第二次,一个黑客向我的InfoWorld地址发送恶意邮件,试图控制我的电脑。我通常调查这些不常见的事件,如果只是为了看看攻击是否独特或不寻常。在这个特殊的例子中,黑客给我发送了一个GIF文件,它利用了一个全新的零日漏洞——缓冲区溢出了微软Windows图形处理文件,让攻击者完全控制了我的系统。
在睡了几个小时后,我正准备去度假,因为太匆忙了,我没有花时间在虚拟环境中打开电子邮件,就像我通常会打开一封恶意邮件一样。我也不敢相信所附的GIF文件会使我的系统缓冲溢出。近20年来,许多黑客都声称自己有能力做到这一点,但直到这封电子邮件出现之前,还从未在野外实现过。我过于自信,也许还有点自大,认为这个恶意的图形文件和其他文件一样——是无害的。
我错了。一执行它,我就能看到它植入了一个后门木马,然后拨号回家。这让我很吃惊。由于在我的个人电脑上执行一个已知的恶意文件,我打了自己的头几次后,我断开了互联网,并立即开始清除新掉的木马病毒。
在几个小时内,我成功地跟踪并记录了这个新的漏洞。我给微软和我的几个防病毒朋友发了一份,让他们做更多的分析和回应。我在度假前失去了任何睡觉的机会,我记得我开车时比我应该的要累得多。
事件并没有就此结束。我联系了邮件的发信人,给了他一些没有完成的支持。我注意到他在IRC黑客频道上吹嘘他的漏洞,并把他的发明传播到几十个网站上。我告诉他,微软正在解决这个问题,所有的AV公司都在发布签名。不用说,他很不高兴。
然后他试图侵入我的个人电脑网络,从他最初的后门木马获得了IP地址。他发动了当时所有人能想到的恶意攻击,包括DDoS攻击。当他无法侵入我的网络时,他开始使用我的IP地址攻击与我有业务往来的人和公司。例如,黑客成功地让苹果公司禁止我的IP地址连接到它的网络,阻止我从iTunes上下载新音乐。再多的苹果电子邮件也无法解决这个问题,最终我被迫从ISP那里获取另一个IP地址。
我调查了这个黑客,阅读了他在一些黑客论坛和合法网站上发布的电子邮件。我发现他是中西部一个过于热心的高中生他认为自己是个比实际更优秀的黑客。甚至“他的”零日也是别人创造的。他只是把它传递出去,然后声称是他的功劳。
在又经历了几周的电脑攻击后,我给他发了一封电子邮件,要求他停止攻击。他很惊讶我有他的电子邮件地址。我回复了他的真实姓名,高中和邮寄地址。我礼貌地请求他别再黑我了。作为回应,他用我的新IP地址发起了更多的攻击,攻击了更多的公司。他越来越烦人了。是时候扭转局面了。
我知道他用什么防火墙保护自己了。我记得它最近在一个公共论坛上宣布了一个远程缓冲区溢出。下一步可能是不合法的,但我用缓冲区溢出闯入了他的电脑。我用命令创建了一个批处理文件,在他下次重新启动时格式化他的硬盘,除了我注释掉(REM)的行,所以它们不会生效。然后我给他发了一封电子邮件,告诉他我把这个“kill”批处理文件放在了他本地硬盘上。
他惊呆了。我告诉他,这个世界上有很多聪明的黑客,他不是唯一一个知道如何进入别人系统的人。然后我礼貌地请求他停止攻击我的系统,也停止攻击任何人的系统,并将他的好奇心转化为合法目的。他同意了。据我所知,他再也没有做过任何非法黑客行为了。
之后的几年里,我一直收到他的电子邮件和即时聊天信息。他上了大学,获得了工程学学位,最终成为一家电脑公司的中层管理人员,这家公司后来被一家大型企业集团吞并。在这个过程中,他变得相当富有。他现在有妻子和几个孩子了。我不知道他身边有没有人知道他青少年时期的黑客行为。我只能告诉你,一次好的惊吓帮助他改变了生活。
白帽黑客的真实故事之五:就像间谍对蜜罐一样我被雇来帮忙实现“粘蜜罐”.该客户是一家国防承包商和智库,已经被彻底攻破,需要一个早期预警系统,以检测恶意黑客或内部人士,并捕捉在其网络中漫游的任何未知恶意软件。
在接下来的几周里,我们创建了一个由早期预警系统、假Web服务器、SQL服务器和SharePoint服务器组成的“蜜网”。在任何一个蜜罐项目中,我经常被问到我们如何将攻击者吸引到蜜罐。我总是回答说没必要做广告;攻击者会找到他们的。这种说法总是遭到怀疑,但多年来一直是正确的。
我们启动了蜜罐,果然,我们立即发现了以前没有检测到的恶意软件。更妙的是,在24小时内,我们发现一名内部员工也在网络上四处游荡,入侵各种系统。她试图侵入新的假服务器,包括Web、SQL和SharePoint服务器。
我们不确定过度热情的员工想要的是什么类型的内容,或者她的意图是什么,所以我们创建了一些不同的内容区域。其中一个是关于一款流行的游戏,IT团队中有一半的用户似乎对它感兴趣。他们甚至侵入未被充分利用的服务器来托管游戏并使用资源。我们还创建了以中东政治(智库的焦点)和航天飞机为中心的网站。我们从公开的网站上下载内容,将其复制到文件夹、目录和数据库中,使其看起来像是绝密信息,并使用wget来保持信息更新。
内部入侵者想要的是严肃的东西。她对游戏不感兴趣。我们跟踪她到了一个会计/工资部门——巧合的是,正好在我们蜜网团队的另一边。会计部门已经在房间里安装了网络摄像头,以防工资安全问题。
用它,我们观察了这名雇员,一个俄罗斯临时工,在剩下的一周内侵入了几个真实的系统。在她离开后,我们检查了她的电脑,发现她插入了一张无线网卡,并成功地将“空气隔离”的安全网络和不安全网络连接起来。我们可以看出,她正在把电脑上的数据传输给另一个连接到无线网络的人。我们在她的电脑上安装了键盘记录程序来记录她的每一次按键。
我们买了无线嗅探器来更好地追踪黑客,当她开始传送信息时,我们在走廊里四处游荡寻找非法合作伙伴。我们最后来到附近一间对公众开放的会议室。我们打开门,看到大约200人,其中一半带着笔记本电脑。不管我们怎么努力,我们都无法追踪到一个特定的人的非法数据流。我们有一个房间和MAC地址。高层领导不会允许我们阻止房间里的每个人去找到特定的人。虽然我不喜欢这个决定,但这可能是最好的法律答案。
我们决定拘留已知的犯罪者,以防止数据丢失。当IT和物理安全人员面对这名员工时,我在后台闲逛。保安一进入会计部门,临时工就离开了她的电脑,声称有人在黑它。她是如此的坚定和泪流满面,如果我没有看到她的专家在过去的几天里使用网络摄像头入侵,我可能会相信她。她是个出色的演员。
我从来没听说过她是被逮捕还是被驱逐出境,或者发生了什么事。我不知道那些细节。但我听说她只是一家新聘用的临时职业介绍所的一名员工,而该机构的所有其他员工也都被抓到侵入同一客户。我帮助拘留的那名年轻女子声称,她几乎没有电脑技能,以至于公司送她去上了基本的键盘课。
这是我这辈子唯一一次帮着抓俄国间谍。
相关文章
- 14个肮脏的IT技巧,安全专业版
- IT行业9大安全威胁
- 9种行不通的流行IT安全实践
- 10个疯狂的IT安全技巧,实际上是有效的
- 恶意软件深潜报告
- 数据丢失预防深度潜水报告
- 内部威胁深度潜水报告
- 恶意软件智商测试:第二轮
- 恶意软件智商测试:第一轮
这个故事,”(大部分)白帽黑客的真实故事,最初发表于InfoWorld.com.跟踪最新的发展安全在InfoWorld.com上。有关商业技术新闻的最新发展,请跟随在Twitter上InfoWorld.com.
阅读更多关于安全性的信息在InfoWorld的安全通道。
这个故事,“白帽黑客的真实故事”最初是由信息世界 .