萬馬奔騰、裝模作樣 (Trojan: Trusted Insider)」 by 阿碼科技 Dr. Benson Wu
引言與大綱
大 家好!我是吳明蔚,今天很高興能夠來到北京參加OWASP會議。今天的主題是跟木馬有關,駭客最喜歡的就是木馬,木馬這個故事大家都知道,它是一個看起來 不怎麼樣的東西,你以為它是禮物,把它默默的推到城裡面,後來它作怪。其實不像我們現在的木馬,現在的木馬是張牙舞爪,行為是很明顯的,防毒軟體一看到它 就會發現它是病毒。
我介紹一下我自己,我在臺灣出生,在菲律賓長大,我老婆是長沙人,我自己認為我們現在這個時代非常幸福,因為以前沒有 網際網路的時候自己頂多能夠幫助一個人,學醫再怎麼樣厲害頂多一次救一個人,但是網際網路可以幫助很多人。所以我很喜歡李開復和大家分享的一句話,就是 「做最好的自己」。你可以學很多觀念,但是你自己要有你自己的價值觀,做最好的自己。
引用一下美國SANS的CEO的一句話,「走這行, 快學中文」,外國人開始知道在中文的世界有很多資訊安全寶藏可以學習,我們的技術文章不僅先進,也有很多人樂於分享視頻教學,節省其他人學習的時間。相對 的,做為中國人,那應該學什麼?我覺得應該學俄文,在俄文世界裡有很多無論是攻擊的武器還是各類地下經濟都可以做很多切磋。以下是今天的演講的大綱:首先 從一些案例來分享什麼是木馬?木馬為何要裝模作樣?再談一談掛馬的一種常見方式: SOL盲注入。最後是歸納木馬產業鏈的樣態,也就是對地下經濟而言: 管他什麼馬,賺大錢最重要。
什麼是木馬?
它 是一種惡意軟體,在資訊網路大量出沒。木馬可以做什麼呢?它可以做一些遠端的控制,像是有的人在單戀,拿木馬用在不當用途做強制視頻。它可以充當跳板,譬 如發現一個網站有漏洞,但是我想打它的話會被他看到我的IP,所以我就要找一個受害者當跳板。或者是說我要寄大量的垃圾郵件,我就拿別人的郵件伺服器去 搞,讓他背黑鍋。其實我覺得安全有趣的地方是在於 它是在玩弄「數位落差」和「資安意識的落差」。因為在實體安全上我們知道怎麼樣小心強盜,怎麼樣小心小偷,我們知道怎麼樣避免,看起來鬼鬼祟祟的就會去小 心。但是在網路上很多人不知道要如何去小心木馬,因為網路上面有很多電腦的知識是大家無法理解的。也許我們理解了,但是爸爸媽媽們不理解,爺爺奶奶們更不 理解,所以上面有很多安全的東西很有趣。
我這邊舉個很有趣的例子,講一下假的防毒軟體,防毒軟體是一個很大的產業,非常賺錢。但誰會想到 賣假的防毒軟件竟然也是一個很賺錢的生意。假的防毒軟件之所以能夠成功,就是玩弄敵我雙方的「資安意識與知識」。再來我們看,有時候你會收到很多郵件跟你 講學校的郵件伺服器壞掉了,需要維護,要讓你填下你的資訊來確認,有的人一眼就看出是騙人的玩意,但也許它發1萬封,最終有幾個人上當了,它就是抓這類的 機率。再來我們看最近流行的Unicode混淆副檔名的社交工程手法。這類東西是Windows本身就有的功能, 它讓使用者能指定顯示文字的方式可以從右到左或從左到右,它顯示的方向不一樣。這樣的東西是五年前就有,但最近拿來用還是非常有效,又是一個挑戰你的「資 安意識與知識」的例子。正牌的防毒軟體大概有好幾十種,像是VirusTotal上面有整合的大概四十來種,但假的防毒軟體居然有超過250種品牌! 假的防毒軟體還有網上客服系統呢! 你買了這個假的防毒軟體還可以跟它的客服互動。其實平常在網路上逛大家都有機會遇到木馬,古人說人善被人欺,現在是人善被馬騎!
U+202E Unicode攻擊手法
掛馬技巧:盲注入為例
分 享一下怎麼樣做盲注入,這是網路上的一些入侵畫面,拿出一些國產很厲害的工具直接可以打到後面的資料庫。下一步是把馬放上去,解碼之後的注入碼是像這樣子 的,基本上它只要一行注入碼,就可將所有資料庫欄位塞滿他注入的木馬連結,所以不是一個網站只有塞一隻馬,是每一個頁面每一個欄位都塞,讓你清的時候清到 瘋掉。我們看這個受害案例,這邊有被塞一匹馬,那裡也有一匹木馬,它真的是一個頁面重複出現好多次相同的木馬。最有趣的地方是旁邊也有一個,但是不一樣的 一匹木馬,所以是前赴後繼,各路好手都來塞各種木馬,只要漏洞沒被修補,就不會只是一次傷害、二度傷害,而是每個攻擊方經過都會持續加害。
木馬從張牙舞爪到裝模作樣
木 馬長什麼樣我們可以看一下幾個實務案例,目前這個產業流行的木馬基本上都非常的隱蔽,有的是你明明知道這個是木馬,但是就是砍不下去,包括它DLL或 Code注入至重要系統程序裡面,或以系統服務或驅動程式之姿出現。剛剛我們看到的這些都是木馬目前的現狀,目前的現狀是亂槍打鳥(或亂槍打肉雞),抓到 的量就夠它這個產業。但一旦後來發現這樣已經不能活了,譬如它每次只要一出現,防毒軟體的阻擋率是百分之百,那麼它一定要開始走裝模做樣的路線,這就是未 來大家更需要擔心的。因為最危險的就是披著羊皮的木馬,滿口任意道德的木馬,它們說自己是免費軟體,他們不隱藏程序,他們不利用零時差漏洞,但偷偷摸摸作 怪,讓你毫不知情。這可以延伸到很多地方,其實你會擔心的東西不會只有網路,我更擔心的是延伸至各種關鍵基礎建設的系統,譬如醫療這類的東西,如果你看病 的時候醫生開了藥給你,但是醫生開的藥跟你最後拿到的藥不一樣,這不是很好笑,是很可怕,最後都可能死掉。
膽戰心驚的諜報情節,木馬又何嘗不可如此揣摩?
木馬創造的地下經濟
為 什麼駭客會把時間花在刀口上?因為它可以賺大錢,以前大家都知道的80/20原則,現在更有90/10的賺錢之道,就是10%的人掌握大部分的財富。其實 木馬可以用在洗錢,可以用在製造偽卡,可以產生物美價廉的虛擬商品市場大餅。洗錢會不會被抓,當然會,我們看這邊的交易紀錄,還是查得出來是匯到誰的人頭 戶頭。但為什麼這樣的罪犯在集團中稱為是Mule(螺子)?因為他們是最下階層的,螺子是馬和驢子的下一代,沒有翻身和繁殖下一代的機會,所以FBI抓到 的是洗錢集團中最沒有價值的一群罪犯。真的要抓的話應該抓上面大的,中國固然處處是黃金,但我們看到很多重大犯罪案件,那些作惡多端、無惡不作的都沒能包 得住火,躲不掉國家的嚴峻制裁。偽卡這個畫面大家看一下,就是它讓購買信用卡變得像買一般民生用品一樣簡單,這些都是它們偷來的假的信用卡,但我們可以看 到都是基於真實的信用卡的數據。也有很多假的虛擬商品,也就是贓貨,明明一個商品的價格要100塊,但是它只賣你10塊,而且它是有效的。也可以買 DDoS阻斷式攻擊服務,也就是說我自己沒有機器我就去買一個DDoS的服務打人家。現在不僅防守方可以有資安的SaaS防禦服務,攻擊方也可以拿殭屍網 路做SaaS攻擊服務!
搞木馬不是為了好玩,黑客是為了賺大錢
網路購物的品項包括信用卡...
我 們以 TDS (流量分散系統)來說明各方在這樣產業所扮演的角色。譬如說S先生今天很會掛馬,可以一下子掛一萬多網站,這個JS可以把所有看到這個網站的人都通通指向 一個網站,瞬間創造1萬個人到那個網站,所以S先生就是流量產生者,S先生會賣流量,所以掛馬的人可以賣流量,它是賣家(Seller)。那誰會是買家 (Buyer)呢?買家就是需要人家變成僵屍網路一員的人,比如B先生希望人家中他的木馬,“你能不能夠幫我創造每小時100個人來瀏覽我的網站?”這樣 每小時就會出現有100個僵屍。我們再回顧一下剛剛那個防毒軟體,各位看一下它的銷售體制,這邊是激勵制度。這個圖是有多少個人看到這個頁面 (Unique visitors),有多少個人安裝(installed),有多少人買(sold)。各位看一下他的收入多少,他一個人一個禮拜賺2 萬多塊美金! 以這個集團為例,目前有約500名銷售代表,而在這個激勵制度刺激下,我們看到第一名的銷售人員可達月收入332,000美金,還有車子等大獎等著大家去 衝假的防毒軟體的業績!
總結: 當木馬真的成為木馬
最 後我總結一下木馬的明天,隨著各種作業系統、應用軟體的加固與安全設計,譬如更穩定的IE8/9瀏覽器,Windows 7中更良好安全架構的DEP + ASLR + SEHOP + Low Integrity等等,這些對於防範張牙舞爪的木馬都會很有效果,可是零時差漏洞這種東西是可遇不可求的,有時候是要花幾萬塊錢,甚至十幾萬上百萬人民 幣來買,可是有那個必要嗎?再良好的安全設計都無法阻止你點兩下把一個不可信的軟體安裝起來。不過現在木馬的猖獗已經讓全民心驚膽跳,如果你要不認識的人 去看你的空間,他們可能都不敢去你的空間,因為怕你的空間有木馬。其實真正的木馬是它在你身邊你都不知道,這才是真正的木馬,而不是像現在這樣木馬是很明 顯的,謝謝大家!
木馬的明天...無可限量
轉自 http://armorize-cht.blogspot.com/2010/10/owasp-2010.html?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+blogspot%2Farmorize_cht+%28%3F%3F%3F%3F%3F%3F%3F%3F%3F%3F%3F%3F%3F%3F+Blog%29
引言與大綱
大 家好!我是吳明蔚,今天很高興能夠來到北京參加OWASP會議。今天的主題是跟木馬有關,駭客最喜歡的就是木馬,木馬這個故事大家都知道,它是一個看起來 不怎麼樣的東西,你以為它是禮物,把它默默的推到城裡面,後來它作怪。其實不像我們現在的木馬,現在的木馬是張牙舞爪,行為是很明顯的,防毒軟體一看到它 就會發現它是病毒。
我介紹一下我自己,我在臺灣出生,在菲律賓長大,我老婆是長沙人,我自己認為我們現在這個時代非常幸福,因為以前沒有 網際網路的時候自己頂多能夠幫助一個人,學醫再怎麼樣厲害頂多一次救一個人,但是網際網路可以幫助很多人。所以我很喜歡李開復和大家分享的一句話,就是 「做最好的自己」。你可以學很多觀念,但是你自己要有你自己的價值觀,做最好的自己。
引用一下美國SANS的CEO的一句話,「走這行, 快學中文」,外國人開始知道在中文的世界有很多資訊安全寶藏可以學習,我們的技術文章不僅先進,也有很多人樂於分享視頻教學,節省其他人學習的時間。相對 的,做為中國人,那應該學什麼?我覺得應該學俄文,在俄文世界裡有很多無論是攻擊的武器還是各類地下經濟都可以做很多切磋。以下是今天的演講的大綱:首先 從一些案例來分享什麼是木馬?木馬為何要裝模作樣?再談一談掛馬的一種常見方式: SOL盲注入。最後是歸納木馬產業鏈的樣態,也就是對地下經濟而言: 管他什麼馬,賺大錢最重要。
什麼是木馬?
它 是一種惡意軟體,在資訊網路大量出沒。木馬可以做什麼呢?它可以做一些遠端的控制,像是有的人在單戀,拿木馬用在不當用途做強制視頻。它可以充當跳板,譬 如發現一個網站有漏洞,但是我想打它的話會被他看到我的IP,所以我就要找一個受害者當跳板。或者是說我要寄大量的垃圾郵件,我就拿別人的郵件伺服器去 搞,讓他背黑鍋。其實我覺得安全有趣的地方是在於 它是在玩弄「數位落差」和「資安意識的落差」。因為在實體安全上我們知道怎麼樣小心強盜,怎麼樣小心小偷,我們知道怎麼樣避免,看起來鬼鬼祟祟的就會去小 心。但是在網路上很多人不知道要如何去小心木馬,因為網路上面有很多電腦的知識是大家無法理解的。也許我們理解了,但是爸爸媽媽們不理解,爺爺奶奶們更不 理解,所以上面有很多安全的東西很有趣。
我這邊舉個很有趣的例子,講一下假的防毒軟體,防毒軟體是一個很大的產業,非常賺錢。但誰會想到 賣假的防毒軟件竟然也是一個很賺錢的生意。假的防毒軟件之所以能夠成功,就是玩弄敵我雙方的「資安意識與知識」。再來我們看,有時候你會收到很多郵件跟你 講學校的郵件伺服器壞掉了,需要維護,要讓你填下你的資訊來確認,有的人一眼就看出是騙人的玩意,但也許它發1萬封,最終有幾個人上當了,它就是抓這類的 機率。再來我們看最近流行的Unicode混淆副檔名的社交工程手法。這類東西是Windows本身就有的功能, 它讓使用者能指定顯示文字的方式可以從右到左或從左到右,它顯示的方向不一樣。這樣的東西是五年前就有,但最近拿來用還是非常有效,又是一個挑戰你的「資 安意識與知識」的例子。正牌的防毒軟體大概有好幾十種,像是VirusTotal上面有整合的大概四十來種,但假的防毒軟體居然有超過250種品牌! 假的防毒軟體還有網上客服系統呢! 你買了這個假的防毒軟體還可以跟它的客服互動。其實平常在網路上逛大家都有機會遇到木馬,古人說人善被人欺,現在是人善被馬騎!
U+202E Unicode攻擊手法
掛馬技巧:盲注入為例
分 享一下怎麼樣做盲注入,這是網路上的一些入侵畫面,拿出一些國產很厲害的工具直接可以打到後面的資料庫。下一步是把馬放上去,解碼之後的注入碼是像這樣子 的,基本上它只要一行注入碼,就可將所有資料庫欄位塞滿他注入的木馬連結,所以不是一個網站只有塞一隻馬,是每一個頁面每一個欄位都塞,讓你清的時候清到 瘋掉。我們看這個受害案例,這邊有被塞一匹馬,那裡也有一匹木馬,它真的是一個頁面重複出現好多次相同的木馬。最有趣的地方是旁邊也有一個,但是不一樣的 一匹木馬,所以是前赴後繼,各路好手都來塞各種木馬,只要漏洞沒被修補,就不會只是一次傷害、二度傷害,而是每個攻擊方經過都會持續加害。
木馬從張牙舞爪到裝模作樣
木 馬長什麼樣我們可以看一下幾個實務案例,目前這個產業流行的木馬基本上都非常的隱蔽,有的是你明明知道這個是木馬,但是就是砍不下去,包括它DLL或 Code注入至重要系統程序裡面,或以系統服務或驅動程式之姿出現。剛剛我們看到的這些都是木馬目前的現狀,目前的現狀是亂槍打鳥(或亂槍打肉雞),抓到 的量就夠它這個產業。但一旦後來發現這樣已經不能活了,譬如它每次只要一出現,防毒軟體的阻擋率是百分之百,那麼它一定要開始走裝模做樣的路線,這就是未 來大家更需要擔心的。因為最危險的就是披著羊皮的木馬,滿口任意道德的木馬,它們說自己是免費軟體,他們不隱藏程序,他們不利用零時差漏洞,但偷偷摸摸作 怪,讓你毫不知情。這可以延伸到很多地方,其實你會擔心的東西不會只有網路,我更擔心的是延伸至各種關鍵基礎建設的系統,譬如醫療這類的東西,如果你看病 的時候醫生開了藥給你,但是醫生開的藥跟你最後拿到的藥不一樣,這不是很好笑,是很可怕,最後都可能死掉。
膽戰心驚的諜報情節,木馬又何嘗不可如此揣摩?
木馬創造的地下經濟
為 什麼駭客會把時間花在刀口上?因為它可以賺大錢,以前大家都知道的80/20原則,現在更有90/10的賺錢之道,就是10%的人掌握大部分的財富。其實 木馬可以用在洗錢,可以用在製造偽卡,可以產生物美價廉的虛擬商品市場大餅。洗錢會不會被抓,當然會,我們看這邊的交易紀錄,還是查得出來是匯到誰的人頭 戶頭。但為什麼這樣的罪犯在集團中稱為是Mule(螺子)?因為他們是最下階層的,螺子是馬和驢子的下一代,沒有翻身和繁殖下一代的機會,所以FBI抓到 的是洗錢集團中最沒有價值的一群罪犯。真的要抓的話應該抓上面大的,中國固然處處是黃金,但我們看到很多重大犯罪案件,那些作惡多端、無惡不作的都沒能包 得住火,躲不掉國家的嚴峻制裁。偽卡這個畫面大家看一下,就是它讓購買信用卡變得像買一般民生用品一樣簡單,這些都是它們偷來的假的信用卡,但我們可以看 到都是基於真實的信用卡的數據。也有很多假的虛擬商品,也就是贓貨,明明一個商品的價格要100塊,但是它只賣你10塊,而且它是有效的。也可以買 DDoS阻斷式攻擊服務,也就是說我自己沒有機器我就去買一個DDoS的服務打人家。現在不僅防守方可以有資安的SaaS防禦服務,攻擊方也可以拿殭屍網 路做SaaS攻擊服務!
搞木馬不是為了好玩,黑客是為了賺大錢
網路購物的品項包括信用卡...
我 們以 TDS (流量分散系統)來說明各方在這樣產業所扮演的角色。譬如說S先生今天很會掛馬,可以一下子掛一萬多網站,這個JS可以把所有看到這個網站的人都通通指向 一個網站,瞬間創造1萬個人到那個網站,所以S先生就是流量產生者,S先生會賣流量,所以掛馬的人可以賣流量,它是賣家(Seller)。那誰會是買家 (Buyer)呢?買家就是需要人家變成僵屍網路一員的人,比如B先生希望人家中他的木馬,“你能不能夠幫我創造每小時100個人來瀏覽我的網站?”這樣 每小時就會出現有100個僵屍。我們再回顧一下剛剛那個防毒軟體,各位看一下它的銷售體制,這邊是激勵制度。這個圖是有多少個人看到這個頁面 (Unique visitors),有多少個人安裝(installed),有多少人買(sold)。各位看一下他的收入多少,他一個人一個禮拜賺2 萬多塊美金! 以這個集團為例,目前有約500名銷售代表,而在這個激勵制度刺激下,我們看到第一名的銷售人員可達月收入332,000美金,還有車子等大獎等著大家去 衝假的防毒軟體的業績!
總結: 當木馬真的成為木馬
最 後我總結一下木馬的明天,隨著各種作業系統、應用軟體的加固與安全設計,譬如更穩定的IE8/9瀏覽器,Windows 7中更良好安全架構的DEP + ASLR + SEHOP + Low Integrity等等,這些對於防範張牙舞爪的木馬都會很有效果,可是零時差漏洞這種東西是可遇不可求的,有時候是要花幾萬塊錢,甚至十幾萬上百萬人民 幣來買,可是有那個必要嗎?再良好的安全設計都無法阻止你點兩下把一個不可信的軟體安裝起來。不過現在木馬的猖獗已經讓全民心驚膽跳,如果你要不認識的人 去看你的空間,他們可能都不敢去你的空間,因為怕你的空間有木馬。其實真正的木馬是它在你身邊你都不知道,這才是真正的木馬,而不是像現在這樣木馬是很明 顯的,謝謝大家!
木馬的明天...無可限量
轉自 http://armorize-cht.blogspot.com/2010/10/owasp-2010.html?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+blogspot%2Farmorize_cht+%28%3F%3F%3F%3F%3F%3F%3F%3F%3F%3F%3F%3F%3F%3F+Blog%29
0 意見: