用户名信息。下面是执行弱点映射时待考虑的关健点汇总: ·针对目标系统执行网络勘察。 ·把诸如操作系统、体系结构和正在监听中服务的特定版本等属性映射成已知的弱点和漏洞。 ·通过标识与选择关键系统执行目标探测。 ·查点并按优先级排列潜在的入口点。 2019年1月1日星期二10时30分24秒2019年1月1日星期二10时30分24秒 黑客攻击与防范
7
5.2 远程访问与本地访问 远程访问是通过网络(例如某个监听中的服务)或其他通信通道获取访问权。
5.2 远程访问与本地访问 远程访问是通过网络(例如某个监听中的服务)或其他通信通道获取访问权。 本地访问是拥有一个真正的命令shell以登录到目标系统。本地访问攻击也称为“特权升级攻击”。 攻击者往往遵循着这样的逻辑进程:从远程发掘某个监听服务的弱点,然后获取本地shell访问权。一旦获得shell访问权,攻击者就被认为进入了目标系统本地。 2019年1月1日星期二10时30分24秒2019年1月1日星期二10时30分24秒 黑客攻击与防范
8
5.3 远程访问 远程访问会涉及网络访问或访问其他通信通道,例如接到一个UNIX系统的拨号调制解调器。本章讨论的范围限定为通过TCP/IP协议从网络访问UNIX系统。 远程绕过UNIX系统安全屏障的主要方法有四种: ·发掘某个监听中服务(建立在TCP/UDP之上)的漏洞。 ·路由通过“在两个或多个网络之间提供安全屏障”的UNIX系统。 ·由用户发起的远程执行攻击(例如恶意网站、含有特洛伊木马的电子邮件等等)。 ·利用一些程序或进程的漏洞,这些程序会将网卡置于杂级(promiscuous)状态。 2019年1月1日星期二10时30分24秒2019年1月1日星期二10时30分24秒 黑客攻击与防范
9
蛮力攻击 流行度:8 简单度:7 影响力:7 风险率:7
蛮力攻击 流行度:8 简单度:7 影响力:7 风险率:7 最基本的攻击形式是蛮力口令字猜测。蛮力攻击是攻击者获取一个UNIX系统访问权的最有效方法之一。蛮力攻击纯粹就是猜测访问某个服务所需的一个用户ID/口令字组合,而该服务在给予该用户以访问权之前要求进行认证。 防范措施 对付蛮力猜测的最佳防御措施是使用不易猜中的健壮口令字,一次性口令字机制是最理想的。还有实现良好的口令字管理制度也相当重要。 2019年1月1日星期二10时30分24秒2019年1月1日星期二10时30分24秒 黑客攻击与防范
10
5.3.1 数据驱动攻击 缓冲区溢出 流行度:8 简单度:8 影响力:10 风险率:9
数据驱动攻击 获取远程式访问权限的事实标准是数据驱动攻击(data driven attack)。它是通过向某个活动中的服务器发送数据,以产生非预期结果来进行的攻击。 缓冲区溢出 流行度:8 简单度:8 影响力:10 风险率:9 在某个用户或进程试图往一个缓冲区(即固定长度的数组)中放置比原初分配的空间还要多的数据的时候,就会出现缓冲区溢出条件(buffer overflow condition)。这种情况是C语言特有的函数,例如strcpy( )、strcat( )、sprintf( )等有关。正常的缓冲区溢出条件会导致段越界发生。然而精心利用这类情况,可以达到访问目标系统的目的。 2019年1月1日星期二10时30分24秒2019年1月1日星期二10时30分24秒 黑客攻击与防范
11
格式化字符串 流行度:8 简单度:8 影响力:10 风险率:9
格式化字符串 流行度:8 简单度:8 影响力:10 风险率:9 每隔数年,就会有一类新的漏洞暴风骤雨般地席卷安全界。格式化字符串漏洞在软件代码中已经出现了许多年,但是其危险直到2000年中期才显露出来。格式化字符漏洞是格式化函数(包括printf()和sprintf())的微小程序设计错误造成的。攻击者对此的利用,主要通过传递精心编制的含有格式化指令的文本字符串,以使目标计算机执行任意命令。 2019年1月1日星期二10时30分24秒2019年1月1日星期二10时30分24秒 黑客攻击与防范
12
输入验证攻击 流行度:8 简单度:9 影响力:8 风险率:8
输入验证攻击 流行度:8 简单度:9 影响力:8 风险率:8 Jennifer Myers于1996年找到并报告了恶名远扬的PHF弱点。这种攻击尽管已相当陈旧,却提供了一个输入验证攻击的极佳例子。 UNIX中存在为特殊目的保留的所谓元字符,包括V <> ! $ % ^ & * | { } ~ “ ”等。如果一个程序或CGI脚本接受由用户提供的输入,但没有恰当地验证这些数据,那么该程序有可能被蒙蔽成执行任意的代码。这种诡计一般称为“逸出”到某个shell,通常涉及传递某个作为用户输入的UNIX元字符。目前许多脆弱的程序是由没有多少编写安全程序经验的Web网站开发人员编写的,随着面向电子商务的应用程序提供功能和自身复杂性的增加,这些攻击会越来越盛行。 2019年1月1日星期二10时30分24秒2019年1月1日星期二10时30分24秒 黑客攻击与防范
13
整数溢出攻击和整数符号攻击 流行度:8 简单度:7 影响力:10 风险率:8
整数溢出攻击和整数符号攻击 流行度:8 简单度:7 影响力:10 风险率:8 OpenSSH、Apache、Snort和Samba等一大批在世界范围内都很流行的应用软件都存在着整数溢出漏洞,而这种漏洞会导致缓冲区溢出问题。与缓冲区溢出漏洞一样,整数溢出也是一种编程错误:在C语言里,整数是一种用来保存数值的数据类型,它是没有小数的实数,不同一整数类型所能容纳的数值大小是有限度的,超出了这个限度的数值就会引起溢出,如果发生溢出的整数是某个函数(比如strncat( )函数)的一个参数,它往往会导致缓冲区溢出。 2019年1月1日星期二10时30分24秒2019年1月1日星期二10时30分24秒 黑客攻击与防范
14
5.3.2 我想有个shell 任何攻击者的一个主要目标就是获取对于目标系统的命令或shell访问。
按传统做法,交互式shell访问是通过使用telnet、rlogin或ssh远程登录到一台UNIX服务器中实现的。另外,使用rsh、ssh或rexec可以不经过交互式登录就远程执行命令。然而如果远程登录服务被关掉了或者被子防火墙阻塞住了,就需要通过其它方法来达到目的。 假设如下场景:假设攻击者试图获取对某个工业级数据包检测防火墙或路由器之后的一台基于UNIX系统的Web服务器的访问权。它惟一允许从外到内的服务是HTTP(80端口)和HTTPS(443端口)。现在假设其中的Web服务器易于遭受PHF之类的输入验证攻击,攻击者能够成功发掘验证条件,就能在其主机上作为用户nobody执行代码。它是获取交互式shell访问的第一步。 2019年1月1日星期二10时30分24秒2019年1月1日星期二10时30分24秒 黑客攻击与防范
15
操纵X Window系统 流行度:7 简单度:3 影响力:8 风险率:6
因为攻击者能够利用PHF攻击在Web服务器上执行命令,他们最先采用的获取交互式shell访问的技巧是利用UNIX的X Window系统。X是允许多个程序共用同一个图形显示器的窗口化机制。X相当健壮,允许基于X的客户程序把输出显示到本地X服务器或某个运行在6000 ~ 6030端口上的远程X服务器。对于攻击者来说,最有用的X客户程序之一是xterm。xterm用于在运行X期间启动一个本地命令shell。通过打开-display选项,攻击者可以把xterm的命令shell定向到自己的X服务器,这样就可以访问远程shell了。 2019年1月1日星期二10时30分24秒2019年1月1日星期二10时30分24秒 黑客攻击与防范
16
反向telnet和反向通道 流行度:5 简单度:3 影响力:8 风险率:5
如果管理员从他们的系统中去除了X,获取对于目标服务器的访问权仍然存在其他方法,比如说创建一个反向通道(back channel)。反向通道是从目标系统而不是攻击系统发起的一种机制。注意,在我们的场景中攻击者不可能以传统的方式获取交互的shell,因为防火墙把除80和443号以外的端口者阻塞了,攻击者必须通过创建反向通道来发起从脆弱的UNIX服务器到攻击者自己系统的会话。 方法有多个。第一个方是是反向telnet,也就是使用telnet创建一个从目标系统到攻击者系统的一个反向通道。 另一个方法是使用nc而不是telnet,条件是服务器上已存在nc二进制文件,或者该文件能够通过某种机制(例如匿名FTP)存放到服务器上。nc是最好的可用工具之一,因此它现在成为许多默认的UNIX安装的自由软件一部分。 2019年1月1日星期二10时30分24秒2019年1月1日星期二10时30分24秒 黑客攻击与防范
17
5.3.3 常见的远程攻击 FTP 流行度:8 简单度:7 影响力:8 风险率:8
常见的远程攻击 FTP 流行度:8 简单度:7 影响力:8 风险率:8 FTP即文件传输协议(File Transfer Protocol),是当前最常用的协议之一。它允许往远程系统上传或从远程系统下载文件。FTP还往往被滥用来获取对于远程系统的访问权或存放非法取得的文件。许多FTP服务器允许匿名访问,使得任何用户无需认证就能登录到这些FTP服务器中。一般情况下匿名FTP能够访问的文件系统公仅限于整个目录树的特定分支,然而偶然情况下匿名FTP服务器会允许用户穿越整个目录结构。这么一来攻击者就能取走/etc/passwd之类敏感的配置文件了。除了允许匿名访问相关联的危险外,FTP服务器程序在与缓冲区溢出条件和其他不安全因素相关的安全问题中也占有相当份额。 2019年1月1日星期二10时30分24秒2019年1月1日星期二10时30分24秒 黑客攻击与防范
18
Sendmail流行度:8 简单度:5 影响力:9 风险率:7
是大多数UNIX系统上使用的邮件传送代理(mail transfer agent,简称MTA),也是最受非议的服务器程序之一。它可以扩展,可以高度配置,又极其复杂。它的vrfy和expn命令可用来标识用户帐户,导致泄漏用户登陆信息,过去十多年内发现的安全弱点已有数十个,其中许多与远程缓冲区溢出条件相关,输入验证攻击也有发现。 2019年1月1日星期二10时30分24秒2019年1月1日星期二10时30分24秒 黑客攻击与防范
19
远过程调用(RPC)服务 流行度:9 简单度:9 影响力:10 风险率:9
RPC(Remote Procedure Call,远程过程调用)是一种允许在一台计算机上运行的某个程序无缝地在另一个远程系统上执行代码的机制。 RPC服务在启动时向端口映射器注册自己所用的端口号。要联系某个RPC服务,必须首先向端口映射器查询所需RPC服务在哪个 端口映射器上监听。许多RPC服务极为复杂且以root特权运行,成功的缓冲区溢出或输入验证攻击将导致直接的root访问。 2019年1月1日星期二10时30分24秒2019年1月1日星期二10时30分24秒 黑客攻击与防范
20
SNMP缓冲区溢出 流行度:8 简单度:9 影响力:8 风险率:8
简单网络管理协议(即SNMP)是许多网络的生命线,在几乎每种设备上都存在。该协议允许管理许多企业和分布在internet上不同的设备(包括路由器、交换机、服务器等等)。SNMP协议不是最安全的协议。在SNMP中已经发现了几个缓冲区溢出缺陷,影响到许多厂家和不同平台。 大部分与该漏洞相关的研究是由Protos Project使用他们的测试软件包完成的。主要识别SNMPv1协议中与trap和request处理相关的弱点。这些弱点会导致拒绝服务攻击(即DoS),使得攻击者可能远程执行命令。 2019年1月1日星期二10时30分24秒2019年1月1日星期二10时30分24秒 黑客攻击与防范
21
测试工具:nfsshell 下载地址:ftp://ftp.cs/vu.nl/pub/leendert/nfsshell.tar.gz
引用一下S公司的名言“网络就是计算机(The network is the computer)”。没有网络的话,计算机的可用性将逊色不少。这也许是NFS成为最流行的具备网络能力的文件系统的原因。NFS允许透明地访问远程系统上的文件和目录,就像它们存放在本地一样。最常见的NFS脆弱点类型与把文件系统导出给任何主机这一错误配置相关。它导致任何远程主机上的用户无需论证就能安装这个不用授权的文件系统。 测试工具:nfsshell 下载地址:ftp://ftp.cs/vu.nl/pub/leendert/nfsshell.tar.gz 2019年1月1日星期二10时30分24秒2019年1月1日星期二10时30分24秒 黑客攻击与防范
22
X不安全性 流行度:8 简单度:9 影响力:5 风险率:7
X Window系统提供了允许多个程序共享一个图形显示器的特性。X的主要问题是它的安全模型是一种要么彻底要么全无的方式。客户一旦得到某个X服务器的访问权,它就可以无法无天了。X客户能够捕获控制台用户的键击、杀灭窗口、捕捉窗口以在别的地方显示,甚至重新映射键盘,使用户不管输入什么都发出恶意的命令。 扫描一台X服务器是否存在该隐患的最好程序之一是xscan,它将扫描整个子网以寻找一台开放的X服务器,然后把它上面的所有键击都记录到一个文件中。 2019年1月1日星期二10时30分24秒2019年1月1日星期二10时30分24秒 黑客攻击与防范
23
DNS劫持 流行度:9 简单度:7 影响力:10 风险率:9
DNS是因特网及大多数企业网上使用最普遍的服务,无处不在的DNS也是会招致攻击的。许多攻击者都通过UNIX的DNS实现来探访漏洞,最普遍的方式就是Berkeley Internet Name Domain(BIND)。而且,DNS是少数几个需要运行在网络边界上的服务之一。因此,BIND上的瑕疵往往会导致远程损害(大多数都以特权)。据2001年安全报告统计,和因特网互连的DNS服务器中,10%以上具有可以攻击的漏洞。BIND相关的安全问题最致命的一种攻击是验证NXT记录方式 中的远程缓冲区溢出。缓冲区溢出允许远程攻击者依靠受攻击的服务器提供的root特权执行任何命令。 2019年1月1日星期二10时30分24秒2019年1月1日星期二10时30分24秒 黑客攻击与防范
24
DNS TSIG缓冲区溢出攻击 流行度:8 简单度:8 影响力:10 风险率:9
传统上BIND就是漏洞百出,最具威胁性的溢出之一与BIND 8的事务签名(Transaction Signature,TSIG)处理功能(RFC 2845)有关。这一弱点如果远程利用,与CERT建议书中提到的“infoleak(信息泄露)”弱点相结合,将造成毁灭性后果。后一弱点使攻击者能够远程地从工作出发named获取堆栈帧,而这是利用TSIG缓冲区溢出所必需的。因为溢出是在DNS请求的最初处理阶段发生的,递归和非递归DNS服务器都无法幸免。 2019年1月1日星期二10时30分24秒2019年1月1日星期二10时30分24秒 黑客攻击与防范
25
SSH不安全性 流行度:6 简单度:4 影响力:10 风险率:7
SSH是我们熟悉的一种服务,用于提供安全的远距访问。它有丰富的功能特性,全世界有数百万人依赖于它提供安全和保持头脑清净。实际上,许多最安全的系统都是使用SSH抵御未经认证的用户,并保护数据和登录凭证以防窃听。 与SSH有关的最具破坏性的安防漏洞之一是在SSH1 CRC-32软件里负责侦测“补偿攻击”手段的代码里存在一个缺陷。该代码是几年前增加的,目的是解决SSHI协议中与加密相关的一个严重的弱点。正像校正安全性问题的许多其它补丁一样,该补丁在攻击检测代码中引入了一个新的漏洞,导致在使用了该补丁的SSH服务器和客户端执行可以任意的代码。 2019年1月1日星期二10时30分24秒2019年1月1日星期二10时30分24秒 黑客攻击与防范
26
OpenSSL溢出攻击 流行度:8 简单度:8 影响力:10 风险率:9
蠕虫,蠕虫,还是蠕虫。如果蠕虫就是一些可利用有漏洞计算机自我繁殖的恶意代码,计算机世界是不大可能免受其扰了。但实际上,slapper蠕虫就瞄准了运行OpenSSL系统,影响到的OpenSSL版本直到(包括)0.9.6d和0.9.7beta2。OpenSSL是SSL(Secure Socket Layer)的开源实现,存在于许多版本的UNIX上(特别是自由的派生版本上)。前述有漏洞的OpenSSL版本在SSLv2协议的协商过程中,当处理客户端的密钥值时,会发生一种缓存溢出。因而,攻击者可以在有漏洞的服务器上执行任意代码,这就是slapper蠕虫程序所做的。 2019年1月1日星期二10时30分24秒2019年1月1日星期二10时30分24秒 黑客攻击与防范
27
5.4 本地访问 当攻击者取得一个交互命shell时,就被认为是在目标系统本地了。攻击者通常先获取普通用户访问权,然后通过特权升级,来进行下一步操作。 口令字构造脆弱点 流行度:10 简单度9 影响力:9 风险率:9 口令字破解通常称为自动化字典攻击。它是一种常见的本地攻击,攻击者必须先设法获得存放用户口令字的/etc/passwd文件或shadow文件才谈得上对口令字进行破解。过程:先加密一个字典词汇或随机生成的文本串,再把结果与从/etc/passwd或shadow文件中获取的加密后的口令字密文作比较。 如果经加密的散列值与由口令破解程序生成的散列值相匹配,该口令就被成功地破解了。这是一个简单的代数学过程。如果知道三个条目中的两个,第三个条目就能推断出来。我们知道字典词汇或随机文本串—称之为输入,也知道口令字散列算法(通常是数据加密标准(简称DES算法)。因此,如果应用散列算法对输入散列后得到的结果输出与目标用户ID的实际散列值相匹配,我们就知道原来的口令字是什么。 2019年1月1日星期二10时30分24秒2019年1月1日星期二10时30分24秒 黑客攻击与防范
28
两个最佳程序:Crack 5.0a和john the Ripper
该软件附带一个非常全面的词汇清单,其覆盖范围从字典全书一直到电影“ Start Trek”中的术语。在某个口令字文件上运行Crack非常容易,通常只需指出这个文件,然后等待结果。Crack软件包是个自编辑的程序,执行它时将构造出操作出需的特定物件。Crack的强大特点之一是充足的用于创建置换词汇的规则。此外,每次执行它时它都会构造一个定制的词汇清单,包括其口令字待破解账户的用户名以及在GECOS注释栏目中的信息。 John the Ripper Solar Designer 编写的john the Ripper是最好的口令字破解工具之一,可以从 运行John时给出口令字文件(passwd),就可放手了。它会确定相关的加密算法,并开始猜测口令字。 2019年1月1日星期二10时30分24秒2019年1月1日星期二10时30分24秒 黑客攻击与防范
29
本地缓冲区溢出 流行度:10 简单度:9 影响力:10 风险率:10
本地缓冲区溢出攻击是极为流行的手段。缓冲区溢出脆弱点允许攻击者在目标系统上执行任意的代码或命令。大多数情况,利用了缓冲区溢出漏洞的攻击手段几乎都以SUID属性被设置为root文件为目标,从而允许攻击者以root特权执行命令。 2019年1月1日星期二10时30分24秒2019年1月1日星期二10时30分24秒 黑客攻击与防范
30
符号链接 流行度:7 简单度:9 影响力:10 风险率:9
符号链接 流行度:7 简单度:9 影响力:10 风险率:9 废弃文件、碎片空间和临时文件-几乎所有系统都有这类电子垃圾。幸运的是,在UNIX系统中的大多数临时文件创建在称为/tmp的目录中。许多SUID属性被设置为root的程序都会在不进行任何安全检查的情况下在/tmp或其他目录中创建自己的临时文件。主要的安全问题起源于盲目地沿循符号链接(symbolic link)引用其他文件夹的程序。符号链接是使用“In”命令创建的特殊文件,这就是说,符号链接是指代号一个文件夹的文件。 2019年1月1日星期二10时30分24秒2019年1月1日星期二10时30分24秒 黑客攻击与防范
31
core文件处理 流行度:7 简单度:9 影响力:4 风险率:7
core文件会消耗大量的硬盘空间,它还有可能成为一个主要的安全漏洞。当UNIX系统运行时,内存中存放着许多的敏感信息,包括从shadow文件中读入的口令字散列值,如果攻击者在登陆某个运行ftpd早期版本的FTP服务器之间先发出一条PASV命令,就可以让该FTP服务器把一个全局可读的core文件写到文件系统的根目录里去。这个core文件含有shadow口令字文件的部分内容,也就是部分用户的口令字散列值。如果从这个core文件中恢复出了口令字散列值,那么攻击者有可能攻破某个特权帐户,从而获取这个脆弱系统的root访问权。 2019年1月1日星期二10时30分24秒2019年1月1日星期二10时30分24秒 黑客攻击与防范
32
5.5 获取root特权之后 攻击者一旦完成令人兴奋不已的获取root权限的任务,他们真正的工作旋即开始。他们希望通过以下手段来发掘目标系统的漏洞:虹吸所有能提供信息的文件,加载嗅探程序以捕获telnet、ftp、pop和snmp口令字,最终以该目标系统为跳板攻击下一个系统。所有这些技巧差不我都要求预先上传一个定制的Rootkit Rootikits 流行度:9 简单度:9 影响力:9 风险率:9 攻击者最初危害的系统是将来所有攻击的集中访问点,因此攻击者上传并隐藏一个自己的rootkit很重要。UNIX上的rootkit一般由特定于平台类型和版本的四组工具组成: 特洛伊木马,如login、netstat和ps命令的子进程 后门,如inetd守护进程的子进程 接口嗅探工具 系统日志清理工具 2019年1月1日星期二10时30分24秒2019年1月1日星期二10时30分24秒 黑客攻击与防范
33
特洛伊木马 攻击者获取root访问权后,他们就能对目标系统上任意命令进行“特洛伊木马化”。例:许多rootkit中共同的一个特洛伊木马是篡改了的login程序。该程序会像正常的login命令那样让用户登陆,然而它还记录输入的用户名和口令字到一个文件中。另有一个篡改过的ssh程序也执行同样的功能。 2019年1月1日星期二10时30分24秒2019年1月1日星期二10时30分24秒 黑客攻击与防范
34
嗅探程序 自己的系统被别人非法获取root访问权固然糟糕,但这种不利处境的最后的最坏后果也许是在受侵害的主机上被别人安装了网络窃听工具。这些常常称为“嗅探程序(sniffer)”嗅探程序允许攻击者攻击与受害主机之间存在网络数据包往来的每个系统,本地网段上任何其他主机之间的数据包往来也在嗅探程序的窃听范围内。 什么是嗅探程序 某个网络的数据包以供以后分析用。这给网络工程师们提供了一个观察网线上发生什么的窗口,允许他们通过观察最原始格式的数据包流动来排除故障或构造网络行为的模型。Dsniff( 嗅探工具的工作原理 理解嗅探程序工作原理的最简单方法是查看基于以太网的嗅探程序的工作方式。以太网嗅探程序是与以太网卡配套使用的软件,它能够把进入系统“听力范围”内的所有网络全部捕获下来,而不仅限于以嗅探主机为目的的那些数据包。网卡一旦处于杂收模式,嗅探程序软件就能捕获并分析本地以太网段上流动的任何数据包。 2019年1月1日星期二10时30分24秒2019年1月1日星期二10时30分24秒 黑客攻击与防范
35
日志清理攻击 攻击者通常不希望给管理员(尤其是权威机构)留下自己的系统访问记录,因而往往会去清理系统日志,从而有效地清除自己的行动踪迹。日志清理程序有许多个,他们通常会也是良好rootkit的一部分。其中较为流行的程序有zap、wzap、wted和remove。清除行为记录的首要步骤是改变当前活动的日志,以防系统管理员注意到攻击者登陆在系统上,需要查看/etc/syslog.conf配置文件的内容,需要改动的文件有多个,包括messages、secure、wtmp和xferlog。 2019年1月1日星期二10时30分24秒2019年1月1日星期二10时30分24秒 黑客攻击与防范
36
内核rootkit 最新的,也是最险恶的rootkit变种是现在基于内核(kernel)的rootkit。这些基于内核的rootkit可以修改UNIX内核来愚弄所有的系统程序,但并不修改程序本身。通常,可装载内核模块是用来往运行内核装入附加的功能而不将这些特性编译进内核的,这就允许根据需要装入或卸载核心模块,但这种功能也可能被攻击者滥用,以完全操纵系统和所有进程。LKM不是用来装入网卡之类的驱动程序,而是用来截获系统调用并修改其对某些命令的响应方式。最有名的两个内核rootkit是knark lfor Linux以及THC的Solris Loadable 2019年1月1日星期二10时30分24秒2019年1月1日星期二10时30分24秒 黑客攻击与防范
37
小结 UNIX是个需要足够的知识和头脑去充分实现安全措施的复杂系统。使UNIX如此流行的强大威力和优雅特性,也是它最大安全弱点之所在。许多远程和本地漏洞发掘技巧有可能允许攻击者颠覆貌似强大的UNIX系统的安全。缓冲区溢出条件经常被发现,不安全的编码实践仍然泛滥,而监视这种活动的恰当工具又往往滞后。系统管理员和攻击者之间在漏洞发掘与补救上的争斗将持续不断。 2019年1月1日星期二10时30分24秒2019年1月1日星期二10时30分24秒 黑客攻击与防范
38
2019年1月1日星期二10时30分24秒2019年1月1日星期二10时30分24秒 黑客攻击与防范
39
普通的旧电话系统(POTS)在技术方面并没有改变多少,很多公司仍然可以通过拨号连接接入其私有网络或基础设施,其数量令人惊讶。
拨号攻击与其他攻击的步骤差不多,也是踩点、扫描、查点和漏洞发掘四个步骤。整个过程大多可以使用称为轰炸拨号程序(war-dialer)或恶魔拨打程序(demon dialer)的传统攻击工具来自动完成。这些工具实质上就是按部就班的拨打大串大串的电话号码,记录有效的数据连接(称为载体-carrier),尝试确认电话线另一端的系统,再通过猜测常用的用户名和保密短语(passphrase) 有选择地尝试登陆。如果应答系统(answering system)需要特殊的软件和专门的知识,那么常常手工连接查点出来的号码。 两个最为流行的轰炸拨打程序是(ToneLoc和THC-Scan),以及一个商业产品-Sandstorm公司的PhoneSweep。 2019年1月1日星期二10时30分24秒2019年1月1日星期二10时30分24秒 黑客攻击与防范
40
电话号码踩点 流行度:9 简单度:8 影响力:2 风险率:6
电话号码踩点 流行度:9 简单度:8 影响力:2 风险率:6 最明显的着手处是电话号码薄。现今去多公司以CD-ROM为媒质出售本地电话号码薄,它可作为轰炸拨号程序脚本的输入。 另一个可能的策略是打电话给本地的电信公司,尝试用甜言蜜语从不够警惕的客户业务代表口中套出目标公司的电话号码信息。 除了电话薄外,目标公司Web网站也是寻找电话号码的沃土。许多追赶Web上信息肆意流动潮流的公司会在英特网上发布自己公司完整的电话目录。 2019年1月1日星期二10时30分24秒2019年1月1日星期二10时30分24秒 黑客攻击与防范
41
6.2轰炸拨打 轰炸拨打(war-dialing)说到底就是选择什么工具。我们将以此讨论ToneLoc、THC-Scan和PhoneSweep的特殊性质,不过在此之前先讲一些基本事项。 6.2.1 硬件 轰炸拨打硬件的选择和软件选择同样重要。我们将讨论的两个自由软件工具运行在DOS下,而且他们一般被认为难以配置。你实际上真正需要的就是DOS和调制解调器。 调制解调器硬件的选择也能极大地影响效率。质量教工的调制解调器能够监测话音响应、第二个拨号音,甚至远端号码是否是在振铃。 2019年1月1日星期二10时30分24秒2019年1月1日星期二10时30分24秒 黑客攻击与防范
42
对允许CallerID(显示拨打者ID) 的电话号码进行轰炸拨打是要小心,因为每次都回留下卡号。
法律问题 除了选择轰炸拨打平台外,想进行轰炸拨打的人还应该严肃地考虑所涉及的法律问题。在某些地方,顺序拨打大量号码是非法的,即使设备允许这么做,当地电话公司也会对这种行为持怀疑的态度。 对允许CallerID(显示拨打者ID) 的电话号码进行轰炸拨打是要小心,因为每次都回留下卡号。 另外,拨打800号码也会暴露你的号码,因为这是对方付费。 外围成本 对远程目标进行高密度拨号测试会使电话费飞涨,因此,在向管理层提交的计划书里,别忘了把这些成本计算进去,并做出解释。 2019年1月1日星期二10时30分24秒2019年1月1日星期二10时30分24秒 黑客攻击与防范
43
但其高效、简单和CPU的低使用率都是永恒不变得品质,它的可执行文件大小只有46K。
软件 ToneLoc和THC-Scan对于熟练的用户而言是极好的轰炸拨号程序。这两个基于DOS的程序可同时运行,他们调用同一机器上不同的调制解调器。 如果不适应DOS界面环境,商业的轰炸拨号程序就是最佳的选择了。phoneSweep和TeleSweep这样的商业轰炸拨打程序有图形界面,使用容易。 ToneLoc 出自Minor Threat&Mucho Maas公司的ToneLoc是最早出现且最为流行的轰炸拨打工具之一(“ToneLoc”是“tone locator”的简称)。 但其高效、简单和CPU的低使用率都是永恒不变得品质,它的可执行文件大小只有46K。 2019年1月1日星期二10时30分24秒2019年1月1日星期二10时30分24秒 黑客攻击与防范
44
THC-Scan 流行度:9 简单度:8 影响力:8 风险率:8
ToneLoc工具留下的某些空白是由德国黑客组织他The Hacker’s Choice(简称THC,位于 的van Hauser编写的THC-Scan填补的。 PhoneSweep 流行度:6 简单度:4 影响力:5 风险率:5 使用THC-Scan看来需花大量工作,PhoneSweep可能比较适合你(PhoneSweep由Sandstorm公司销售,现已升级到4.4版,网站位于 它的界面中几乎所有东西都一目了然。 2019年1月1日星期二10时30分24秒2019年1月1日星期二10时30分24秒 黑客攻击与防范
45
6.3 蛮力脚本-更具针对性的攻击手段 一旦轰炸拨打方式有了成效,下一步就是将这些成果分门别类(我们称之为域,domains)
6.3 蛮力脚本-更具针对性的攻击手段 一旦轰炸拨打方式有了成效,下一步就是将这些成果分门别类(我们称之为域,domains) 对发现的系统进行渗透时,我们将他们分为四个“域”: 第1类域 单一认证,有限制尝试 第2类域 单一认证,无常试次数限制 第3类域 双重论证,无常试次数限制 第4类域 双重论证,有限制尝试 2019年1月1日星期二10时30分24秒2019年1月1日星期二10时30分24秒 黑客攻击与防范
46
6.4 PBX攻击 以拨号方式连接PBX设备的做法仍然存在,事实上它是PBX最常用的管理方式。以前通过控制台直接与PBX相接,现在已演变成通过ip网络和客户端接口访问主机这种复杂的模式了。 Williams/Northern Telecom PBX 如果你使用的是Williams/Northern Telecom PBX系统,很可能像下面的例子一样。输入login后,会出现请出入用户号的提示。这是典型的第一级用户,只需要4位数字的访问口令字。显然,蛮力攻击4位数字口令字不会花费太长时间。 2019年1月1日星期二10时30分24秒2019年1月1日星期二10时30分24秒 黑客攻击与防范
47
6.5 Voicemail 攻击 攻破语音邮件系统 VOICEMAIL 蛮力攻击
攻击语音信箱(voic )系统的最早两个程序是20世纪90年代早期编写的:Voic Box Hacker 3.0和VrACK 0.51。主要是对付比较老的、安全性较弱的系统。 2019年1月1日星期二10时30分24秒2019年1月1日星期二10时30分24秒 黑客攻击与防范
48
6.6 VPN 攻击 技术界不断创新,VPN虚拟专用网(Virtual Private Networking )技术在近几年蓬勃发展。
突破Microsoft PPTP 存在问题: Microsoft的安全认证协议MS-CHAP依赖于早先已被攻破了的传统加密函数 所选用的会话加密算法由于发送和接收双向会话密钥的重用而削弱 只加密数据有效负载,从而允许窃听者从控制通道数据包中获取许多有用的信息 假设通过PPTP 服务器连接到网络的客户机能够作为进入这些网络的后门 2019年1月1日星期二10时30分24秒2019年1月1日星期二10时30分24秒 黑客攻击与防范
49
6.7 VoIP(Vice over IP)攻击 VoIP是通过一个IP网络来传输语音信息。VoIP的具体时限可以简单到两个用户之间的点到点语音通信,也可以是一个覆盖某组织全体成员的电话交换总机级实现。 VoIP通话窃听攻击 拦截到某个RTP通信流,可以采用ARP欺诈技术,访问到VoIP VLAN。在窃听服务器上,攻击者打开路由功能以允许通信通过,然后关闭ICMP重定向功能,再用iptables重新开始对TTL进行递增计数。然后使用dsniff软件中的arpspoof工具或arp-sk( 利用vomit之类的工具,可以把窃听到的数据流转换为WAV格式。 2019年1月1日星期二10时30分24秒2019年1月1日星期二10时30分24秒 黑客攻击与防范
50
小结 任何一种网络在它的覆盖范围被拓展到容纳有几千个应该给予信任的最终用户时,都将不可避免地产生种种风险。 措施:
口令字策略是安防管理员的存在标志 向供应商咨询他们的产品是否支持现有的拨号访问机制 定期查找用户私自安装的远程控制软件 开展培育,明白远程登陆信息的敏感性 为公司的POTS访问活动制定出严格的安防策略 2019年1月1日星期二10时30分24秒2019年1月1日星期二10时30分24秒 黑客攻击与防范
51
下周课程安排: 第3部分 网络攻击 第7章 网络设备 第8章 无线攻击
第3部分 网络攻击 第7章 网络设备 第8章 无线攻击 2019年1月1日星期二10时30分24秒2019年1月1日星期二10时30分24秒 黑客攻击与防范
Similar presentations