受是黑客的耽美文
发布时间:2017-02-08 来源: 美文摘抄 点击: 
受是黑客的耽美文篇一:隐秘山猫:受雇佣的专业黑客
一、概览
隐秘山猫是一个专业的黑客组织,具有超强的攻击能力。他们曾攻陷了美国安全公司Bit9的数字证书签名系统,使他们的间谍程序变得合法。攻击Bit9只是他们在过去的四年时间里所进行的众多动作之一。
隐秘山猫还提供了“黑客雇佣”服务,职责就是从众多的企业和政府目标中检索出特定的需求信息。他们组织的工作效率很高,可以同时执行多个任务,可以攻破全球安全防护做的最好的企业组织,可以迅速的改变自己的战术以实现对目标的攻陷。为实现对特定目标的攻击他们通常使用自己设计的多个木马程序:后门程序Moudoor常用于大型活动,并且这个程序已经在全球网络广泛分布;木马Naid是保留给特殊行动,用来打击高价值目标。隐秘山猫利用尖端的攻击技术,使得他们在众多黑客组织中脱颖而出。
本文会对隐秘山猫这个组织进行深入了解,包括他们的攻击目标和动机、通过他们的活动来了解他们的攻击能力和攻击策略。
二、背景
2013年2月,Bit9的一份声明中披露:在2012年7月,他们的网络系统曾经被第三方间谍程序所破坏。这个名叫隐秘山猫的知名组织和“极光行动”大有关系,当时他们利用SQL注入攻击并进入了Bit9的网络系统。他们的间谍程序使得他们能够成功入侵国防工业部门。
需要注意的是,Bit9被入侵只是VOHO大型水坑攻击的一小部分,VOHO攻击影响到了美国上百家企业和组织。此外,由于这个令人难以置信的组织,使得VOHO运动只是众多攻击运动中的一个。每个攻击运动都是为了获取世界上最富有、技术最先进国家的政府和商业组织的信息。
极光行动:OperationAurora或欧若拉行动,2009年12月中旬可能源自中国的一场网络攻击。遭受攻击的除了Google外,还有20多家公司:其中包括Adobe、Juniper、雅虎、赛门铁克、陶氏化工。这场攻击过后,Google提出了它的新计划:它将“在必要的法律范围内”,于中国运营一个完全不受过滤的搜索引擎;同时Google也承认,如果该计划不可实现,它将可能离开中国并关闭它在中国的办事处。
三、隐秘山猫组织简介
隐秘山猫组织从2009年以来就一直在运作,很有可能就是一个提供“黑客雇佣”服务的专业黑客组织。他们完全有能力同时攻击多家企业或组织。他们的工作有条不紊并且效率很高。基于这些因素,他们会是一个相当具有规模的组织,大概有50-100人组成。
这个组织的成员擅长于系统攻击,他们使用两个精心设计的木马程序采取双管齐下的策略,利用大量的弱点渗透来对目标的知识产权进行针对性的攻击:
Moudoor团队负责散发Backdoor.Moudoor木马程序,有一个叫“Gh0stRAT”的定制版本木马,在横跨多个行业的大规模活动中经常使用。散发Moudoor程序需要有相当数量的人员协同工作,在攻陷目标的同时从目标网络中检索出有利用价值的信息。
Naid团队负责散发Troin.Naid木马程序,在Bit9公司被入侵的记录中发现了该木马程序的代码,Naid木马似乎只在针对攻击某些高价值的目标时使用。在VOHO运动中这个木马被用来执行过一个特殊的操作并且是由神秘山猫组织里面的一个技术高超的攻击者所为。另外,在2009年的“极光行动”中也被发现过Naid木马程序的代码。
在这些攻击活动中,大部分的网络基础设施和工具被定位来源于中国。隐秘山猫组织经常使用0day漏洞,反复渗透、巧妙植入、长期潜伏、精确打击,是隐秘山猫组织的特点。他们的工作有条不紊,技能也远远的超前与其它一些攻击群体,如APT1。隐秘山猫在过去的四年里一直在运作着APT攻击。在2013年他们已经发起多次0day攻击,他们也将继续保持他们的领先优势,进行有针对性的网络攻击。
四、他们的目标是谁?
自2011年11月以来,隐秘山猫已经成功入侵过数百家企业或组织。在此期间,这些组织一直在被持续控制之中。商业组织和各级政府部门是隐秘山猫的主要攻击对象,从各种行业的不同攻击目标来看,他们的攻击对象并不固定。隐秘山猫可以在全球范围内同一时间发起多次针对不同目标的攻击。
隐秘山猫最近对韩国的一些特殊组织进行了攻击并且西方国家的国防工业部门长期以来一直是他们的攻击对象。
自2011年以来隐秘山猫攻击目标和攻击范围所涵盖的行业及国家/地区统计
五、他们的动机是什么?
一系列的有针对性的信息表明,隐秘山猫是一个专业性的黑客组织。他们的任务是获取目标的具体信息,从而在同行之间保持领先水平。他们不会参与到经济利益的直接获取中。这样的运作模式表明他们是一个提供“黑客雇佣”的私人组织,他们技术高超,有经验丰富的专业人士,他们通过提供黑客技术来取得收入。
商业间谍
在上图显示中,金融服务业被认为是最具有针对性的行业。有一种倾向是攻击目标专门针对此行业内特定的企业。投资银行和资产管理机构的账户是他们的主要目标。某些类型的金融机构,例如商业银行的经营者,明确的表明了他们的攻击是针对这些目标的。
隐秘山猫利用他们的专业技能参与到大型企业的交易中,例如在即将到来的企业兼并和收购中,利用他们可以获得竞争对手的一些保密信息,从而获得竞争优势。通过集中瞄准这一领域,在谈判大型企业的并购或在证券交易所进行股票交易时,将会提供宝贵的信息。
对金融行业的攻击并不仅限于投资银行,还有证券交易公司,包括世界上最大的一个证券交易所都受到了他们的攻击。隐秘山猫还通过供应链提供间接攻击,他们提供硬件基础设施、安全网络通信和服务,特殊的金融部门也受到过他们的攻击。可以肯定他们进行攻击活动的动机就是这些金融行业。
攻击政府承包商
隐秘山猫有针对性的攻击目标,从地方政府到国家政府,并且多次反复尝试渗透进入这些政府的内部网络。他们攻击政府承包商,有资料证实隐秘山猫攻击的目的是为了获取这些政府部门的机密信息,也有资料显示他们是在为某些国家政府工作。
通过攻击有先进技术的特殊领域,比如航空航天领域,可以获得对他们国家有利的技术资料,或者弥补技术差距。通过攻击互联网服务提供商,可以获得很多有价值的信息。隐秘山猫实施的“极光运动”,这个运动中有针对性的攻击了很多组织,包括软件服务制造商和安全服务提供商。最近,微软声称隐秘山猫通过标记电子邮件进行法院命令窃听。他们相信这些攻击都是反情报行为,这些行动的背后可能是有国家政府在支持。
六、他们都做了些什么?
隐秘山猫的入侵工具、战术和自动化程序都是处于顶尖的水平。他们针对不同的目标采用量身定制的攻击工具和技术,以便最大程度的实现成功入侵。他们攻击公共网络设施并且为了秘密行动而采用自己设计的木马程序。他们实施过最成功的水坑式攻击
在以下三个主要事件中可以清晰的证明隐秘山猫组织的超强攻击能力:在VOHO运动中,他们成功入侵了提供数字签名服务的Bit9公司。在FINSHO运动中,他们使用了先进的0day漏洞攻击。在SCADEF行动中,他们通过操纵供应链攻击成功入侵了目标。
绕过坚固可信的防护系统
隐秘山猫面对困难可以迅速的改变应对策略。在Bit9事件中,他们就通过绕过Bit9公司坚固的网络安全防护系统,成功的使他们的木马程序获得合法签名。然而,入侵Bit9只是VOHO大型水坑攻击的一小部分,通过这一事件证明了他们在面对新的困难和阻碍时可以迅速的适应变化并采取新的策略和应急政策。
Bit9事件
Bit9是一家提供网络安全服务的公司,总部位于马萨诸塞州的沃尔瑟姆。Bit9替代了传统的基于签名的防病毒解决方案,他提供了一个基于云端信誉服务的可信安全平台并结合控制应用程序的策略和白名单保护来防止网络威胁。其结果是,由于Bit9平台的安全防护,第三方恶意木马程序很难在网络上进行传播,比如远程控制木马“Gh0stRAT”。但是隐秘山猫对此毫无畏惧,他们的精英小组接受了挑战。
在2013年2月8日,在Bit9公司的发表文件中有细节透漏:有一个第三方的恶意程序已经入侵了他们的数字代码签名证书系统。在此次事件中,有很多木马程序和恶意脚本程序
被赋予合法签名。在2月25日,更多的攻击细节被透漏出来:在6个月前的2012年7月,有一个后门程序通过SQL注入攻击进入Bit9网络内部。起因是源于一次运营监管,有一台面向公众的服务器脱离了Bit9安全平台的防护,使得攻击者趁机攻陷了这台服务器。
然后攻击者安装了后门程序Hikit,这个后门木马程序提供了极其隐秘的远程控制通道。随后同一区域内的另外一台虚拟机的登陆口令被攻击者获取。这台虚拟机是Bit9公司的数字代码签名证书服务器。攻击者利用这台服务器签署了32个木马程序。赛门铁克的遥测系统显示签署的程序中有一部分已经存在于美国国防工业部的网络中。
一旦这些木马程序被赋予合法签名,它们将会绕过Bit9公司的安全防护平台。被赋予合法签名的木马程序中包括后门程序Hikit的变种,以及另外一个木马程序Naid。还有一些恶意脚本程序也被赋予合法签名,每一个恶意程序都有其特殊的目的。比如:Hikit后门程序用于隐藏在提供对外服务的服务器中,而Naid木马程序用于水坑式攻击中针对性的攻击某些高价值的目标。
受是黑客的耽美文篇二:假如我是一个黑客
假如我是一个黑客 黑客想必大家都知道,但大家可能不知道黑客其实也分很多种,有红客,维护国家利益代表中国人民意志的红客,他们热爱自己的祖国,民族,和平,极力的维护国家安全与尊严。有蓝客,信仰自由,提倡爱国主义的黑客们,用自己的力量来维护网络的和平。有白客,又叫安全防护者,使用黑客技术去做网络安全防护,他们进入各大科技公司专门防护网络安全。最后就是灰客,即骇客,又称破坏者,他们在那些红、白、黑客眼里是破坏者,是蓄意毁坏系统,采取恶意攻击等等一系列的破坏手段。
如果我成为了一名黑客,那么我必定会去成为一个红客,一个为祖国而奋斗的红客!我要入侵日本的教育系统,把他们的课本篡改的历史都给回来,让他们直面历史,主动认错!我要阻止国外黑客们对中国的破坏行动,保护中国人民的利益!我还要利用我的黑客技术去找出那些破坏中国和平的组织,阻止他们的行为,并且教训他们,让他们知道中国不是可以随便欺负的!
红客是一种精神,它是一种热爱祖国、坚持正义、开拓进取的精神。所以只要具备这种精神并热爱着计算机技术的都可称为红客。
红客们必须明白的几个要点:
1、攻防技术不是用来炫耀的,这不是红客的作法!
2、技术会向所有爱国的红客朋友们共享!
3、不断地学习,并不断地研究新的攻击技术与防护方法!
4、必须熟悉掌握C语言,并掌握任意一门面向对象的语言!
5、必须是爱国的!
6、不但要懂得系统的常用漏洞的攻防之道,而且还要懂得如何去挖掘系统的漏洞!
7、必须懂得如何使用Google,Baidu这两个非常好的学习工具!
8、必须懂得如何去打破常规的思维方式!“没有什么不可能,只要我们想得到,我们就能够做得到!没有我们进不去“房间”,只要“房间”内能够进得去空气,我们可以变成“空气”进入房间!
9、必须懂得如何去做人!
受是黑客的耽美文篇三:黑客一些有关的小知识
黑客攻防实战入门默认分类 2009-02-24 21:26:40 阅读72 评论0 字号:大中小
黑客攻防实战入门(连载一)
内容简介:
本书从“攻”、“防”两个不同的角度,通过现实中的入侵实例,并结合作者的心得体会,图文并茂地再现了网络入侵与防御的全过程。本书共分6章,系统地介绍了入侵的全部过程,以及相应的防御措施和方法。其中包括信息的搜集、基于认证的入侵及防御、基于漏洞的入侵及防御、基于木马的入侵及防御、入侵中的隐藏技术、入侵后的留后门以及清脚印技术。本书用图解的方式对每一个入侵步骤都进行了详细的分析,以推测入侵者的入侵目的;对入侵过程中常见的问题进行了必要的说明与解答;并对一些常见的入侵手段进行了比较与分析,以方便读者了解入侵者常用的方式、方法,保卫网络安全。
第1章 信息搜集
1.1 网站信息搜集(1)
网站是一个网络或集团的身份象征,它直接暴露在因特网上,为来访者提供服务,或被集团、公司用来开展业务,因而网站的安全问题就显得尤为重要。不知从何时开始,“入侵网站”、“涂鸦网站”成了入侵者用来证明自己实力的“竞赛”。
1.1.1 相关知识
1.IP地址
IP地址是计算机在因特网上存在的标识,因特网上的每一台计算机必须有标识自己的IP地址,一台计算机可以有多个不同的IP地址,但是同一个IP地址不能分配给一台以上的计算机。无论这些地址是由Windows系统自动分配的,还是通过DHCP服务动态分配的,或是静态地址(使用获取的IP地址)。这些规则都是由IP协议规定的。而现在广泛使用的IP地址规范属于IPv4(IP协议第4版)中规定的标准。
2.关于网站的一些知识
这里提及的“网站”指的是Web服务器,也可以称之为HTTP服务器。它以超文本传输协议的方式提供服务,以超文本标记语言(HTML)作为基础来形成网页。超文本传输协议是一种按照人类习惯的思维方式来组织信息的一种格式,它使用“热链接”把不同的媒体,如图片、音乐、电影等组织在一起。网站提供的服务主要有网页浏览、软件下载、在线视频、搜索引擎,以及电子商务平台。
提示:网站的开发流程如下。
首先,需要由网页设计师用相关软件编写网页,如使用Dreamweaver,FrontPage等网页设
计软件;然后,由专门的Web服务器软件建立网站,如IIS,Apache Server等。一切准备工作就绪后,就可以由网站负责人向有关机构申请域名来发布网站了。
3.IP地址的分配
前面已经说过,网络中的每一台计算机,必须有自己的IP地址,那么怎样才能使自己的IP地址不和其他计算机“冲突”呢?这需要IP地址管理机构统一管理,然后把IP地址一层一层地分配。例如,假设全球IP地址管理机构给中国分配一个IP段1.0.0.0,然后中国的IP地址管理机构可以把这个IP段再具体划分给下级IP地址管理机构,如1.1.0.0。IP地址就是这样被一层一层地划分,直到把IP分配给每个终端计算机。
需要补充说明的是,下列IP不需要向有关IP管理机构申请,但只能供内网使用,而且同一内网中不能将同一IP分配给不同的主机。
è 10.x.x.x
è 172.16.x.x~172.31.x.x
è 192.168.x.x
4.常用DOS命令
(1)查询本机IP地址命令
步骤一:打开MS-DOS。
对于Windows 9x系统,选择【开始】→【运行】,键入“command”命令,如图1-1所示。
对于Windows 2000/XP/2003系统,选择【开始】→【运行】,键入“cmd”命令,如图1-2所示。
图1-1图1-2
步骤二:查询本机IP。
对于Windows 9x系统,键入“winipcfg”命令后打开的窗口如图1-3所示。
图1-3
对于Windows 2000/XP/2003系统,使用ipconfig命令,如图1-4所示。
图1-4
(2)ping命令简介
ping命令是入侵者经常使用的网络命令,该命令应用的是简单网络管理协议ICMP的一个管理方法,其目的就是通过发送特定形式的ICMP包来请求主机的回应,进而获得主机的一些属性。它的使用有些“投石问路”的味道。道理虽然简单,但是这个命令用途却非常广泛,通过这个命令,入侵者可以来试探目标主机是否活动,可以来查询目标主机的机器名,还可以配合ARP命令查询目标主机MAC地址,甚至可以推断目标主机操作系统,或者进行DDoS攻击等。
ping命令的使用格式:
ping [-t] [-a] [-n count] [-l size] [-f] [-i TTL] [-v TOS]
[-r count] [-s count] [[-j host-list] | [-k host-list]]
[-w timeout] destination-list
常用参数说明:
-t 一直ping下去,用Ctrl+C结束。
-aping的同时把IP地址转换成主机名。
-n count设定ping的次数。
-i TTL设置ICMP包的生存时间(指ICMP包能够传到临近的第几个节点)。
下面举两个例子进行说明。
è 试探目标主机是否活动。
命令使用格式:ping主机IP
C:\>ping 192.168.245.130
Pinging 192.168.245.130 with 32 bytes of data:
Reply from 192.168.245.130: bytes=32 time=10ms TTL=1
Reply from 192.168.245.130: bytes=32 time<10ms TTL=1
Reply from 192.168.245.130: bytes=32 time<10ms TTL=1
Reply from 192.168.245.130: bytes=32 time<10ms TTL=1
Ping statistics for 192.168.245.130:
Packets: Sent = 4, Received = 4, Lost = 0 <0% lo ss>,
Approximate round trip times in milli-seconds:
Minimum = 0ms, Maximum = 10ms, Average = 2ms
从返回的结果“Reply from 192.168.245.130: bytes=32 time=10ms TTL=1”来看,目标主机有响应,说明192.168.245.130这台主机是活动的。下面的结果是相反的情况:
C:\>ping 192.168.245.130
Pinging 192.168.245.130 with 32 bytes of data:
Request timed out.
Request timed out.
Request timed out.
Request timed out.
Ping statistics for 192.168.245.130:
Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),
Approximate round trip times in milli-seconds:
Minimum = 0ms, Maximum = 0ms, Average = 0ms
从返回的结果“Request timed out.”来看,目标主机不是活动的,即目标主机不在线或安装有网络防火墙,这样的主机是不容易入侵的。
è 使用ping命令探测操作系统。
不同的操作系统对于ping的TTL返回值是不同的,参见表1-1。
表1-1 不同的操作系统对ping的TTL返回值
操 作 系 统
默认TTL返回值
UNIX 类
255
Windows 95
32
Windows NT/2000/2003
128
Compaq Tru64 5.0
64
因此,入侵者便可以根据不同的TTL返回值来推测目标究竟属于何种操作系统。对于入侵者的这种信息收集手段,网管可以通过修改注册表来改变默认的TTL返回值。
黑客攻防实战入门(连载二)
第1章 信息搜集----1.1 网站信息搜集(2)
1.1.2 基本信息搜集
1.由域名得到网站IP地址
为了记忆方便,出现了用域名来代替网站的IP地址的方法,那么,在已知域名的情况下入侵者是如何得到目标的IP地址的呢?他们可以通过下面几种方法来实现。
(1)方法一:ping命令试探
使用命令:ping域名。
例如,入侵者想知道163服务器的IP地址,可以在MS-DOS中键入“ping ”命令,如图1-5所示。
热点文章阅读