在本文中,作者主要介绍了黑客用于攻击网络的一些工具。通过了解这些黑客工具的使用方法,读者可以更好地保护自己网络的安全。
的的的…………,凌晨3时45分,恼人的铃声将你吵醒。于是,你上网回应呼叫,却发现网络已被断掉,你已被黑客“黑”了。而且,这个黑客一定是个高手,因为数个服务器都已停止工作,随处都有他遗留的特洛伊木马后门程序。天知道他还干了些什么!更令你头疼是,当你检查E-mail时,有许多公司竟在问你为什么攻击他们的网络。显然,黑客已经利用你的主机去攻击其它系统了。
为了帮助你更好地防范时刻发生的攻击事件,本文描述了流行的黑客工具及有效的防范技术,你可以利用这些技术来保障网络的安全。
特别说明
本文不是在教你如何去攻击他人的系统,而是客观描述了现实世界中发生的攻击事件,并向你提供了抵御这些攻击的方法。
由于这些工具可以在网上免费下载,并且它可能会损害你的系统,因此,作者在文中论述某一工具时,并不表示他默许或是推荐你使用。作者提醒:在使用这些工具时,你一定要慎重、小心,而且你必须弄清楚源代码的意思。
工具一:Password Crackers
Password Crackers因其用途广泛而成为黑客使用的主流工具。实施口令破译攻击分为两步,第一步:攻击者首先从被攻击对象的计算机里读出一个加密口令档案(大部分系统,包括Windows NT及UNIX,他们把口令加密后储存在档案系统内,以便当用户登录时认证); 第二步:攻击者以字典为辅助工具,用Password Crackers 开始尝试去破译口令。其办法是把字典的每一项进行加密,然后两者进行比较。假若两个加密口令相符,黑客就会知道该口令;假若两者不符,此工具继续重复工作,直到字典最后一项。有时,黑客们甚至会试遍每一种字母的组合。使用该种方法,口令破译的速度与加密及比较的速度有关。
工具二:L0phtCrack
L0phtCrack由黑客组L0pht Heavy Industries撰写,于1997年推出。它以共享软件(Shareware)的形式传播。它专门用于破译Windows NT口令。此工具性能强大,又很容易使用,初学者只需少量指点便能破译口令。1999年1月推出的L0phtCrack 2.5版优化了DES密码程序,软件性能也随之提高(比旧版本快450%)。据称,一台450 MHz Pentium II 计算机一天内就可破译所有字母数字混合的口令。
L0phtCrack 可通过多种渠道得到加密的口令档案。只要黑客运行一个包含L0phtCrack的程序,或从window NT系统管理员的备份软盘里拷贝一个程序,就可以得到Windows NT系统里的SAM数据库。L0phtCrack最新版的GUI可以从网络中得到加密的Windows口令。当你登录到NT域,你的口令会被用哈希算法送到网络上。L0phtCrack的内置嗅探器很容易找到这个加密值并破译它。
因为这个工具对IT从业人员也有极大用处,所以从L0phtCrack 2.0版以后开始收取注册费。最新版可以有15天免费试用期,超过15日则收取100美金,并且有多个破译程序以供选择,有些收取费用,有些可从自由软件库中得到。
L0phtCrack的防范
抵御口令破译攻击的最好方法是执行强制的口令防范政策。例如要求用户设想的口令很难被猜到。如口令应该至少有8位,包括数字、字母及特殊字符(如!@#$%);口令应不包括字典字。为了进一步保障安全,一些口令自动设置工具可以帮助用户设计复杂的口令。
此外,你应该时常用口令破译工具检查公司的口令是否安全。当然,只有安全管理人员或是经他们授权的人员才能允许使用该种工具,而且必须得到书面的批准。同时你也应当事先对口令不幸被破译的用户做出解决方案,选择向他发Email,还是亲自拜访用户,向他解释你的口令政策。这些问题在进行口令评估前应考虑完全。
工具三:War Dialers
很多公司非常重视防火墙的安全。然而,这个坚固的防线只封住了网络的前门,但内部网中不注册的调制解调器却向入侵者敞开了“后门”。 War Dialers能迅速地找出这些调制解调器,随即攻入网络。因此,它成为一个非常受入侵者欢迎的工具。
War Dialer因电影“War Games”而一举成名。它的攻击原理非常简单:不断以顺序或乱序拨打电话号码,寻找调制解调器接通后熟悉的回应音。一旦War Dialers找到一大堆能接通的调制解调器后,黑客们便拨号入网继续寻找系统内未加保护的登录或容易猜测的口令。War Dialers首选攻击对象是“没有口令”的PC远程管理软件。这些软件通常是由最终用户安装用来远程访问公司内部系统的。这些PC远程控制程序当用到不安全的调制解调器时是异常脆弱的。
THC-Scan是The Hacker’s Choice (THC) Scanner的缩写。 这个 War Dialers 工具是由“van Hauser”撰写的。它的功能非常齐全。THC-Scan 2.0版于1998年圣诞节推出,THC-Scan与Toneloc (由“Minor Threat”及“Mucho Maas”撰写) 用途近似。THC-Scan与其他普通War Dialers工具不同,它能自动检测调制解调器的速度、数据位、校验位及停止位。 此工具也尝试去判断被发现的计算机所使用的操作系统。而且,THC-Scan有能力确认什么时候能再有拨号音,这样,黑客们便可以不经过你的PBX就可以拨打免费电话。
War Dialers的防范
当然,最有效防范措施就是使用安全的调制解调器。取消那些没有用途的调制解调器。且用户必须向IT部门注册后才能使用调制解调器。对那些已注册并且只用作外发的调制解调器,就将公司的PBX的权限调至只允许外拨。每个公司应有严格的政策描述注册的调制解调器并控制PBX。由于市场零售店内有使用方便、价格便宜的数字调制解调器出售, 用户也能把调制解调器安装在只有数字线的PBX上使用。
除此之外,你还要定期作渗透测试,找出电话交换器内不合法的调制解调器。选用一个好的工具去寻找与网络连接的调制解调器。对于被发现、但未登记的调制解调器,要么拿掉它们,要么重新登记。
工具四:Net Cat
Net Cat是一个用途广泛的TCP及UDP连接工具。它是由“Hobbit”于1995年为UNIX编写的,于1997年推出。对系统管理人员及网络调试人员而言,它是一个非常有用的工具。当然,它也是一个攻击网络的强大工具。
Net Cat有许多功能,号称黑客们的“瑞士军刀”。与功能强大的UNIX脚本语言结合时,Net Cat是制造网络工具的基本组件。Net Cat的基本程序可以以聆听式和客户式两种方式运行。当以聆听式运行时,Net Cat是一个服务器进程,等待与指定的TCP或UDP端口连接。而以客户式运行时,Net Cat能连接到用户指定的任何端口。
Net Cat在一个系统内以聆听式运行,同时在另一系统内以客户式运行时,Net Cat可以发动很多攻击。它可以在任何端口提供后门登录,如UDP端口53。从网络包角度来分析,这种登录被看成是一系列DNS问答,其实这是真正的后门登录。当在两系统内以两种方式同时运行时,Net Cat可以在任何端口架构快捷、简单的档案传输机制。
Net Cat也可以是源路包。当Net Cat以客户方式运行时,它是个UDP及TCP端口扫描器。当它发现系统内有打开的端口时,Net Cat会轻而易举地与这些端口连接。
Net Cat NT版有一个独特之处:它可以将自己绑定在当前进程的端口前端。利用这一功能可以非常有效地向服务器或Web服务器发动攻击。这种连接也可以因拒绝服务攻击(Denial-of-service DoS)而被断掉。有时黑客把自己的请求送到正当的服务器进程前,编写特别的程序用来寻找敏感数据(口令、银行帐号等)。
Net Cat防范
最佳防范Net Cat的方法是“最小特权原理”(昵称为“polyp”)(Principle of Least Priviledges)。也就是说,不让不需要的端口经过防火墙,只有那些你允许通过的端口可以与指定的主机连接。例如:经过防火墙的DNS查询,只打开需要此服务的UDP 53端口(通常是一个内部DNS服务器把这些查询转出到Internet)。这样就可以防止攻击者有机会把Net Cat包送到你内部网的任何主机上。
至于那些可以被外部访问的系统,在防范Net Cat攻击时,你要清楚这些机器上已运行的进程,并且仔细调查那些不寻常进程,因为它们可能是后门聆听者。你必须定期检查端口,以便发现有没有聆听者侵入你的机器。
为了防止回放攻击,所有应用系统应该为每条消息(包括web cookies、表单或者是原始数据)盖上时间印及顺序号码。所有消息的时间印及顺序号应经过密码完整性测试,确保没有被修改或回放。
工具五:Session Hijacking
很多应用系统采用命令行登录是不安全的,尤其是telnet、rsh、rlogin及FTP程式,它们全是黑客攻击对象。任何一个黑客在连接了客户与服务器之间的网段后,可以用Session Hijacking工具接管会话。
当一个合法用户登录到命令行进行会话时,黑客可以找到此会话并马上代表用户接管此会话,重新连接客户,这样黑客便完全控制这个登录,进而黑客成为合法用户。而真正的用户会简单地认为网络出故障了,从而会断掉会话。
黑客圈里有大量此种黑客工具,最新的有 “Kra”于1998年11月编写的Hunt, 还有“daemon9”编写的juggernaut,它们均提供基本的Session Hijacking功能。
Session Hijacking防范
对于敏感的会话通信(如防火墙的远程管理、PKI或是其他重要部件的管理),选用一个有密码认证功能的工具把整个会话加密是一个好选择。Secure Shell (SSH)就提供这些功能。VPN产品也提供认证及会话加密。黑客没有在SSH或VPN工具里所用的钥匙便无法进行会话攻击。
快乐的结局
让我们回顾一下三个月前篇首所描述的攻击情节。
当你调查这次攻击时,你发现入侵者使用war dialing找出一个供用户使用的不受保护的调制解调器。随后他接管了这个系统,并扫描整个网络,把后门安装在网络内部的机器中。当黑客观察到一位系统管理员登录到公用Web服务器上时,他就接管该服务器,并用它开始攻击其他Internet站点。
经过此次事件,你的机构开始注意到安全防范的重要性,管理部门也授权你去实施一项口令及调制解调器政策,他们开始定期作war dialing及口令破译测试,以及安装自动监测预警系统。
经过施行这些新政策后,公司网络的安全性大大提高。你明白了只有认真学习并且施行防范策略才能免受攻击。即使日后又发现任何隐患,你也会迅速检测到并立即采取措施。
希望你有了这些知识后,可以在晚上睡个好觉了!
Back Orifice 简介
黑客一旦找出调制解调器并破译口令成功后, 他会做什么? 通常,他会在系统内安装后门程序以便他稍后再来。Back Orifice(或称BO) 是功能强大的后门制造工具, 它能轻而易举的使庞大的网络系统陷入瘫痪之中。
Back Orifice由黑客Cult of the Dead Cow (cDc)于1998年8月推出。BO包括服务器部分和客户部分。服务器部分安装在受侵者的Window 95机器上,而客户部分在黑客系统中运行。安装BO主要目的是:黑客通过网络远程入侵并控制受攻击的Win95系统,从而使受侵机器“言听计从”。
BO以多功能、代码简洁而著称。BO服务器只有121KB,安装迅速。BO客户软件用UDP包与服务器沟通,可配置到系统任何端口上,缺省是UDP 31337(黑客术语是“Elite”)。
BO具有许多特点:
·黑客完全控制文件系统,可以移动、编辑、删除及复制受侵机器的程序。
·可以捕获用户任何的键盘敲击。这点使BO产生强大的杀伤力。因为当受害者键入的是口令或公钥密码时,BO也将它们如实地存在文件中,以便攻击者日后取用。
·黑客可以在受侵机器上运行任何进程,并使这些进程可在任何端口上聆听。
·BO试图隐藏自己,不在任务列上出现。
·BO服务器自带Web服务器,这样黑客可以用Browser访问受害机器。
·其他黑客利用所谓的BO统一工具传输插件(即“BUTT plugs”),把BO功能进行扩充。已经推出的插件宣称可以经E-mail或IRC激活BO,这样,当工具在网络扩散时,就可以找到最新的目标。
·一个有效的BO嗅探器插件已被编写完成。
BO很容易安装。只要安装一个必须的简单程序,就能很容易并快速地安装所有BO组件。BO以多种形式传播,有时受侵者可能在毫不知情的情况下(经e-mail附件或Web站点传播)就被强迫执行安装程序了。
wrappers是和BO相关的工具之一,它可以把BO与无害的程序合并。例如:它把BO与一些不重要的软件(如文字处理器或是网络上流行的简单游戏)结合,然后,黑客将BO附在game.exe上,并把结果文件用email方式发给用户,假装通知用户,软件该升级了。当用户执行升级程序时,此工具首先安装BO,之后运行被结合的应用程序。用户只看到游戏在运行,却根本不知道他们已成为BO的受害者。最后,此工具可以由Web的不签名Java applets或activeX controls安装。
防范
虽然Bo试图隐藏自己(不出现在任务列上),但它仍然很容易被人发现。当进行人工检测BO时,只要在c:\windows\system 目录里找到122KB .exe文件,并与在windows Registry 里的HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\Default钥匙里的钥匙名比较即可。若二者是一致的,则证明系统中存在BO。(值得注意的是:文件名及钥匙名是由攻击者配置的,但缺省是:“.exe”)。最后,如系统中有BO存在,则可在c:\windows\system 目录内找到一个叫作“windll.dll”的文件。
尽管人工分析对少量机器有用,但进行大范围扫描则需要反病毒产品。有几家反病毒厂家已把检测BO功能融入其产品的最新的版本中。直至截稿,BO只针对window95进行破坏。但是,BO客户部分也可以在Windows及 UNIX下进行破坏工作。不要因为你用NT系统就可以高枕无忧。请注意,Carl-Fredrik Neikter所编写的Net Bus便是针对NT服务器进行破坏的,且功能与BO相同。Net Bus 2.0在1999年1月已推出。
其他攻击工具
ROOT EXPLOITS
攻击者利用ROOT EXPLOITS,使用普通UNIX帐号访问超级用户从而接管机器。攻击者在UNIX系统里有无数方法把自己升级。
ROOT EXPLOITS的防范
安全从业人员及系统管理员应参照Carnegie Mellon 的CERT(cert.org)及bugtrag (subscribe:list serve@net space.org)的安全简讯,密切注意新的exploits。当新的攻击被击破后,应迅速并且有步骤地为受影响的机器进行测试和安装厂家的补丁程序。对于对外公开使用的Web服务器、DNS系统、防火墙等,应该使用基于主机的安全监控软件检测寻找根目录的用户。
拒绝服务(Denial-of -service DoS)攻击
这类攻击会使系统混乱或变慢,直至不能再使用。在过去的两年中,这类攻击方法被黑客大量使用,而且攻击目标是操作系统、路由器、甚至是激光打印机,且攻击者使用的软件五花八门,如Ping O Death, Land, Smurf, Bonk, Boink及Latierra。这些攻击看起来不是那么凶猛,但公司却往往因此而导致系统瘫痪、员工闲置及交易流产,公司最终会付出昂贵代价。
Denial-of -service的防范
同样,密切注意最新攻击事件及频频安装系统补丁仍然是防范DoS攻击的最佳方法。当然,你也可以尝试在外部路由器放置反欺骗过滤器或设置好内部网络路由器以抵御DoS的攻击。
Remote Explorer
Remote Explorer是一个有很强杀伤力的NT病毒。它在NT系统中将自己伪装成一种服务。当管理员登录时,此病毒会使自己自动扩散到该域内所有NT机器上。在受影响的系统里,Remote Explorer会随机加密文件,而拒绝合法的访问。
Remote Explorer的防范
严密的反病毒措施及有效的病毒防范工具可以防止Remote Explorer的攻击