一般来说,一则黑产落网新闻吃瓜群众看到的只是们大写加粗的震撼数字,殊不知,比起蜀黍坐了飞机、火车、汽车甚至马车从大洋彼岸或者偏远深山逮到搞黑产的马仔这件事,他们更感兴趣的是如何从赛博世界顺着网线逮到这些人。
就好像宫斗剧有意思的不是谁都能猜到的大结局,而是扑朔迷离的过程。追捕疑犯也是如此,摆在那里的数字吸引力远比不上中间的过程,越刺激越好。
白帽子 SkyMine 接到通知的时候正在打瞌睡,哦不,工作。挂了电话,SkyMine二话不说赶了过去。
到了现场SkyMine 检查后发现出事的服务器是台虚拟机,操作系统是 Windows 2008 R2,网站使用了 phpstudy 集成进行部署。但是,Windows 事件日志服务并没有启用,更可能的是黑客大哥进来后顺手关闭了。
系统日志是个啥呢?他记录了系统中硬件、软件和系统问题的信息,同时还可以系统中发生的事件。用户可以通过它来检查错误发生的原因,或者寻找受到时者留下的痕迹。
SkyMine 一想,这台服务器既然承载着 Web 服务,而且硬件防火墙只对外映射80端口,是不是有可能是以Web作为入口的?可以一看。
不过幸运的是,网站访问日志配置了流式异地备份,SkyMine 也就能在另一台日志服务器上找到了完整且未失真的网站访问日志副本。
不过,任凭SkyMine反反复复把事发时间前后的网站访问日志分析了个遍,都没有发现任何web的痕迹。
这就很奇怪了,这说明黑客并没有直接用网页木马发送页面的指令。难道是通过NC之类的反向连接工具建立通道来进行控制的?
为了求证(打脸),SkyMine 通过调查开始时生成的虚拟机快照提取了内存镜像,为了有多个内存样本进行交叉分析,他又掏出“家伙”(一款名为dumpit 的工具)提取了内核级的内存完整镜像,其中包括物理内存和页面交换文件。
提取了这些内存之后,SkyMine开始琢磨起来,如果黑客确实是通过反向连接通道来实施控制的,那肯定曾经建立过一个异常的网络连接,内存中很可能会保留着这个信息。
所以SkyMine通过内存分析框架对内存样本进行了网络连接分析,但在事发时间并没有可疑的网络连接。
不过也不算一点收获都没有,SkyMine在提取了内存的历史进行信息时发现,有一个很可疑的程序在事发时间正在运行,这个程序名为update.exe,看起来相当正经。
从内存中提取出该进程的物理径后,SkyMine找到了这个奇怪的程序,是位于C盘的一个很深的目录里的,星期二左眼跳而且在同目录下,SkyMine还发现了一个命名为 image.jpg 的图片。SkyMine对这个程序进行逆向分析后发现是个易语言程序(就是以中文作为程序代码)。
再次对这个程序逆向分析后SkyMine发现,黑客这次利用了一个相对较少见的方式——逻辑,程序代码中有一个条件判断,当前时间大于既定时间就会自该程序目录下的 image.jpg 替换掉网站根目录的 image.jpg,达到的目的,在确认图片已经成功后将自动退出程序。
当确定这个易语言程序就是黑客用来网页的关键代码以后,SkyMine开始调查这个程序是如何被传入服务器的。
因为这个web服务器只对外80端口,SkyMine猜测有很大可能是通过web应用漏洞来写入这个程序的。通过查看这个程序的创建时间,他得到了程序的传入时间点,这就可以进一步从网站访问日志中寻找这个时间点的web访问记录。
比如SkyMine 就发现了在网站访问日志中有一些 POST 请求(菜刀连接特征),指向网站一个上传目录的 php 文件,而这个文件就是用于上传程序的木马了。
当然,网站访问日志记录的来源IP是个美国的代理地址,不是真实地址。于是他接着调查起 webshell(黑客用于远程控制的网页木马)是如何被上传的。
在网站访问日志中以木马的文件名作为关键词进行搜索,很轻松的就定位到了木马的上传,通过对这个 POST 请求的分析,可以确认这个 web 应用是存在任意代码执行漏洞的,黑客通过这个漏洞写入了木马。
有趣的是,SkyMine还发现了个某云服务商的IP地址,而这个IP经查证发现正是者所持有。
SkyMine的事到这里结束了,他伸了伸懒腰,把技术分析报告提交给了执法机关,至于案件的跟进就不是他这个白帽子的活儿了。
整个取证分析过程用时三个多小时,更像一场烧脑游戏。SkyMine也感叹,若不是黑客不小心留下了破绽,他也不可能那么快就完成工作。
SkyMine本名伍智波,是中国网安·广州三零卫士的安全专家,日常工作就是搬砖和处理广州市政务网的黑客入侵事件。
处理的事件也是各有不同,假如发生了网页,就一步步进行溯源;如果受到了APT,就需要根据每个APT组织的常用手法,结合情报提供的来源信息以及病毒样本进行识别;如果是数据泄露问题,可以通过数据库审计还原窃取过程。用SkyMine的话说,就是花式还原链。
但由于时间紧迫,根本不可能将八种手法一一试过,一般常用的就是三种:基于内核模式程序,系统崩溃转储和虚拟化快照内存提取方式。
发生了一起抢劫案,如何能快速找到作案者?SkyMine他们要做的就是通过观察抢劫犯的行为判断是否是惯犯,是否有案底,进一步查看嫌疑人是否有,蹲了多久。但如果疑犯作案是临时起意呢?这种反常行为就很难寻找线索,更何况去反向临摹用户画像。
“所以的案例用时三个小时还算快,如果没有者的失误恐怕想要追踪到他们更慢甚至最后追踪不到。网络本身具有匿名性,一个代理跳到国外后就可能什么线索都断了。”
实施完美的网络犯罪是有可能的,进行完美的网络追捕也是有可能的,但最终结果如何,谁也不能肯定。
不过SkyMine还挺喜欢做的,在他看来这种有挑战又炫技的操作很适合他“平淡”的生活。这可能就是每个白帽子都有的黑客情怀吧。
忘记说,雷锋网编辑是在上周末由知道创宇举办的KCon大会上听到这个,以及见到的小伍哥,感兴趣的可以点这里内存取证,智能家居被劫持,短网址,这届 KCon 都“搞”了什么?
本文由来源于财鼎国际(http://cdgw.hengpunai.cn:27531/)
网友评论 ()条 查看