记某次应急响应的社工分析
某日,一客户服务器被黑, 我马不停蹄地奔向客户现场做应急处理,分析日志发现此次事件是由 3389 端口远程被爆破所致(3389 是一个远程桌面的端口,很多人为了更方便管理服务器,经常会开启 3389 端口,一般默认账号为 Administrator 或 admin,而对于其他简单的密码,在 3389 密码字典中均可找到。)具体分析过程就不说了,但是在排查隐患时发现客户服务器被安装了有意思的东西,程序后台隐藏运行,安装包却还在服务器上面,既然都隐藏运行了却没有删安装程序,也是有点奇葩。
E流量、流量矿石、旺宝挂机、柠檬挂机等等。
大概看了下这些软件,都是以损耗宽带流量,来获得某些虚拟交易币或者刷网站访问流量,这些软件的存在就会造成服务器宽带资源和性能大量消耗,并且会出现夹带恶意广告的问题。
在这其中一个程序中发现了一个账号,竟然是用QQ号来注册的,因为不管是恶意刷流量或者挂机消耗资源,最终的目的就是把这些兑换为金钱,所以大胆猜测这个账号对应的QQ号或许属于攻击者所有。
那么如何通过疑似攻击者的一点小线索来进一步确认身份呢,好奇心驱使下,我跟随这条线索开启了一段 “社工” 之旅。
“社工” 是社会工程学的简称,那么什么是社会工程学呢?
维基百科给出的解释是:“操纵他人采取特定行动或者泄露机密信息的行为。它与骗局或欺骗类似,故该词常用于指代欺诈或诈骗,以达到收集信息、欺诈和访问计算机系统的目的,大部分情况下攻击者与受害者不会有面对面的接触。”
常见掌握社会工程学的人员有哪些呢?
黑客/渗透师:必备技术之一,大大小小几乎每次的攻击中都会使用到,常见的如:钓鱼攻击,APT 攻击等。世界头号黑客凯文米特尼克的《欺骗的艺术》基本都会看过。
身份窃取者:在当事人不知情的情况下,使用他人的名字、银行账号、地址、生日、身份证号等个人信息,这种模式非常多样化,包括穿上某种工作服来冒充该行业的人,也包括设置精巧的骗局。生活中常见的有:电话诈骗、短信诈骗等。
高级骗子:总是利用他人的贪婪心理,诱发人们 “发财致富” 的想法。通常他们都会 “读心术”,基本可以包括心理暗示,心灵控制,行为心理学等,通过一些小细节就能确定是不是适合的目标,他们在造势方面也相当有技巧,让目标认为这是天赐良机。网络中常见的如:微商,背后的推广团队营销团队;生活中的如:心灵培训班,传销。(如何学会识别这些?推荐本书《洗脑术》)
心怀不轨的员工:泄露公司保密信息,窃取机密文件等。
高端猎头:很多时候猎头不仅需要考虑和迎合求职者的需求,也要全面审视雇主的想法。
销售人员:与猎头类似,销售人员也必须掌握很多人际交往的技能。很多经验丰富的销售人员,不需要操纵他人,而是利用自己的技巧发现客户的需求。例如销售的艺术包括信息收集、诱导、影响、心理把握等。
医生/心理咨询师/律师:他们同样采用诱导、正确的谈话方式和询问策略,以及社会工程学的许多甚至全部心理原则来操纵客户采取他们所期望的行动。
社会工程学的实施过程大概有这几部分:信息收集,方向诱导,伪造身份,心理战术,影响战术。
场景原因,我这个案例也就只涉及到,信息收集方面。
先看看我偶像猪猪侠在知乎中回答社会工程学的问题:
可以看出收集公开信息,在社工的中是非常重要的前提。
简单介绍下信息收集关注的点:
个人信息类:工作/上学,生活习惯,联系方式,身份信息,用于密码分析的特殊字符或者短语等
相关网站类:社交网站,媒体网站,个人博客,公司网站等
而以上信息几乎能通过搜索引擎来找到,其他方面的信息收集,例如:服务器信息,WEB 指纹框架等这次就没涉及到的。也可以去了解下国外有一个很优秀用于社会工程学攻击的框架 Social-Engineer Toolkit。
那么,回到主题,既然已经有直接的方向,可以先从 Q 号的信息作为切入点,google 搜索走起,不要问我为什么要用 google 不用 baidu,反正我不会告诉你。
找到了一个有关联的网盘共享地址
继续搜索,找到了个以目标 Q 号命名的工具,嗯?有自己写工具了,看名字应该是 3389 远程爆破之类,前面就说了,在处理客户这个入侵事件中就分析出来是被 3389 远程爆破的,嗯?不会就是用这玩意整的吧,那攻击者的身份就基本对应上了。
下载回来,看到压缩包的内容,主程序图标竟然让我有种似曾相识的感觉?
果然,这不是国外的一款 3389 爆破工具 DUBrute 么,本宝宝此时内心是崩溃的,大兄弟你重命名改成自己的专版好歹也再改下 title 版权这些才像样点哇!
根据网盘的个人信息继续扩大收集范围,根据信息整理的结果包括:在几个黑客论坛有注册账号,有两个百度账号,微博账号,分析了一些发表的内容,可以确定攻击者就是此人,就读于南雄一中,高三学生,比较二次元。
回过头来查查 QQ 信息,确实是南雄一中 18 岁的高中生无误,再放照片一张。从网盘上传工具的时间 2013 年来看,开启快速心算法:2016-2013=3,18-3=15,哎呀,我的妈啊,15 岁就接触黑客技术了!回想当年,15岁的时候我还是个天天只会在桌球场叱咤风云的小逗比啊!!!
顺带着,社工库分析下,一些黑客论坛的账号注册记录,解密下 MD5 密码得到:zhiyaoni9410,guaiguailp520,zhiyaoni9420,123456789a,其实通过已知的一些信息和破解的密码就可以开始组合密码字典来进行暴力密码分析了,只是原本以为会是个专门做刷恶意流量挂广告黑链的黑产一条龙团队,激发了洪荒之力准备开大招,却给了我这样的结果,也就没多大兴趣继续了。
另外的数据库中还找到了这人以前用过的网名,沉睡的森林,也是有那么点缘分了,以前曾经和几个小伙伴的团队就叫“沉睡森林”,sleepforest.com 这域名也因我智障忘了续费到期被别人抢注遭小伙伴们吐槽了很久
随意找了个 QQ 原本想加下他让他看看 Eric S. Raymond 的那篇《How To Become A Hacker》感受下正确的路,结果发现添加请求是拒绝的,也不想暴露自己的微信号,就到此为止了。这方面的技术原本就是把双刃剑,有的人成为白帽黑客,有的人在犯罪边沿徘徊,我也阻止不了别人忠于内心的选择。 正如:从善如登,从恶如崩?