黑暗中的影子 網絡篇2

本文講的是 黑暗中的影子 網絡篇2，對于黑客的認知猶如外界對魔術師感覺一樣，那種充滿神秘感的帥氣像毒品一樣吸引着衆多人無法自拔的從單純愛好演化到成為一生的職業，有時候就連我自己也會幻想着有一天，可以有人用驚詫的眼神，浮誇的語調以及略帶崇拜的肢體對我說一句，哇塞！黑客耶，還要是個漂亮的軟妹子，直到有一天,一位五大三粗留着平頭，不修邊幅還有狐臭，西裝筆挺噴了香水的硬漢用粗曠高昂的語調喊出那句，我操，你是黑客的時候我腸子都裂了，那感覺好像我盜了他草榴賬号，删了他100T 東京熱一樣。或許他隻是驚詫腦殼裡幻想的黑客形像應該不是我這個樣子。

就像世人對俠客的偏見一樣，所有的蓋世英雄都是威武雄壯，四肢挺拔，五官明确。理想和現實就像五花肉一樣肥廋分明你中有我。

其實在黑客世界中是有分類的，就像漢堡的世界有雞腿漢堡和牛肉漢堡，黑客隻是一個總稱，黑客大緻分為：黑客、駭客、紅客、白客、灰客。

黑客：擁有高超計算機水準有職業道德的人

駭客：利用計算機技術搞破壞或盜取資訊的人

紅客：具有愛國精神的黑客

白客：網絡中的大善人四處幫别人補漏洞的人

灰客：專注軟體破解的人

同僚萬鵬就是這樣一位具有極高愛國情操的紅客，也是我進入公司第一個和我打招呼的熱心人，因為他就坐我隔壁，因為對技術都比較喜愛，時間久了之後我們之間的稱呼也更加随意，我叫他老萬他叫我老馮。

在甲方做安全工程師其實很多時候是無聊的，總是重複重複重複重複着重複，唯一的樂趣就是每個季度的滲透測試工作，可以偷偷的審閱同僚電腦裡的AV以及誰又在利用公司的帶寬撫慰着夜晚自己寂寞的情緒，我倆也算是為了祖國的鑒黃事業鞠躬盡粹不厭其煩，這對我和萬鵬來說這也算開葷了，有時候我們也會做做好事，把同僚A那裡發現的新片子挪給因工作太忙而無法更新片子的同僚B。

因為公司的内部網絡沒有嚴格劃分區域，也沒有使用ACL進行通路控制，是以我跟萬鵬在内網裡也能撩的很開，演義着屬于我們自己的俠義。

公司内網不做嚴格的網絡區域劃分和嚴格的通路限制這點在企業内部網絡是很常見的，這其中醞釀着很多的風險，比如，當網絡中爆發ARP病毒時整個網絡環境内的電腦都受牽連，不是集體斷網就是集體密碼被竊。

又或者對公司懷恨在心的員工跨業務對重要資料做手腳。

又又或者駭客跨網絡環境竊取核心資料。

我跟萬鵬所在的公司屬于又又或者的那一類，集團下屬有兩間子公司都有各自的内網以及分開的業務，搞笑的是兩個原本不應該存在網絡交集的子公司偏偏在OA和ERP共用了一個内網。然後A子公司為了節約成本将公司的官網放在了這個内網中并開啟了公網通路。

做為社群交友類的公司，我們的使用者資料其實是被很多駭客看在眼裡的，在網絡中我也遇見一些人找到我，出高價讓我偷一份使用者資料進行出售，價錢高的吓人，可是我從來就沒有心動過，或許有那麼短暫的好幾天我動搖了，但是我很快就用我的理性戰勝了我的獸性，像我這麼有節操的人怎麼能幹出這種吃裡扒外的事情，當時我就給丫拉黑了，連再見都來不急說而是以良心不安了好幾個小時。

東窗最後還是事發了，上司有一天非常生氣的把我和萬鵬叫到辦公室怒斥，公司給你們發工資每個月那麼多錢，你倆還能不能幹了，不能幹就滾蛋，當時我就吓尿了，是不是我跟萬鵬做AV搬運工學雷鋒的事情讓上司發現了，我媽從小就教育我，做錯了事情要承認，就在我要開口認錯的時候萬鵬開口了，對不起上司不會有下次了，如果有下次我主動離職，我聽到這裡的時候已經驚呆了，這是要作死的節奏呀，雖然萬鵬常常把no zuo no die why you try挂嘴邊，我還以為這口頭禅是說着好玩炫耀英文呢，敢情是要來真的，太入戲了。

上司看了萬鵬一眼沒有說話，估計是讓那份誠懇給感動了，打開一封郵件說，你倆過來看看，咱公司的使用者資料庫讓駭客給搬出去了，給你倆1天時間去查查那出問題了。

這其實是個不可能完成的任務，入侵驗證的基礎是日志，而公司裡無論是内網環境還是生産環境是不啟用日志記錄的，這種現象在其它一些公司也是常見的事情。

其實開啟日志也不是要全部字段都需要記錄，隻記錄一些關鍵的字段至少在驗證環節也是有幫助的，比如：登陸IP、登陸賬号的失敗與成功、時間等關鍵資訊。

我跟萬鵬回到工位讨論着各種可能，也嘗試着登陸伺服器看看是否有存在異常賬号、可疑檔案和後門，倒是發現了一個pcshare的遠控木馬，雖然通過抓包反向找到了上線的服務端位址，利用注入漏洞控制了那台伺服器的最高權限，但這并不能解決上司給我倆的任務，找到出問題的地方。

眼看到了吃中飯時間A子公司的網管高琪過來找我倆吃飯，（因為劇情需要A子公司跟我們在同一個辦公樓而且樓上樓下同時關系要好，哼！），看見我倆郁悶的表情就問怎麼了，我倆把事情的經過說了一遍又給高琪看了從伺服器上發現的那個pcshare遠控木馬dadengjiu.exe，高琪看見這個木馬檔案就興奮了。

說這個檔案在他們的官網伺服器上也發現過，以前不知道是什麼是以給删了，還以為是系統的臨時檔案呢，而且又告訴我跟萬鵬一個驚詫的消息，他們官網的伺服器跟我們公司的ERP/OA系統在一個網段，因為沒有做網絡隔離和通路控制政策是以是能通路到我們這邊的。

我跟萬鵬常做滲透測試我們怎麼沒有發現呢，或許是本能的認為裡面沒有我們想要的小天地吧。

因為我們是大内網是以ERP/OA的伺服器是可以以内網的身份通路到生産環境的，想通了這個邏輯之後，我腸子又裂了，讓我突然間明白了一件事情，如果你在一個集團公司做安全工程師，不要隻把學雷鋒做好事的範圍局限在自己的網絡，也要嘗試一下能不能把這種美德延展到同宗兄弟的子公司。

解說：遠控木馬

采用http反向通訊，螢幕資料線傳輸，驅動隐藏端口過程等技術，達到系統級别的隐藏，由于結合最新rootkit技術用一般的防毒軟體無法清除。

技術性的解釋總是那麼的讓人難以了解，按照本書的慣例我将用更白話的語言解說什麼是遠控木馬。

隔壁老王有個孩子聰明伶俐五官明确，在成長經曆的某個巧合發現老王不是自己的親爹，于是就踏上了尋爹道路找到了我，為什麼能找到我呢。因為18年前我當第一次看見老王媳婦的時候，我就決定，老王這個鄰居我交定了，後來老王媳婦有了我的孩子，在遠控裡叫rootkit技術，他上門尋爹，叫反向連接配接。

點評

大内網現象或多或少在當下的企業環境中還是存在的，隻是有些明顯有些很明顯，其危害和後果除非經曆過，通常情況還很多沒有安全思想的管理者還是會偏愛大内網多一些，必定節約了相當大一部分工作量。引用一句台詞，出來混早晚是要還的，沒感覺到不代表就是沒有問題的。

請參照以下意見：

1.生産環境、測試環境、辦公環境要明确劃分；

2.各網絡區域之間要使用通路控制政策進行限制；

3.減少重要資料的通路入口

原文釋出時間為：四月 15, 2015

本文作者：aqniu

本文來自雲栖社群合作夥伴安全牛，了解相關資訊可以關注安全牛。