Net Cat在一个系统内以聆听式运行,同时在另一系统内以客户式运行时,Net Cat能够发动很多攻击。他能够在任何端口提供后门登录,如UDP端口53。从网络包角度来分析,这种登录被看成是一系列DNS问答,其实这是真正的后门登录。当在两系统内以两种方式同时运行时,Net Cat能够在任何端口架构快捷、简单的档案传输机制。
Net Cat也能够是源路包。当Net Cat以客户方式运行时,他是个UDP及TCP端口扫描器。当他发现系统内有打开的端口时,Net Cat会轻而易举地和这些端口连接。
Net Cat NT版有一个独特之处:他能够将自己绑定在当前进程的端口前端。利用这一功能能够很有效地向服务器或Web服务器发动攻击。这种连接也能够因拒绝服务攻击(Denial-of-service DoS)而被断掉。有时黑客把自己的请求送到正当的服务器进程前,编写特别的程式用来寻找敏感数据(口令、银行帐号等)。
Net Cat防范
最好防范Net Cat的方法是“最小特权原理”(昵称为“polyp”)(Principle of Least Priviledges)。也就是说,不让无需的端口经过防火墙,只有那些您允许通过的端口能够和指定的主机连接。例如:经过防火墙的DNS查询,只打开需要此服务的UDP 53端口(通常是个内部DNS服务器把这些查询转出到Internet)。这样就能够防止攻击者有机会把Net Cat包送到您内部网的任何主机上。
至于那些能够被外部访问的系统,在防范Net Cat攻击时,您要清楚这些机器上已运行的进程,并且仔细调查那些不寻常进程,因为他们可能是后门聆听者。您必须定期检查端口,以便发现有没有聆听者侵入您的机器。
为了防止回放攻击,任何应用系统应该为每条消息(包括web cookies、表单或是原始数据)盖上时间印及顺序号码。任何消息的时间印及顺序号应经过密码完整性测试,确保没有被修改或回放。
工具五:Session Hijacking
很多应用系统采用命令行登录是不安全的,尤其是telnet、rsh、rlogin及FTP程式,他们全是黑客攻击对象。任何一个黑客在连接了客户和服务器之间的网段后,能够用Session Hijacking工具接管会话。
当一个合法用户登录到命令行进行会话时,黑客能够找到此会话并马上代表用户接管此会话,重新连接客户,这样黑客便完全控制这个登录,进而黑客成为合法用户。而真正的用户会简单地认为网络出故障了,从而会断掉会话。
黑客圈里有大量此种黑客工具,最新的有 “Kra”于1998年11月编写的Hunt, 更有“daemon9”编写的juggernaut,他们均提供基本的Session Hijacking功能。
Session Hijacking防范
对于敏感的会话通信(如防火墙的远程管理、PKI或是其他重要部件的管理),选用一个有密码认证功能的工具把整个会话加密是个好选择。Secure Shell (SSH)就提供这些功能。VPN产品也提供认证及会话加密。黑客没有在SSH或VPN工具里所用的钥匙便无法进行会话攻击。
快乐的结局
让我们回顾一下三个月前篇首所描述的攻击情节。
当您调查这次攻击时,您发现入侵者使用war dialing找出一个供用户使用的不受保护的调制解调器。随后他接管了这个系统,并扫描整个网络,把后门安装在网络内部的机器中。当黑客观察到一位系统管理员登录到公用Web服务器上时,他就接管该服务器,并用他开始攻击其他Internet站点。
经过此次事件,您的机构开始注意到安全防范的重要性,管理部门也授权您去实施一项口令及调制解调器政策,他们开始定期作war dialing及口令破译测试,连同安装自动监测预警系统。
经过施行这些新政策后,公司网络的安全性大大提高。您明白了只有认真学习并且施行防范策略才能免受攻击。即使日后又发现任何隐患,您也会迅速检测到并立即采取措施。
希望您有了这些知识后,能够在晚上睡个好觉了!
Back Orifice 简介
黑客一旦找出调制解调器并破译口令成功后, 他会做什么? 通常,他会在系统内安装后门程式以便他稍后再来。Back Orifice(或称BO) 是功能强大的后门制造工具, 他能轻而易举的使庞大的网络系统陷入瘫痪之中。
Back Orifice由黑客Cult of the Dead Cow (cDc)于1998年8月推出。BO包括服务器部分和客户部分。服务器部分安装在受侵者的Window 95机器上,而客户部分在黑客系统中运行。安装BO主要目的是:黑客通过网络远程入侵并控制受攻击的Win95系统,从而使受侵机器“言听计从”。
BO以多功能、代码简洁而著称。BO服务器只有121KB,安装迅速。BO客户软件用UDP包和服务器沟通,可配置到系统任何端口上,缺省是UDP 31337(黑客术语是“Elite”)。
BO具备许多特点:
.黑客完全控制文档系统,能够移 动、编辑、删除及复制受侵机器的程式。
.能够捕获用户任何的键盘敲击。这点使BO产生强大的杀伤力。因为当受害者键入的是口令或公钥密码时,BO也将他们如实地存在文档中,以便攻击者日后取用。
.黑客能够在受侵机器上运行任何进程,并使这些进程可在任何端口上聆听。
.BO试图隐藏自己,不在任务列上出现。
.BO服务器自带Web服务器,这样黑客能够用Browser访问受害机器。
.其他黑客利用所谓的BO统一工具传输插件(即“BUTT plugs”),把BO功能进行扩充。已推出的插件宣称能够经E-mail或IRC激活BO,这样,当工具在网络扩散时,就能够找到最新的目标。
.一个有效的BO嗅探器插件已被编写完成。
BO很容易安装。只要安装一个必须的简单程式,就能很容易并快速地安装任何BO组件。BO以多种形式传播,有时受侵者可能在毫不知情的情况下(经e-mail附件或Web站点传播)就被强迫执行安装程式了。
wrappers是和BO相关的工具之一,他能够把BO和无害的程式合并。例如:他把BO和一些不重要的软件(如文字处理器或是网络上流行的简单游戏)结合,然后,黑客将BO附在game.exe上,并把结果文档用email方式发给用户,假装通知用户,软件该升级了。当用户执行升级程式时,此工具首先安装BO,之后运行被结合的应用程式。用户只看到游戏在运行,却根本不知道他们已成为BO的受害者。最后,此工具能够由Web的不签名Java applets或activeX controls安装。
防范
虽然Bo试图隐藏自己(不出现在任务列上),但他仍然很容易被人发现。当进行人工检测BO时,只要在c:/windows/system 目录里找到122KB .exe文档,并和在windows Registry 里的HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/RunServices/Default钥匙里的钥匙名比较即可。若二者是一致的,则证实系统中存在BO。(值得注意的是:文档名及钥匙名是由攻击者配置的,但缺省是:“.exe”)。最后,如系统中有BO存在,则可在c:/windows/system 目录内找到一个叫作“windll.dll”的文档。
文章整理:西部数码--专业提供域名注册、虚拟主机服务
http://www.west263.com
以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢!
