揭秘黑客界:黑吃黑事件
背景
习科安全顾问团队于5月份发布了《针对黑客M3QD4D的分析报告》引来各种技术达人吐槽不断,我们借本份报告对上个月的报告做一下说明。
第一是对所谓的大牛,传说中的大牛是不是都是事情没见做了多少,倒是吐了一口好槽,本着对技术的尊重还是希望大牛吐槽前先做好自己的事情;第二是内容,认定一个网站被某个人入侵是需要有充分的证据,否则不但无法指证而且嫌疑人还有权怀疑是嫁祸,习科的分析报告是有理有据的指证报告,科普文请左拐百度右拐谷歌;最后关于发布,凡是习科公开的报告都是已经被我们研究透彻再没有任何利用价值的报告,换句话说,仍然有价值或者更高深的研究报告仅限于我们内部调研,待到没有价值时我们才会公开它们。
更简单的说,我们是在表明一种态度:有一份已经公开的报告,就意味着有更多份价值更高技术层次更深的报告还没有公开。
1)从Webshell后门引发的血案
国内最著名的黑吃黑事件谁也说不好是什么,但要说持续时间最长规模最大,那无疑就是幽月的webshell后门事件了。从六七年前脚本式入侵兴起,一路的鼎盛一直到今天,幽月带后门的webshell仍然充斥在互联网的诸多角落。尤其是许多脚本小子利用网上公开的0day、编辑器漏洞傻瓜化的批量拿站,因为不懂代码而下载使用了带后门的webshell却浑然不觉,自己拿多少网站都是免费上贡给别人却还一边洋洋得意。
无论是对幽月的后门还是对其他的webshell后门,其实都不难以理解,基本都是一个套路下来。创建自定义函数,将url和密码处理一下,大部分通过GET方式提交到某个地方,然后这个地方就会被旁注、站长被社工、脱裤等等一系列黑吃黑吃黑吃黑的行为发生。
不过近日我们截获了一枚非常奇葩的黑吃黑webshell后门,之所以出具这份报告,也正是因为“奇葩”。这位黑客进行Webshell黑吃黑、盗QQ、XP弱口令入侵、扫描局域网QQ号,破解wifi无线密码,而这位黑客的真实身份竟然是启明星辰的安全培训讲师。看下去就知道了。
1.1 webshell的奇葩后门
我们截获的这个后门名为“2013最新超强免杀asp大马”,webshell体积为139,422 byte,
压缩后体积为77,723 byte,webshell除了密码部分外,其余部分都是进行了VBScript.Encode编码过的。反编码vbs encode其实很简单,网上有很多工具,甚至还有一些是在线反编码的,如果图省事可以到习科的兵器库的加密解密部分下载asp反编码工具。
在webshell的line 3定义了登陆密码:
UserPass="123456" ' 修改密码
通过跟踪程序如何处理 userpass 变量可以比较快速的确定 webshell 中是否有密码传递型后门(将明文密码和地址传送到指定地方的我们称之为密码传递型后门,在程序中添加特定验证密码的方式我们称之为万能验证型后门)。在密码登陆验证模块还列举了一个“serverp=userpass”的变量,因为这个 serverp 变量在程序中其他位置未找到任何引用。
我们对这个变量不进行关注,继续跟 userpass 变量的动作:
if session("web2a2dmin")<>UserPass then if request.form("pass")<>"" then if request.form("pass")=UserPass then session("web2a2dmin")=UserPass response.redirect url else rrs"<br><br><br><br><br><br><br><br><center> 密 码 不 正 确 , 请 确 认 是 否 输 入 有 误 ! </center>" end if
以“web2a2dmin”为关键字我们搜索到了很多以这种验证方式为例来讲述万能验证型后门的文章。但是明显上面的代码并没有添加万能验证型后门。那我们继续跟踪userpass变量的后续动作,在程序的最末尾,我们跟踪到的结果:
作者定义了一个SendMail连接smtp服务器进行email发送,前面没有任何的判断语句,只要访问这个文件一次,程序就会使用 swl412@163.com 邮箱给 784580391@qq.com 发送一封Email。Email的主题叫做“好运来”,正文是UserPass和url变量的内容。也就是说不管你定义什么样的userpass,不管是不是你上传的webshell,只要访问一次,密码就发送到 QQ为784580391的用户了。url变量在上面也有定义,没有什么需要分析的地方,就是定义了webshell的路径和url地址而已。 以前只听说过有盗号木马通过email发信,没想到webshell里面也有通过email发信的盗号行为,这就是我们说的奇葩后门了。
这里的号码是564380372,而不是收信地址,是不是得到前面的假设成立呢?假设成立了,则逆推失败,163发信邮箱持有人与QQ号码使用者不是同一个人,幕后黑手另有他人,这位163邮箱使用者孙先生躺枪。如果故事这么简单,还会叫故事吗?好戏上演。
1.2 黑吃黑反吃
毋庸置疑,这个发信email的密码肯定是与发信邮箱匹配的。不过发信邮箱未必就是幕后黑吃黑的黑手,那么我们使用反推法进行论证。 QQ邮箱是幕后黑手的可能性超过90%,而发信的163邮箱不确定其主人是谁,若QQ使用者和163邮箱使用者不是同一个人,那么幕后黑手就有10%的概率不是163邮箱的持有人。我们假定发信的163邮箱不是幕后黑手,那么QQ使用者和163邮箱持有者就不是同一个人。首先我们发现了一封Email,是关于公务员方面的:
发信的163邮箱持有人似乎是公务员相关,是否降低了163邮箱使用者是幕后黑手的持有人的概率?概率不是事实,我们继续看下去好了。我们在邮箱的基本设置中找到了一个即时通讯软件POPO的号码,不过通过搜索,我们还是认定应该是腾讯QQ而不是网易POPO的号码:
这里的号码是564380372,而不是收信地址,是不是得到前面的假设成立呢?假设成立了,则逆推失败,163发信邮箱持有人与QQ号码使用者不是同一个人,幕后黑手另有他人,这位163邮箱使用者孙先生躺枪。如果故事这么简单,还会叫故事吗?好戏上演。
2) 从Email开始
2.1 常用账号与密码 整理下我们目前得到的信息,幕后黑手QQ号码784580391,疑似幕后黑手的163邮箱用户swl412@163.com,疑似幕后黑手的163用户的密码n****a,疑似幕后黑手的163用户的QQ号码564380372。我们拿密码n*****a登陆QQ号码显然是徒劳的,不过我们用来登陆swl412其他的账户还是很有说服力的。
第一个中枪的是 Yododo 游多多,这个网站的地址是 www.yododo.com ,我们发现了一名注册用户swl412,并且使用n*****a成功登陆该网站。注册人swl412的联系信息中写的QQ号码就是784580391。
不过很可惜,在这个网站中swl412这个注册用户的注册邮箱 swl412@163.com 并没有通过邮箱认证,虽然用户昵称和密码都是一致的,但是邮箱不能判断其真实性,我们不能以此来断定QQ号码持有人与163邮箱使用者是同一个人,这里唯一用的上的地方就是我们可以通过生日来辅助确认账号使用者,但是这种确认并不可靠,仅仅限于辅助而已。
下一个中枪的叫做 探针论坛, 地址是www.linuxprobe.com ,我们看一下这个论坛的说明:“探针论坛是国内首家基于Linux开源理念和Hack共享精神为一站最具人气的综合技术黑客论坛”,这里我们不对其论坛做出评价,我们只看注册用户swl412相关的信息。
仍然是使用swl412和密码n*****a来登录,仍然是成功的登陆,在个人信息的联系方式中,我们看到了通过验证的Email地址:
通过认证的Email邮箱就是幕后黑手的QQ 784580391使用者。果然是黑客,而现在越来越明朗,QQ使用者和163持有者为同一个人的概率越来越大了。下一个中枪的是迅载网盘,地址是user.xunzai.com :
这里的认证邮箱是 swl412@163.com ,上传的文件是“指定入侵xp弱口令ip 教程.rar”,果然还是黑客。因为站点太多,我们不进行一一截图列举,我们以列表的形式来把我们得到的信息理一遍:
网站: 用户名 邮箱 QQ ip Yododo 游多多 swl412 swl412@163.com 784580391 null H3C技术论坛 swl412 163 null 172.0.0.1 ChinaUnix swl412 swl412@yahoo.com.cn 4304986 221.221.208.227 迅载网盘 swl412 163 null null Backtrack中文网 swl412 163 null 219.239.50.188 思科技术论坛 swl412 163 null 221.220.137.249 黑手安全网 swl412 QQ 784580391 null 长沙网 swl412 QQ null null AIX专家俱乐部 swl412 163 null null 添翼圈 swl412 163 null 219.239.50.189 红联Linux论坛 swl412 163 null 221.223.20.232 偶要雷锋 swl412 163 null 123.118.200.12 米吧 swl412 swl412@yahoo.com.cn null null 天天招生 swL412 163 564380372 null 你我他 swl412 163 null null 驴友网 swl412 163 784580391 119. 253.36.101 筑龙网 swl412 163 null null 中国通信网 swl412 163 null 123.118.194.9 豆丁网 swl412 163 null null 拼途网 veron qq 784580391 null 好玩 swl412 swl412@tom.com 784580391 null 武汉誉天 swl412 163 564380372 221.220.143.216
其实我们还登陆了一些一夜情之类的网站,这里我们就不列举了。现在我们已经可以确定这位163发信人和QQ持有者是同一个人了,也就是webshell黑吃黑的幕后黑手。 那么到这里,我们可以理一理,这个人的信息如下:
常用登录名:swl412、verson 常用密码:n*****a 常用邮箱:swl412@163.com、swl412@yahoo.com、swl412@tom.com 常用QQ号码:564380372、784580391、4304986(疑似) 常住地址:北京 常去网站:黑客类、技术类、旅游类、一夜情类、色情资源类
2.2 真实身份 首先我们在 swl412@163.com 这个收信邮箱里面多处发现一个签名如下:
该签名最早可以追溯到2012年5月的信件,最后一次见于2013年5月。看他喊得口号就知道是启明星辰的人了。进一步证实一下:
孙维隆的邮箱并未被退信,说明邮箱是存在的(已测试地址若不存在会退信)。那么这个 孙维隆 确实是 启明星辰 的人,手机号 13671076325 和13671076329 曾多次出现在注册的网站上面,后者真实性未考证。不过真实性考证过的就是这个人的确是启明星辰的员工了。
我们不小心翻到了孙维隆的通讯录备份,通讯录里面被标注上启明的人员有32名,较为敏感的还有总参自动化何***,田**参谋,疑似总参中的参谋有五六名,还有不明身份但是可进一步获取信息的人员N名。最终我们确定孙维隆于2011年7月18日到岗启明星辰,聘用通知由刘艳华发出。 职位和个人信息确定了,我们再来看看别的,比方说这个人长得是什么样子。
孙维隆在“好巧”网站上面发布的个人照片如下:
两张照片上的人长相基本吻合,原来是毕业于著名的北京大学,计算机科学与技术专业。在存放学生证件照的地方,我们同时发现了身份证照片。身份证显示照片上的这个孙维隆出生于1974年4月12日,户籍是黑龙江省宝清县区,身份证号为230827197404124**0。那么还有什么信息我们没有知道? 既然都知道了,就开始吐槽吧。
3) 吐槽 首先我们看一下孙维隆在启明星辰中的岗位。
1、执行安全技术培训; 2、负责编写培训教材和讲义; 3、开发安全管理类培训或开发安全防御技术培训; 4、拓展安全培训市场。
然后我们来看一下这个人的技术水平?我们认为这位“奇葩”黑客确实是有非常高超的技术水平的。理由有多个,第一,这位黑客是毕业于中国最高学府之一的北京大学,专业对口;第二,也只有在启明星辰这样的顶尖技术公司常年的磨练才会达到如此的境地;第三,也是最重要的,这位非主流黑客巧用CDONTS解决了ASP的Jmail组件问题。所以我们的讨论结果一致认为,他给启明星辰这样的公司做培训尤其是安全开发,一定能让启明星辰的整体技术更“上”一个层次。
不过仍然有很多事情令人费解。习科网络安全顾问团队有明确的规章制度对团队成员的 密码做出要求:
1,密码长度不短于10位,必须包含数字、字母和符号 2,常用密码至少有3个 4,常用通讯工具以及经常访问的网站不得用同一个密码 5,临时注册非习科站点必须使用yopmail.com临时邮箱以及6位纯数字密码注册 6,临时注册站点严禁填写任何真实个人信息
我们不解之处一:启明星辰是如何规定自己公司内部员工的密码,一个纯字母的短密码通杀了某位安全专家的全部账号,而且还是个讲师级别的,这种事情是否普遍存在,或者这种事情是否被普遍培训。莫非已经成为一种“习俗”?
另外不知道启明的人事考核标准是怎样的。我们自己的技术人员的挑选通常要进行长达半年到一年的考核,在 技术水平、保密意识、安全意识、团队意识、道德观念以及学习能力方面均达到标准才会被聘用。大家都知道习科有个网络交流论坛,但是很少有人知道习科有多少人,都有哪些是习科的,习科是为哪里工作的。
习科的技术培训讲师另外还受聘于美国UBM科技公司,具备黑帽子大会的讲师资。不管怎样,最起码我们的团队不会去搞一些webshell黑吃黑啊、QQ第六感局域网扫描、QQsniffe嗅探器2.0豆芽XX破解版、无线wifi破解这类极为低档和没有水平的事情。更不会因为上黄网上多了导致邮箱到处发送“加极品妹QQ”的事情发生。黑吃黑的非主流黑客孙维隆的培训ppt我们认真看过,对此我们已经无力吐槽。最后的吐槽留给:
如果我们团队是一支效力于美国中情局的安全团队,那么启明星辰公司是否会被成功的持续性渗透? 一个与Gmail案例极其相似的持续性攻击发生其实并不难,我们轻松的破解了孙维隆的联系人名单,最终结果就可能是一份解放军总参谋部网络安全相关参谋部分名单被敌方掌握。 又例如一份长达192页的 《xx部队网络安全建议方案》惨遭美国中情局等部门窃取;从长达53页的 《启明星辰蜜网解决方案》 得到反蜜网方案最终蜜网形同虚设;251页 《航空航天大学 无人机所项目技术方案》 的多年科研成果拱手送人……
上面列出来的种种可能性有极高的概率发生,除此以外,诸如伊拉克油田建设项目投标文件,疑似启明星辰公司部分无线路由器密码等等,越多的信息暴露就能牵扯出更多的信息暴露。最终导致的结果就是中国最大的网络安全公司连同解放军总参谋部都被敌方成功的持续性渗透,对此我们完全可以出具一份可行性分析报告。
网络安全不在于产品多智能,技术人员规模多大,或者有多么雄厚的财力投入到什么样的安全建设上面。在技术水平上安全同行们把技术做到“世界先进水平”并不值得炫耀,因为这是所有做安全的厂商应该达到的最低高度。最大的安全漏洞其实在人,因人制宜的把“人”这个因素加到安全解决方案中防范持续性渗透是网络安全新时代的课题。
来源于: FreebuF.COM