(编者注:本文摘自于即将出版的黑客新书《暗战:数字世界之战》第一章 黑暗中的影子 网络篇2,前京东安全经理朱磊转型之作,从业十余年经历自述。)
对于黑客的认知犹如外界对魔术师感觉一样,那种充满神秘感的帅气像毒品一样吸引着众多人无法自拔的从单纯爱好演化到成为一生的职业,有时候就连我自己也会幻想着有一天,可以有人用惊诧的眼神,浮夸的语调以及略带崇拜的肢体对我说一句,哇塞!黑客耶,还要是个漂亮的软妹子,直到有一天,一位五大三粗留着寸头,不修边幅还有狐臭,西装笔挺喷了香水的硬汉用粗旷高昂的语调喊出那句,我操,你是黑客的时候我肠子都裂了,那感觉好像我盗了他草榴账号,删了他100T 东京热一样。或许他只是惊诧脑壳里幻想的黑客形像应该不是我这个样子。
就像世人对侠客的偏见一样,所有的盖世英雄都是威武雄壮,四肢挺拔,五官明确。理想和现实就像五花肉一样肥廋分明你中有我。
其实在黑客世界中是有分类的,就像汉堡的世界有鸡腿汉堡和牛肉汉堡,黑客只是一个总称,黑客大致分为:黑客、骇客、红客、白客、灰客。
黑客:拥有高超计算机水平有职业道德的人
骇客:利用计算机技术搞破坏或盗取信息的人
红客:具有爱国精神的黑客
白客:网络中的大善人四处帮别人补漏洞的人
灰客:专注软件破解的人
同事万鹏就是这样一位具有极高爱国情操的红客,也是我进入公司第一个和我打招呼的热心人,因为他就坐我隔壁,因为对技术都比较喜爱,时间久了之后我们之间的称呼也更加随意,我叫他老万他叫我老冯。
在甲方做安全工程师其实很多时候是无聊的,总是重复重复重复重复着重复,唯一的乐趣就是每个季度的渗透测试工作,可以偷偷的审阅同事电脑里的AV以及谁又在利用公司的带宽抚慰着夜晚自己寂寞的情绪,我俩也算是为了祖国的鉴黄事业鞠躬尽粹不厌其烦,这对我和万鹏来说这也算开荤了,有时候我们也会做做好事,把同事A那里发现的新片子挪给因工作太忙而无法更新片子的同事B。
因为公司的内部网络没有严格划分区域,也没有使用ACL进行访问控制,所以我跟万鹏在内网里也能撩的很开,演义着属于我们自己的侠义。
公司内网不做严格的网络区域划分和严格的访问限制这点在企业内部网络是很常见的,这其中酝酿着很多的风险,比如,当网络中爆发ARP病毒时整个网络环境内的电脑都受牵连,不是集体断网就是集体密码被窃。
又或者对公司怀恨在心的员工跨业务对重要数据做手脚。
又又或者骇客跨网络环境窃取核心数据。
我跟万鹏所在的公司属于又又或者的那一类,集团下属有两间子公司都有各自的内网以及分开的业务,搞笑的是两个原本不应该存在网络交集的子公司偏偏在OA和ERP共用了一个内网。然后A子公司为了节约成本将公司的官网放在了这个内网中并开启了公网访问。
做为社区交友类的公司,我们的用户数据其实是被很多骇客看在眼里的,在网络中我也遇见一些人找到我,出高价让我偷一份用户数据进行出售,价钱高的吓人,可是我从来就没有心动过,或许有那么短暂的好几天我动摇了,但是我很快就用我的理性战胜了我的兽性,像我这么有节操的人怎么能干出这种吃里扒外的事情,当时我就给丫拉黑了,连再见都来不急说而因此良心不安了好几个小时。
东窗最后还是事发了,领导有一天非常生气的把我和万鹏叫到办公室怒斥,公司给你们发工资每个月那么多钱,你俩还能不能干了,不能干就滚蛋,当时我就吓尿了,是不是我跟万鹏做AV搬运工学雷锋的事情让领导发现了,我妈从小就教育我,做错了事情要承认,就在我要开口认错的时候万鹏开口了,对不起领导不会有下次了,如果有下次我主动离职,我听到这里的时候已经惊呆了,这是要作死的节奏呀,虽然万鹏常常把no zuo no die why you try挂嘴边,我还以为这口头禅是说着好玩炫耀英文呢,敢情是要来真的,太入戏了。
领导看了万鹏一眼没有说话,估计是让那份诚恳给感动了,打开一封邮件说,你俩过来看看,咱公司的用户数据库让骇客给搬出去了,给你俩1天时间去查查那出问题了。
这其实是个不可能完成的任务,入侵取证的基础是日志,而公司里无论是内网环境还是生产环境是不启用日志记录的,这种现象在其它一些公司也是常见的事情。
其实开启日志也不是要全部字段都需要记录,只记录一些关键的字段至少在取证环节也是有帮助的,比如:登陆IP、登陆账号的失败与成功、时间等关键信息。
我跟万鹏回到工位讨论着各种可能,也尝试着登陆服务器看看是否有存在异常账号、可疑文件和后门,倒是发现了一个pcshare的远控木马,虽然通过抓包反向找到了上线的服务端地址,利用注入漏洞控制了那台服务器的最高权限,但这并不能解决领导给我俩的任务,找到出问题的地方。
眼看到了吃中饭时间A子公司的网管高琪过来找我俩吃饭,(因为剧情需要A子公司跟我们在同一个办公楼而且楼上楼下同时关系要好,哼!),看见我俩郁闷的表情就问怎么了,我俩把事情的经过说了一遍又给高琪看了从服务器上发现的那个pcshare远控木马dadengjiu.exe,高琪看见这个木马文件就兴奋了。
说这个文件在他们的官网服务器上也发现过,以前不知道是什么所以给删了,还以为是系统的临时文件呢,而且又告诉我跟万鹏一个惊诧的消息,他们官网的服务器跟我们公司的ERP/OA系统在一个网段,因为没有做网络隔离和访问控制策略所以是能访问到我们这边的。
我跟万鹏常做渗透测试我们怎么没有发现呢,或许是本能的认为里面没有我们想要的小天地吧。
因为我们是大内网所以ERP/OA的服务器是可以以内网的身份访问到生产环境的,想通了这个逻辑之后,我肠子又裂了,让我突然间明白了一件事情,如果你在一个集团公司做安全工程师,不要只把学雷锋做好事的范围局限在自己的网络,也要尝试一下能不能把这种美德延展到同宗兄弟的子公司。
采用http反向通讯,屏幕数据线传输,驱动隐藏端口过程等技术,达到系统级别的隐藏,由于结合最新rootkit技术用一般的杀毒软件无法查杀。
技术性的解释总是那么的让人难以理解,按照本书的惯例我将用更白话的语言解说什么是远控木马。
隔壁老王有个孩子聪明伶俐五官明确,在成长经历的某个巧合发现老王不是自己的亲爹,于是就踏上了寻爹道路找到了我,为什么能找到我呢。因为18年前我当第一次看见老王媳妇的时候,我就决定,老王这个邻居我交定了,后来老王媳妇有了我的孩子,在远控里叫rootkit技术,他上门寻爹,叫反向连接。
点评
大内网现象或多或少在当下的企业环境中还是存在的,只是有些明显有些很明显,其危害和后果除非经历过,通常情况还很多没有安全思想的管理员还是会偏爱大内网多一些,必定节约了相当大一部分工作量。引用一句台词,出来混早晚是要还的,没感知到不代表就是没有问题的。
请参照以下意见:
1.生产环境、测试环境、办公环境要明确划分;
2.各网络区域之间要使用访问控制策略进行限制;
3.减少重要数据的访问入口