请联系Telegram电报飞机号:@hg4123
请联系Telegram电报飞机号:@hg4123
大家好,今天小编关注到一个比较有意思的话题,就是关于打击黑客犯罪有成效的问题,于是小编就整理了2个相关介绍打击黑客犯罪有成效的解答,让我们一起看看吧。
毫无疑问,黑客技术是肯定可以用于打击犯罪的,而且我自己就亲自协助当地公安做过一次。
每个市的公安都有一支队伍,叫网络安全信息安全队伍(简称网安支队),里边的干警就是大家通常说的网警。有一次,一个和我私人关系不错的网警让我去帮忙反查一个木马。这是因为当地教育部门一个随机出初中题的网站的服务器,被人放了一个木马,而且把这台服务器当作了一个肉鸡,里边还在不停的暴力破解一些SSH的服务器用于DDOS。
我能反查到,一是运气爆棚,二是对方手段太弱。我的反查方法也是很简单的。查下服务器的服务,没有可疑的(我是找了另一台干净的同样配置的服务器做对比)。netstat -ano查可疑进程(我用我本机做下演示吧)。
好比查到可疑进程ID为1184。tasklist |find "1184"。
这样找到了可疑进程的名字为svchost.exe,从而找到了木马的服务端。
ipconfig /displaydns,找可疑的二级域名。
找到了一个可疑的域名为一个花生壳的域名。然后ping这个域名和上文的netstat命令,得对了一个木马反连的IP和反连端口5120。对方很嚣张,没有用代理,是直接本机连接的。其实这个IP给公安,我就完成任务了,我又深入了一步。
OD载入svchost.exe反汇编分析,得知用的木马是Poison Ivy 。用NAMP检测对方是否用了默认密码。
nmap -P0 -v --script=poison -p5120 218.136.xx.xx
Starting Nmap 6.01 ( ) at 2016-04-16 12:12 CEST NSE: Loaded 1 scripts for scanning.
……
5120/tcp open unknown |_poison: Poison Ivy client detected with default password, admin
用的默认密码admin。正好有metasploit有个反溢出Poison的EXP。
msf>use /exploit/windows/misc/poisonivy_bof
msf>set RHOST 218.126.xx.xx
msf>check
ok.. just exploit it!
msf>exploit
我就得到了一个反连的meterpreter会话。一切在回答里说得这么顺利,其实花费了整整一天的时间。
另外,NAMP检测对方的poison脚本我已经下载不到了。当时我是用的这个脚本检测到了默认密码的。我用msf溢出时,反复试过多少次都不成功,当时都快灰心了,甚至想去找找老外的反溢出poisonivy的原文来学习,结果不经意间再一次测试就成功了。
这样对方的机器,我就控制了。剩下的一切水到渠成了。
概念澄清
首先澄清一个概念,技术就是技术部分什么黑客技术还是非黑客技术。
再澄清一个名词,黑客是一个被人误用误解的,你们所说实际上不是黑客,是骇客(Cracker)而不是黑客Hacker。
《黑客与画家》
推荐大家读一本书,读了这本书,你就了解黑客文化,和黑客这个群体。
黑客从原生意义上说,是喜爱计算机技术而充满叛逆的年轻人。藐视传统,不按照常规方法使用软件和服务,通过自己的洞察力,非法(或在后来被定义为非法)的使用。hacker的原生目的不是破坏,而是表达自己的叛逆,炫耀自己的技术。现在很多很伟大的技术和软件就是基于这种精神创造出来的,比如FSF 自由软件基金会、GNU工程、LINUX和GIT,C语言等等。Dennis M Ritchie、LINUS、Richard Stallman等大牛都是著名的黑客。
常见名词
极客,geek
原意是怪人,善于研究不善于交往的怪人,和书呆子(nerd)类似。但是近些年随着网络文化兴起,逐步变成褒义词,指喜爱技术(不特指计算机技术),充满DIY精神的人。
骇客,cracker
软件的破坏者,但是不一定以此牟取私利。现在黑客就是指这类人
黑帽子 black hat
为了达成私利性目的而非法使用系统的人。通常常见的情况有,勒索(例如不付钱就会破坏系统和数据),盗用账户,获得非法虚拟货币等。
白帽子 white hat
和黑帽子相对,白帽子是为了修补系统问题而研究系统的人。一般成安全团队,或者被安全公司收编对安全问题感兴趣,并进行研究,做渗透测试。以发先0 DAY漏洞和EXP为目标。第一时间提交安全漏洞,并获得赏金。
grey hat 灰帽子
现在有很多人打着白帽子的旗号,干着黑帽子的勾当,这是业界败类,需要声讨,强力打击。他们行为白帽和黑帽之间。
脚本小子,script kids 。
没有啥技术,大程序狗屁不会写。专门搜集和下载别人的工具和脚本干坏事,是可恨又可怜的一类人,如果被人抓的的话,往往这类人背锅,也赚不到什么钱。通常而言,大家说黑客中,有90%就是这种脚本小子。
技术不分好坏、黑白,人才有良奸之分
最后说下本提问的答案,所有攻击技术和防守技术,探测、隐身加密,追踪技术,包括社会工程学都是信息安全的范畴,都可以用来干坏事,也可以用来抓坏人。这里尤其提下社会工程学,这个以前用的很少,只是在间谍情报和犯罪的调查时候用。现在随着社交网络的兴起,坏人都借着这个技术,结合以前很少能利用的XSS、CSRF漏洞做钓鱼、窃取信息,谋求利益。
还有人人也都会用社会工程学技术——人肉别人,干坏事或者做好事。
所以技术不分好坏、黑白,人才有良奸之分。
外媒报道称,微软刚刚清理了由朝鲜网络黑客组织 APT37 运营的 50 个域名。软件巨头称,这些域名一直被 Thallium(亦称作 PT37)组织用于发动网络攻击。
通过持续数月的关注、监视和追踪,该公司数字犯罪部门(DCU)和威胁情报中心(MSTIC)团队得以厘清 Thallium 的基础架构。
【图自:Palo Alto Networks,via ZDNet】
12 月 18 日,总部位于雷德蒙德的微软,在弗吉尼亚法院向 Thallium 发起了诉讼。圣诞节过后不久,美当局即批准了法院命令,允许该公司接管被朝鲜黑客用于攻击目的的 50 多个域名。
此前,这些域名常被用于发送网络钓鱼电子邮件和网站页面。黑客会诱使受害者登陆特制的站点,窃取凭证,从而获得对内部网络的访问权限,并执行后续针对内网的升级攻击。
微软表示,除了追踪该组织的网络攻击,该公司还调查了被感染的主机。微软企业客户副总裁 Tom Burt 表示:
“攻击主要集中在美、日、韩三国的目标,受害者包括了政府雇员、智囊团、高校工作人员、平权组织成员、以及普通人”。
【网络钓鱼邮件样本,图自:Microsoft】
在诸多案例中,黑客的最终目标是感染受害机器,并引入 KimJongRAT 和 BabyShark 两个远程访问木马(RAT)。
Tom Burt 补充道:“一旦将恶意软件安装在受害者计算机删,它就会从中窃取信息,保持潜伏并等待进一步的指示”。
当然,这并不是微软首次通过法院命令来阻断有外国背景的黑客组织的运作。
此前,微软曾对有俄方背景的 Strontium(又名 APT28 或 Fancy Bear)黑客组织发起过 12 次行动(上一次是 2018 年 8 月)、并成功撤下了 84 个域名。
以及通过法院命令接管了与伊朗有关的网络间谍组织 Phosphorus(APT35)运营的 99 个域名。
微软企业网安部产品及服务包括,安全评估、监控、威胁侦测、事件响应等。
同时,微软还新成立了网络防护运营中心(CDOC),由专门团队全天候响应安全事件,由微软内部的数千名专家直接协助企业客户处理安全威胁。
微软还宣布,将测试Azure Security Center安全中心。该中心是基于Web的控制台,支持企业IT管理员监控公司内部的Azure安全文件。
到此,以上就是小编对于打击黑客犯罪有成效的问题就介绍到这了,希望介绍关于打击黑客犯罪有成效的2点解答对大家有用。
