[介绍]

计算机基础知识http://www.upzxt.com,所以用户也没有感觉到什么异常,很快,小黑的木马在国华公司内部四处传播。

[攻击]

小黑的木马还有一个任务就是收集系统内的密码存储散列(存放密码的文件),木马还可以记录用户建立新连接时键盘记录,分析应用,也过滤登录时的用户ID与密码,最后通过小黑收集的500多个公司的邮箱地址,发邮件到北京的服务器(邮件象是员工“正常”发出的,内容还是加密的)。很快北京的服务器上就收集了500多个密码散列。

小黑没有直接到北京服务器上去破译这些密码,那样很容易被追查到。小黑在上海一台新捕获的服务器中安装了Netcat软件,建立了网络连接的“中继站”;在广州服务器上安装了Covert_TCP服务器软件(可以使用嵌入TCP包头的秘密通道技术),还选择了著名的新浪网站(知名的商业u盘装win7系统iso教程网站不容易被怀疑)作为跳跃点(反弹使用,对网站本身没有影响),建立了“TCP ack”弹跃模式的访问通道,使用远程Shell命令方式访问到北京的服务器。

绕了个大圈子,小黑就是为了隐藏自己的踪迹。建立好通道后,小黑才在北京服务器上安装了John the Ripper破解工具,不到三个小时,破解了500个密码中的地50个。

利用这些刚破解的密码(包括一些高级管理人员的ID与密码),小黑从北京的服务器登录到国华公司的VPN网关,以“合法身份”进入国华公司内部网络,并开始扫描Hammer软件源代码的藏身之处。当然,这种扫描可需要很高的“技术”技巧,因为国华公司内部网络的安全监控系统很强大,高频度的发包扫描很快就会引起安全管理人员的注意,所以,小黑利用分布式、间歇式的扫描方式,缓慢地探测着…同时为了配合内部的扫描工作u盘装系统软件,小黑还利用自己手里大约1万多数量的僵尸机器,对国华公司的外部网站进行了间歇性的DDoS攻击,主要是吸引公司的安全管理人员的注意力。

在定位了Hammer软件下一版本源代码的位置后,因为有不断提供的“密码支持”,小黑很快取得了代码仓库的下载权限,“宝藏”到手了,小黑高兴得叫了出来。当然,工作需要小心地、一步一步地进行…没有几天,小黑通过间接途径把全部代码逐步下载到自己的系统中。

[尾声]

小黑很惬意,看着那个胖子拿到光盘时的惊喜眼神,小黑很有成就感,在如期“交货”后,点着厚厚的钞票,开始计划自己浪漫的南美旅程…

[反思]

小黑是职业黑客,无可厚非,但从他“出更”的经历来看,你能说出国华公司安全管理的漏洞吗?忧患意识是每个安全管理人员必须牢记的…