首页 > 单独文章 > 正文

安全教程:用“蜜罐”追踪木马背后黑手

时间:2008-06-01 21:52:08 作者:officeba 【认证】

博弈主题:反入侵
技术难度:★★★★
重点知识:制造蜜罐追踪入侵者来源

  商业谍战中,你比敌人高明在什么地方?最重要的就是要出其不意。当受到敌人打击后,小蝶巧妙的在虚实之间设置陷阱,引诱对方上当,做出最积极地反击计划。

  上期小蝶干净利索地清理掉了李飞电脑中的木马。虽然追查幕后的黑手是李飞交给小蝶的真正任务,但是谨慎一直是小蝶秉持的原则,在确保李飞的操作系统绝对安全后,才开始了自己的追查计划……

  追查黑客来源,远不像查杀木马那么轻松,小蝶必须为此制定出完成的计划与详细的实施细节。对方是躲在遥远而未知的网络后面,想要寻觅到入侵者的踪迹,必须抓住每一个细节,只有完美的陷阱才能够让狡猾的狐狸落入圈套。

  在小蝶设计的诱捕方案中,她首先要将之前备份好的操作系统还原到虚拟机中,清除备份系统中的商业文件。由于还原的系统是运行在虚拟机中的,因此小蝶可以躲在虚拟机的背后查看入侵者的每一个动作,分析他的目的,追踪他的来源——这就是一个完美而实用的系统蜜罐,也是小蝶的诱捕陷阱。

  小知识:蜜罐是故意让人攻击的目标,主要用于引诱黑客攻击。攻击者入侵后,就可以知道他是如何得逞的,了解己方的安全漏洞。此外,蜜罐还可以用来窃听黑客之间的联系,掌握他们的社交网络。所以蜜罐也可以说是情报收集系统。

还原中毒系统

  小蝶回到自己的办公室,打开电脑中的虚拟机软件VMware Workstation,开始着手进行系统还原工作。她首先右键点击查看了一下闪存盘Ghost文件的体积,大概为3GB。她将这些文件拖动添加到光盘镜像制作软件“WinISO”中,这款软件可以将添加进来的MAXDos和Ghost文件另存为ISO格式(图1)。ISO是一种光盘镜像文件,这种格式能够让小蝶在用VMware Workstation恢复系统时更加灵活方便。

 


图1
  ISO引导光盘制作完成后,她点击VMware Workstation“Home”页面下的“NewVirtualMachine”选项,又连续点击“下一步”,在最后的提示选项中选择新建一个“Windows XP Professional”的虚拟系统。

  小蝶将虚拟系统的类型生成好后,双击页面中“Devices”选项中的“CD-ROM”设备,在弹出的窗口中将“Use ISO image”路径指向刚才用WinISO生成的ISO镜像文件(图2),点击“OK”后选择点击“Start this virtual machine”选项启动虚拟系统。

 


图2
  小提示:如果你的VMware为5.X版本或者虚拟机提示没有找到引导文件,那么你可以先运行Norton的“PartitionMagic”对硬盘进行分区,分区格式最好为FAT32,这样可以成功的解决系统无法在虚拟机中Ghost还原的问题。

  系统启动引导进入MAXDos后,小蝶进入第5项“启动Ghost手动操作”进行系统恢复。这种操作她以前进行过无数遍,闭上双眼似乎都能够轻松完成。她依次点击进入Ghost中的“Local→Partion→From Image”分区恢复页面,选中虚拟光盘中的Ghost备份文件,然后选择好镜像文件的分区与硬盘,之后在弹出的确认菜单中点击“OK”运行系统恢复。

放置致命诱饵

  虚拟机中的操作系统重新启动之后,小蝶开始着手布置追踪黑客的陷阱。她有两个方案可以选择,第一套方案,她可以对木马程序进行反汇编,逆向分析出入侵者使用的中转服务器地址或者IP地址。但是此方案会消耗较长的时间,而且如果对方用的是中转服务器地址,那么还需要入侵中转服务器后才能够最终得到入侵者真实的IP地址,这套方案此时显然不适用。

  第二套方案,小蝶可以通过在虚拟的操作系统中放置入侵者感兴趣的文件,因为入侵者的木马依然在虚拟机系统中运行。而如果不出意外,入侵者依然会能够连通自己的木马,继续自己的入侵行为,只要入侵者连接上自己设置的蜜罐系统。在下载这些特殊文件时,双方网络会直接连接,而此时也就可以得到入侵者的IP地址了。

  第二套方案无疑是最佳也是最有效的选择,小蝶立刻开始了工作,她首先启动了虚拟机中的操作系统,然后在VMware右下角的网卡标志处点击右键,选择“Disconnect”切断虚拟网卡通讯。网卡通讯切断的过程中入侵者是无法连接到系统中的。

  此时,小蝶将还原系统中的部分敏感数据删除,并清理了IE的Cookies缓存等。然后她将两个100MB左右的WMV文件后缀修改为DWG——这是设计绘图软件AutoCAD的默认保存格式。再将文件名修改为“绝密图纸”后保存在了“桌面”上,她看了一下表,完成了对虚拟机的诱饵布置,接下来需要完成的是对虚拟机后台中“真正的操作系统”的部署。

  首先,小蝶安装并运行网络流量监控软件DUMeter,这款软件能够帮助她随时监控系统上传和下载的流量。当入侵者在小蝶的蜜罐系统中下载诱饵文件时,DUMeter流量监视器中的网路流量会出现异常。通过上传与下载流量的监控,小蝶可以轻松的判断出黑客在什么时间落入蜜罐系统的诱捕圈套。

  随后,小蝶打开《360安全卫士》,进入了“高级”选项中的“网络连接状态”,在这个模块中,她可以查看系统中每个软件对外连接的情况,DUMeter出现高流量的上传数据,那么“网络连接状态”中的VMware进程也会同步出现一个远程IP地址,而这个地址就是入侵者真实的IP地址。

  小蝶一遍遍点击着“网络连接状态”功能右下方的刷新,静候着入侵者的出现……

“鱼儿”上钩

  14:30分,黑客K准时的坐到了电脑前,他熟练地打开木马客户端,开始等待猎物上线。几分钟之后,他控制的肉鸡开始逐一的上线,其中就有李飞的电脑。

  14:47分,黑客K看到在李飞的系统桌面上,多出了两个名为“绝密图纸”的文件。他的精神瞬间为之一振,如同一只饥饿良久的狼看到了美味的猎物。他熟练而麻利的点击鼠标右键产看文件属性,属性中的日期显示,文件是新创建的。

  他微微一笑,今天又有成果可以跟老板交差了。行动前他依然很谨慎,他小心翼翼的用远程屏幕查看了一下肉鸡的状态,似乎没有任何人在这台肉鸡上进行操作,肉鸡电脑前没有肯定人,这时黑客最后得出的结论。随后,他将这两个文件拖动到自己的指定目录中,开始了漫长的下载过程。

  14:50分,小蝶紧盯着屏幕,她没有做任何动作,因为此时她开启任何网页都会对“网络连接状态”中的数据产生影响,此时她像是老练的垂钓者一样,闭住呼吸,平静的盯着屏幕——她有足够的耐心。突然,她发现DUMeter的上传数值开始波动(图3)。随后,猛然间上传流量骤增,绿色的上传流量提示电脑在持续不断的上传数据——鱼上钩了。

 


图3
  小蝶快速的点开《360安全卫士》,刷新“网络连接状态”中的数据,在连接列表中,她迅速用笔记录下vmnat.exe进程中的每一个状态为“连接”的IP地址,每记录完一次,她又重新刷新一遍,此时她发现有一个状态为“连接”的远程IP一直没有消失,就是它!这就是入侵者的IP地址(图4)。

 

图4
  小蝶将IP地址圈定后,将它输入了《纯真IP数据库》软件中,这款软件能够查询到这个IP地址的真实位置。地址输入后,点击“查询”,地址:TT公司。这个是UU公司生意场上的老对手——“TT公司的商业间谍”。小蝶眉毛一扬,准备开始反击……


相关文章

同类最新