杀手是在生活中受到雇主的雇佣,而去执行杀人任务,最终获得报酬。他们孤独,不轻易相信其他任何的人。他们非常冷酷,面对生命,他们从来不会手下留情。因为杀人就是她们的存在的意义。很少有人见过他们,因为大多数见过他们的人,都已经被杀死掉了。他们平时白天不出门,只有在夜里才开始行动,他们出去都会戴上墨镜,头顶一顶鸭舌帽,有时候以雾霾为由戴上口罩。其实,他们只是不想别人知道他们的真正面目。他们活在黑暗的世界里,不见天日。他们很可怜,没有爱情,没有亲情,甚至连个朋友都没有。
在网络的世界中也有这样的一种人,他们不杀人,他们也不需要在现实中隐藏包装自己,因为他们只存在于虚拟的网络世界中,很少有人知道他们的真面目。他们同样在夜间才进行活动,他们的任务是窃取企业,政府的最高机密信息。更准确的说,可以叫他们为网络间谍。他们是这个网络上的杀手,他们不会亲自杀人,却因为他们盗取的信息,有他们的买家来去做一些伤天害理的事情,使很多人因此而家破人亡。不过,对于这个世界来说,每个人都有着他自己的命运,弱者注定要被这个社会淘汰,而这个也正是杀手们所认同的,在杀手已活着网络杀手看来,他们可以杀死(入侵的目标)的人都是弱者。他们信奉他们自己可以改变或控制别人的命运,甚至大多数人的命运。
登场
“早~”,小楠对刚刚到公司的王梓打招呼。王梓则开心的笑笑,作为回应。
王梓是一家中日合资的中型软件公司的程序员。性格内向,腼腆。长相一般,在嘴巴的右上角有一颗痦子。在这家拥有数十位的程序员的公司,每个人都只负责各自的一部分,王梓在这里是其中普普通通的一员,公司部门内部竞争激烈,升职也比较困难,王梓不时还会犯些小错误,因为被领导破口大骂。对此王梓什么都不说,只在一旁听着,完事后继续回到座位上默默的工作。这时候,作为翻译的小楠总会过来安慰王梓。王梓也总说是他自己的错误。不怪领导发脾气。
“他怎么不对别人发脾气?他就是看你老实,他心情不好,拿你出气你还看不出来么。”小楠愤愤不平道。因为她看不惯领导这样的行为,不过她也只能说说,对此她也没有任何的办法。
“领导也是为我好~”,说完傻笑。
“你呀你,真是拿你没办法,你也别太老实了,我看呀,你以后也别叫王子了,叫你傻子好了”
王梓的脸上依旧傻笑着,也没在说什么,也没有反驳。
小楠是公司里的一位大美女,有一双清澈明亮的眼睛,弯弯的柳眉,长长的睫毛微微地颤动着,白皙无瑕的皮肤透出淡淡红粉。你在看她说话的的时候,你很容易不自觉的沉醉于她的眼神里。直到你脸上火辣的痛让你瞬间清醒过来。小楠用她那芊芊玉手打在王梓的脸上。当王梓要解释的时候,小楠已经转身离开。
对于小楠这样公司里的大美女,身边当然不乏许许多多的追求者,但是,都被小楠拒绝了。但依然有人不放弃,每天都会送花给小楠,而小楠统统将他们喂给刚刚清理过的垃圾桶里。如果王梓有时看到了,就会对小楠说:”这些花这么漂亮丢掉了多可惜啊。“而小楠则总是回他道:”你喜欢你拿去喽,反正我不要,你也别问我为什么“。王梓也不敢在继续问下去,就会到自己的座位,去敲他的代码。
夜幕降临,马路上排满了长长的车队,每隔一会就会传来鸣笛的声音。使得这个夜更加的喧闹。王梓打开房门,开了灯,眼前是一间50多平米的屋子,在客厅中摆放了3台电脑,4个显示器。显示器上显示着一个世界地图,地图上显示了很多闪烁的圆点,点会有一条线与另外一个同样的点连接,这些点会不断的变换。这个是实时显示的是王梓部署的一些监控点,显示了哪些地方的电脑(服务器)正在发生着攻击,或者已经被攻击了。这是王梓的一个僵尸网络,也就是在他的肉机上作了监控,他监控这些信息为了对时间发现哪些已经被多人控制,是否有人对他进行反查。一旦发现这些,王梓会第一时间收到报警,收到报警后他可以选择是否启动证据销毁和自毁这一操作。
王梓在白天的时候他是一名程序员,但是到了晚上,他的身份则是一名网络黑客。而他的另一个职业就是网络杀手,他的代号是——47,杀手47。他的网络id是killer47.知道他这一身份的是一名他从小长大的警察朋友——石磊。由于他俩关系非常要好,石磊并没有抓王梓。可以说石磊石王梓最信任的朋友,也是一个唯一信任的朋友。
王梓煮了一份泡面,煮好后,做到他的核武器面前,这几台电脑是自己定制化的设备。专门用来他工作用,这里面,由他自己设计并制作的,人员信息检索系统,可以查到大部分国内人员的基础信息,以及一些相关记录,如开房记录,外卖,行程,购物,体检,以及还有个人履历。还有他这套远程监控程序,其中除了监控之外,还可以进行远程操控的功能。都是王梓自己一个人制作的。除了这些之外,还有一套定制化的攻击系统。系统中不仅包含公开的黑客工具,如nmap,metasploit,sqlmap等,还包含了一些0day程序。整套系统乃至所有的硬盘数据都是经过加密,从硬件的硬盘密码加密,在到软件的系统数据加密。密码都设置的非常复杂,并深深的印在王梓的大脑里。就算有人拿到电脑或者硬盘没有密码也无济于事。而且这些系统可以接收手机的控制指令,远程销毁数据。
对于网络的通信,这套系统与王梓部署在国外5台小的个人的idc机房中的服务器,这些服务器是匿名的,不再政府那里登记的,这些也同样进行了加密和销毁程序。5台服务器中3台在使用中,另外2台是处于备用状态。5台服务器分别分布在香港,日本,美国,韩国,英国。
王梓的电脑系统在去行动之前会利用加密的协议接入这些系统中,系统中都会连接如tor的匿名网络中,利用这些匿名网络连接如肉鸡(被黑客控制的电脑叫肉鸡)或者跳板(通过肉鸡去进行入侵)。该连接会经过3层,也就是先连接到香港服务器,再通过该服务器连接的tor网络连接日本服务器。日本服务器会以同样的方式连接到韩国服务器。优先使用该服务器是因为这几台服务器连接速度快。
这一整套的系统,花了王梓5年时间,王梓对这套系统很自豪,很满意。
行动
做为一名杀手要隐藏自己的气息,让敌人从来不会感觉到他们的存在。当敌人放松警惕时,杀手们会抓住最佳时机,一击毙命。他们是潜藏在黑夜中的普通人。
王梓打开了他的收件箱,是一封pgp加密邮件,解密的邮件内容只有一个单词“help”。王梓懂的这是什么意思,他在自己的聊天服务器上开通了一个账号,发送给了对方,并一起发送了一个聊天软件的下载地址。该聊天系统是也是架设在网络上的服务器,聊天内容通过端到端的加密,服务器上也不会保存任何的聊天记录。(备注:其irc纯文本聊天服务和客户端,另外还有可选择的是xmpp协议的聊天软件)。
“Mr.Killer47,我要获取天成制药的客户资料,同时销毁他们的客户名单,删除制药配方”
“价格!”
“二十万”
“太少了,五十万”
“你这胃口太大了”
“我想你比我更清楚事情成功后给你们带来的利益,我拿到只是很少的一部分。”
“好,成交”
“50万转换成比特币,比特币转到128CcTcBb4d5NSjpDKktGjS7B6oErsNLqG 这个地址,3个月后给你结果”
“我需要点时间准备下”
“给你3天时间,交80%的钱后我开始行动,如果做不到,免谈!”
随后47就把这个人踢下线了。不给对方解释的机会。
天成制药显然是这个客户的竞争对手,而且能够找到47的,都是别人搞不下的任务才会找到他。
王梓每天白天如往常一样正常的上班,晚上则来渗透该天成制药公司的网络。在这个期间,他推掉了其它的任务。
47把任务的目标导入了他的自动化信息收集系统,该系统是一个比nosec.org中更加智能和强大的网络,可自动的关联对方的服务器,网站,ip地址,开放的服务,员工信息(包括密码),网络拓扑,以及企业信息。该系统还会通过github.com网站查找该企业所使用的源代码。这个让他的渗透效率提高了很多。获取了这些信息就可以进行接下来的入侵方案。
根据目前所获取的信息,既然他的同行都无计可施。常规的攻击自然不用去考虑。而这次攻击任务的目标企业不在北京市,所以无法真人去对企业进行社会工程学。
做网络杀手去入侵与常规的渗透测试方式不同,隐蔽性非常重要,一切都要悄无声息中进行,不能让对方有所察觉。要摧毁和获取数据,更要长期潜伏,不到最后一刻不能进行一些过猛的操作。而且在达到目标后要对痕迹进行擦除。
制定方案是定要严谨,要确保万无一失才可进行攻击。经过一周的分析考虑。47制定好了一份方案。
在这一周的时间内,47做了如下工作事情。
首先给他们北京地区的业务人员拨打电话。他所使用的电话号码是临时的号码,不实名,同时使用的不是智能手机。并且尝试改变了一下说话的声音。
“你好,是天成制药的林先生么?”
”我是,请问您是?有什么事情么?“,对方不知道来意。
”我是xx医院的李主任,目前看到你们公司新研制并发布的一种药物,我看了后,考虑把你们这个新药品用到我们的临床上来,想要与你们进行合作。“王梓假装成为他们的合作客户。
”这样啊,那真的是太好了,能够与贵医院合作,那对我们的发展是很有利的。“对方听到这个后没有怀疑,而且当时表现出兴奋。当然兴奋也难怪,能够促成此单,他一年的营业额都够了。
”那你看咱们是否可以当面聊聊?“
”好啊,那我明天就去上门拜访您?你看方便么?“
”明天我的班儿,所以不行,我下班后在附近的咖啡厅等你。“
”好好,明天见“
第二天,47买了几张创可贴,贴在手指和眉毛上。并准备戴了口罩,鸭舌帽。鞋跟垫高了3厘米,并以自己生病为由请了一天病假,他提前到所说的医院附近咖啡厅,在咖啡厅内利用设备伪造了一个与咖啡厅一样的无线热点。并开启Deauthentication攻击把咖啡厅无线网络攻击瘫痪。
等到业务人员来时,他说自己突然病了为由,来解释他戴口罩。因为业务人员带来了笔记本电脑,他引导业务人员连接了他伪造的无线网络,并对该网络进行了嗅探。但是,可惜的是,对方的vpn系统使用了双因子验证,而且连入的oa系统使用了https协议。一切似乎看起来并不容易。当然他通过对网络的劫持,在对方访问的网站加入了挂马代码(访问该页面即可被安装免杀的电脑控制程序。)。控制该电脑,可以监控一些通讯录等信息。在两个人离开咖啡厅后,47停止了攻击,恢复了咖啡厅的网络。并清理了电脑里的一些运行记录等。同时破坏并销毁了伪造的设备。
在这台电脑中,47观察来几天,发现除了可以看到一些与总部那边以及及格客户的邮件外,别的没有什么有价值信息。47又以发送资料的情况以及一些要求活着资质为由,给对方发送了一份带有恶意代码的文档。该文档,会把文档发给总部。对方业务人员因为太想急于促成这个事情,当天就把文档发给了总部。第二天,总部那边的就有3台电脑上线了,现在47可以控制总部3台员工的电脑了。这对他接下来的入侵有很大的帮助。
对手出现
台湾某安全公司内
总监办公室内,一位身穿黑色西服,留着利落短发的人正坐在电脑前认真的盯着屏幕,双手在苹果键盘上敲打着,一张帅气的脸,还有那干净的鬓发看上去洒脱从容。突然有一个人敲了三下他的门,他停下正在敲击键盘的手,微微转了下头,看到敲门的人是他的手下小张,说了句:“进来,有什么事?”。小张走近屋子里,接着说:“最近几天我们发现有几个新发现的ip地址(ip地址:IP地址是指互联网协议地址(英语:Internet Protocol Address,又译为网际协议地址),是IP Address的缩写。IP地址是IP协议提供的一种统一的地址格式,它为互联网上的每一个网络和每一台主机分配一个逻辑地址,IP地址通常用“点分十进制”表示成(a.b.c.d)的形式,其中,a,b,c,d都是0~255之间的十进制整数。例:点分十进IP地址(100.4.5.6)。ip地址相当于网络中的门牌地址。通过它可以实现网络通信。具体不细讲解。读者感兴趣的可自行了解。)扫描很频繁。扫描的范围很大。我觉得有必要对其进行深入的反跟踪,去查一查这个是否有一个团伙在作案。”。
“哦?有趣哦~你把这几个ip地址还有相关信息发过来看看”。他的脸上略带一点喜悦。
“好,我这就回去给你发送。”
“去吧~”。接着又补充道:“还有,继续跟踪下去,看可否追根溯源,找到攻击者。”
小张点头离去。
他继续敲击键盘,做刚才停下的事情。
此人网络id是hip,在一家网络安全公司做安全总监,他看上去也就二十三四的样子,从相貌上来看一点不像个做总监的,但是当了解他的技术以及能力之后,你不得不对他竖起大拇指。当然,你也不会想到年轻的他开的是一辆宝马i8。
对于他的id,他不仅是一名技术专家,还曾经是一名狂热的hiphop舞者,曾经获得台湾地区的hiphop冠军。不过那都是他学生时代的事情了。他用hip这个id也是缘于此。后来一直没有改。
hip还创建了一只网络安全技术交流小组——insight labs。insight labs是一个国际安全组织,组织成员分布在全世界各国。他们大多数都是各大互联网公司的安全研究员,安全工程师,安全总监,少数还有创业的。他们是一群白帽子,不作坏事,不攻击别人,他们对技术保持着一种狂热,保持着黑客的原则以及黑客精神。他们每周都会在自己加密的irc(IRC:Internet Relay Chat的英文缩写,中文一般称为互联网中继聊天。它是由芬兰人Jarkko Oikarinen于1988年首创的一种网络聊天协议。纯文本聊天,国外很流行,全世界有很多公开的服务器,分别有不同的频道,文中所使用的是自己构建的服务。为什么不使用qq这类,主要因为涉及到一些私密性。当然,在互联网的世界中,有很多基于该协议通信的恶意程序。我们称该类为ircbot。ircbot这里先不细讲。)上交流技术,最新的动态等。
hip所在的公司在德国,美国,韩国,日本,以及中国大陆,香港均部署了蜜罐系统(蜜罐:蜜罐是一种用来通过构建虚拟的网络服务或者协议等来引诱黑客来进行攻击。蜜罐是一种故意构造为容易被攻击的目标,这样可以了解黑客的攻击行为,随时了解最新的攻击和漏洞,还可以通过窃听黑客之间的联系,收集黑客使用的工具,找到攻击者。也可使说蜜罐是一种收集情报的方式。)。用于捕获并监控互联网中的恶意攻击行为,发现恶意攻击者。
过了一会,hip的屏幕右下方收到了一封邮件提醒,他点开了邮件看到:
攻击者ip地址如下:
38.99.82.191美国
72.52.4.90美国
198.204.250.242美国
82.165.37.26德国
以上4个ip地址都是一样的攻击行为,他们会对互联网中的计算机去进行ssh(ssh:SSH为Secure Shell的缩写,由IETF的网络小组(Network Working Group)所制定,是一种安全的传输协议,SSH是目前较可靠,专为远程登录会话和其他网络服务提供安全性的协议。SSH最初是UNIX系统上的一个程序,后来又迅速扩展到其他操作平台。)弱口令扫描,java反序列化命令执行(java反序列化命令执行:java所编写的程序的一种高危害漏洞。可自行深入了解。)。这是最近几天新增加的,攻击行为异常频繁。
根据从我们的目前的威胁情报来分析,这几个ip地址的服务器都处在合法的idc机房当中。应该也是被入侵的计算机,受到攻击者的控制。进一步的信息,会继续对其进行溯源跟踪。
hip看了邮件后,他打开了mirc(一款irc的客户端软件),进入了insight labs的频道。
“hi,guys,最近新发现了几个活跃的攻击者ip地址,大家有没有兴趣看看的?:)”。
因为组织里只有两名女性,其余大多都是男性,所以,大家都是以基友相称。在网络世界里,大家从不过问彼此的真实姓名,年龄。他们在网络里只有自己的网络id。
“这个我有兴趣哦~,发出来看看~”,在奇护公司的小白首先回应了,奇护公司是国内知名的杀毒软件公司,其名字奇护是奇袭的护卫神的缩写。奇护是杀毒行业是后起之秀,而小白是这家公司的一名刚毕业不久的安全工程师。经验不多,接触黑客有2年时间,基础不错,小伙子因为对新鲜的知识充满了渴望,对很多事情都是冲在最前。这次他也不例外。
“好,这就发你。”说这,hip把ip地址发给了小白。
“这是几个ip地址,目前判断,也是被入侵的服务器。有什么新的消息告诉我下。”
“ok~,太好了,又可以实战学习新的东西了。”,小白有些兴奋的回复到。对他来说,是一次实战的大好机会。
“组织里其他有兴趣的人,到时候你们可以一起。”
“好的~”
这时电脑前的hip感叹到,年轻就是好啊!
就这样,小白如打了鸡血般,异常的兴奋,晚上几乎没有睡觉,放着Linken park的音乐,对4个ip地址逐个进行检测。通过几个小时的功夫,他发现了德国服务器的一个漏洞,该服务器是windows操作系统,存在着微软sql server数据库弱口令。当屏幕上的黑客工具显示:“82.165.37.26弱口令存在,用户名sa,密码821653726”(注:该口令为ip地址不加点)。只见他微微一笑,眯缝着的小眼睛里放出一丝光芒,仿佛胜利就在眼前。
他迅速使用查询分析器(一款数据库操作工具)连接了对方的目标,当显示连接成功时,他打了一个响指,并喊了一句哦耶!通过之前获取的信息,对方开放了远程登录服务,小白直接执行添加管理员的命令(添加管理员命令:在命令提示符下输入先添加用户名,在把用户名假如管理员组。添加新用户:net user用户名密码/add.添加用户名到管理员组:net localgroup administrators用户名/add)。顺利的登陆进了该德国服务器。没想到这么顺利救入侵了这台服务器,小白首先建立了一个系统的隐藏账户(克隆了一个账户)。通过查看进程,端口开放情况,这样来确认扫描程序的位置。这时他发现scan.exe的进程连接来很多其他的计算机,并且失败状态显示失败。说明他就是小白要找攻击者的扫描程序了。小白快速的下载了该程序到自己的电脑中。又查找了一下是否还有其他的恶意程序,确认没有后。接着,他在对方计算机系统的管理员桌面放了一个readme.txt的文档,里面写入了“Your computer has been hacked.Please fix it,thx~”.然后他清理了系统日志就下线了。
小白启动了他的虚拟机,创建了一个虚拟机快照。接下来,他把scan.exe程序拷贝入虚拟机中,抄起他的兵器库中的十八般武器,开始对scan.exe程序施刑,先用peid查看该恶意程序是否加壳,结果没有加壳。没有加壳的程序就如同一个只穿内衣的女人,你接下来要做的就是想办法拔掉女人内衣,就可以一览无余了。接下来直接ida进行分析,程序闪过了几个窗口之后,程序代码的执行流程就展现在小白面前了,当然还需要对其进行进一步的分析。通过该程序的string窗口,小白发现了一个字母by phantoms。这应该是编写该程序的作者。小白接着花了一些程序时间看了解了下程序运行原理,这个是一款扫描的程序。在扫描到流程后,会自动的登陆对方系统,根据系统不同去下载一款对应系统的木马程序。小白根据下载地址,下载了全部类型的木马程序。由于该程序有一款是linux系统下,小白对linux不熟悉,而这时候天已经亮了,他把目前的结果给hip留言后,就洗漱去上班了。
此时另外一边的杀手47,还在继续着他的任务,而杀手47还不知道,在不久的未来里,将会与insight labs组织发生不可思议的战斗。
(未完待续)
注解(术语解释):
1、IRC:Internet Relay Chat的英文缩写,中文一般称为互联网中继聊天。它是由芬兰人Jarkko Oikarinen于1988年首创的一种网络聊天协议。纯文本聊天,国外很流行,全世界有很多公开的服务器,分别有不同的频道,文中所使用的是自己构建的服务。为什么不使用qq这类,主要因为涉及到一些私密性。当然,在互联网的世界中,有很多基于该协议通信的恶意程序。我们称该类为ircbot。ircbot这里先不细讲。
2、ip地址:IP地址是指互联网协议地址(英语:Internet Protocol Address,又译为网际协议地址),是IP Address的缩写。IP地址是IP协议提供的一种统一的地址格式,它为互联网上的每一个网络和每一台主机分配一个逻辑地址,IP地址通常用“点分十进制”表示成(a.b.c.d)的形式,其中,a,b,c,d都是0~255之间的十进制整数。例:点分十进IP地址(100.4.5.6)。ip地址相当于网络中的门牌地址。通过它可以实现网络通信。具体不细讲解。读者感兴趣的可自行了解。
3、蜜罐:蜜罐是一种用来通过构建虚拟的网络服务或者协议等来引诱黑客来进行攻击。蜜罐是一种故意构造为容易被攻击的目标,这样可以了解黑客的攻击行为,随时了解最新的攻击和漏洞,还可以通过窃听黑客之间的联系,收集黑客使用的工具,找到攻击者。也可使说蜜罐是一种收集情报的方式。
4、ssh:SSH为Secure Shell的缩写,由IETF的网络小组(Network Working Group)所制定,是一种安全的传输协议,SSH是目前较可靠,专为远程登录会话和其他网络服务提供安全性的协议。SSH最初是UNIX系统上的一个程序,后来又迅速扩展到其他操作平台。
5、java反序列化命令执行:java所编写的程序的一种高危害漏洞。可自行深入了解。
6、添加管理员命令:在命令提示符下输入先添加用户名,在把用户名假如管理员组。添加新用户:net user用户名密码/add.添加用户名到管理员组:net localgroup administrators用户名/add
(未完待续)