黑吃黑到底是谁吃谁(beijing venustech inc has suspected support hacker activity)
DESCRIPTION
Chinese Hacker hacked the Chinese security companey's staff computer ,and confirm that Beijing Venustech Inc's staff(security researcher) is still do work in black-market,then leaked lot's of Files. This PDF is published in freebuf, then deleted soon by gov.includes army documents and army leaderman nameTRANSCRIPT
黑 吃 黑 到 底 是 谁 吃 谁
启明星辰惨中枪
习科道展网络信息安全顾问 最具实力的网络安全专家
习科道展网络信息安全 - Silic Network Security Solutions
Silic Group
索引
1) 从 Webshell 后门引发的血案
1.1 webshell 中的奇葩后门
1.2 黑吃黑反吃
2) 从 Email 开始
2.1 账号与常用密码
2.2 真实身份
3) 吐槽
习科道展网络信息安全 - Silic Network Security Solutions
Silic Group
习科安全顾问团队于5月份发布了《针对黑客M3QD4D 的分析报告》引来各种技术达人吐
槽不断,我们借本份报告对上个月的报告做一下说明。
第一是对所谓的大牛,传说中的大牛是不是都是事情没见做了多少,倒是吐了一口好槽,
本着对技术的尊重还是希望大牛吐槽前先做好自己的事情;第二是内容,认定一个网站被某
个人入侵是需要有充分的证据,否则不但无法指证而且嫌疑人还有权怀疑是嫁祸,习科的分
析报告是有理有据的指证报告,科普文请左拐百度右拐谷歌;最后关于发布,凡是习科公开
的报告都是已经被我们研究透彻再没有任何利用价值的报告,换句话说,仍然有价值或者更
高深的研究报告仅限于我们内部调研,待到没有价值时我们才会公开它们。
更简单的说,我们是在表明一种态度:有一份已经公开的报告,就意味着有更多份价值
更高技术层次更深的报告还没有公开。
1) 从 Webshell 后门引发的血案
国内最著名的黑吃黑事件谁也说不好是什么,但要说持续时间最长规模最大,那无疑就
是幽月的 webshell 后门事件了。从六七年前脚本式入侵兴起,一路的鼎盛一直到今天,幽
月带后门的 webshell 仍然充斥在互联网的诸多角落。尤其是许多脚本小子利用网上公开的
0day、编辑器漏洞傻瓜化的批量拿站,因为不懂代码而下载使用了带后门的 webshell 却浑
然不觉,自己拿多少网站都是免费上贡给别人却还一边洋洋得意。
无论是对幽月的后门还是对其他的 webshell 后门,其实都不难以理解,基本都是一个
套路下来。创建自定义函数,将 url和密码处理一下,大部分通过 GET方式提交到某个地方,
然后这个地方就会被旁注、站长被社工、脱裤等等一系列黑吃黑吃黑吃黑的行为发生。
不过近日我们截获了一枚非常奇葩的黑吃黑 webshell 后门,之所以出具这份报告,也
正是因为“奇葩”。这位黑客进行 Webshell 黑吃黑、盗 QQ、XP弱口令入侵、扫描局域网 QQ
号,破解 wifi 无线密码,而这位黑客的真实身份竟然是启明星辰的安全培训讲师。看下去
就知道了。
1.1 webshell 的奇葩后门
我们截获的这个后门名为“2013最新超强免杀asp大马”,webshell体积为139,422 byte,
压缩后体积为 77,723 byte,webshell 除了密码部分外,其余部分都是进行了 VBScript.Encode
编码过的。反编码 vbs encode 其实很简单,网上有很多工具,甚至还有一些是在线反编码
的,如果图省事可以到习科的兵器库的加密解密部分下载 asp 反编码工具。
在 webshell 的 line 3 定义了登陆密码:
UserPass="123456" '修改密码
通过跟踪程序如何处理 userpass 变量可以比较快速的确定 webshell 中是否有密码传递
型后门(将明文密码和地址传送到指定地方的我们称之为密码传递型后门,在程序中添加特
定验证密码的方式我们称之为万能验证型后门)。在密码登陆验证模块还列举了一个
“serverp=userpass”的变量,因为这个 serverp 变量在程序中其他位置未找到任何引用,我
们对这个变量不进行关注,继续跟 userpass 变量的动作:
习科道展网络信息安全 - Silic Network Security Solutions
Silic Group
if session("web2a2dmin")<>UserPass then
if request.form("pass")<>"" then
if request.form("pass")=UserPass then
session("web2a2dmin")=UserPass
response.redirect url
else
rrs"<br><br><br><br><br><br><br><br><center> 密码不正确 ,请确认是否输入有误!
</center>"
end if
以“web2a2dmin”为关键字我们搜索到了很多以这种验证方式为例来讲述万能验证型
后门的文章。但是明显上面的代码并没有添加万能验证型后门。那我们继续跟踪 userpass
变量的后续动作,在程序的最末尾,我们跟踪到的结果:
作者定义了一个 SendMail连接 smtp服务器进行email发送,前面没有任何的判断语句,
只要访问这个文件一次,程序就会使用 [email protected] 邮箱给 [email protected] 发送
一封 Email。Email 的主题叫做“好运来”,正文是 UserPass 和 url 变量的内容。也就是说不
管你定义什么样的 userpass,不管是不是你上传的 webshell,只要访问一次,密码就发送到
QQ 为 784580391 的用户了。url 变量在上面也有定义,没有什么需要分析的地方,就是定义
了 webshell 的路径和 url 地址而已。
以前只听说过有盗号木马通过 email 发信,没想到 webshell 里面也有通过 email 发信的
盗号行为,这就是我们说的奇葩后门了。
习科道展网络信息安全 - Silic Network Security Solutions
Silic Group
1.2 黑吃黑反吃
毋庸置疑,这个发信 email 的密码肯定是与发信邮箱匹配的。不过发信邮箱未必就是幕
后黑吃黑的黑手,那么我们使用反推法进行论证。
QQ 邮箱是幕后黑手的可能性超过 90%,而发信的 163 邮箱不确定其主人是谁,若 QQ
使用者和 163 邮箱使用者不是同一个人,那么幕后黑手就有 10%的概率不是 163 邮箱的持有
人。我们假定发信的 163 邮箱不是幕后黑手,那么 QQ 使用者和 163 邮箱持有者就不是同一
个人。首先我们发现了一封 Email,是关于公务员方面的:
发信的 163 邮箱持有人似乎是公务员相关,是否降低了 163 邮箱使用者是幕后黑手的持
有人的概率?概率不是事实,我们继续看下去好了。我们在邮箱的基本设置中找到了一个即
时通讯软件 POPO 的号码,不过通过搜索,我们还是认定应该是腾讯 QQ 而不是网易 POPO
的号码:
习科道展网络信息安全 - Silic Network Security Solutions
Silic Group
这里的号码是 564380372,而不是收信地址,是不是得到前面的假设成立呢?假设成立
了,则逆推失败,163 发信邮箱持有人与 QQ 号码使用者不是同一个人,幕后黑手另有他人,
这位 163 邮箱使用者孙先生躺枪。如果故事这么简单,还会叫故事吗?好戏上演。
2) 从 Email 开始
2.1 常用账号与密码
整理下我们目前得到的信息,幕后黑手 QQ 号码 784580391,疑似幕后黑手的 163 邮箱
用户 [email protected],疑似幕后黑手的 163 用户的密码 n****a,疑似幕后黑手的 163 用户
的 QQ 号码 564380372。我们拿密码 n*****a 登陆 QQ 号码显然是徒劳的,不过我们用来登
陆 swl412 其他的账户还是很有说服力的。
第一个中枪的是 Yododo 游多多,这个网站的地址是 www.yododo.com ,我们发现了
一名注册用户 swl412,并且使用 n*****a 成功登陆该网站。注册人 swl412 的联系信息中写
的 QQ 号码就是 784580391。
不过很可惜,在这个网站中 swl412 这个注册用户的注册邮箱 [email protected] 并没有
通过邮箱认证,虽然用户昵称和密码都是一致的,但是邮箱不能判断其真实性,我们不能以
此来断定 QQ 号码持有人与 163 邮箱使用者是同一个人,这里唯一用的上的地方就是我们可
以通过生日来辅助确认账号使用者,但是这种确认并不可靠,仅仅限于辅助而已。
下一个中枪的叫做 探针论坛, 地址是 www.linuxprobe.com ,我们看一下这个论坛的
习科道展网络信息安全 - Silic Network Security Solutions
Silic Group
说明:“探针论坛是国内首家基于 Linux 开源理念和 Hack 共享精神为一站最具人气的综合技
术黑客论坛”,这里我们不对其论坛做出评价,我们只看注册用户 swl412 相关的信息。
仍然是使用 swl412 和密码 n*****a 来登录,仍然是成功的登陆,在个人信息的联系方
式中,我们看到了通过验证的 Email 地址:
通过认证的 Email 邮箱就是幕后黑手的 QQ 784580391 使用者。果然是黑客,而现在越
来越明朗,QQ 使用者和 163 持有者为同一个人的概率越来越大了。下一个中枪的是迅载网
盘,地址是 user.xunzai.com :
习科道展网络信息安全 - Silic Network Security Solutions
Silic Group
这里的认证邮箱是 [email protected] ,上传的文件是“指定入侵 xp弱口令 ip教程.rar”,
果然还是黑客。因为站点太多,我们不进行一一截图列举,我们以列表的形式来把我们得到
的信息理一遍:
网站: 用户名 邮箱 QQ ip
Yododo 游多多 swl412 [email protected] 784580391 null
H3C 技术论坛 swl412 163 null 172.0.0.1
ChinaUnix swl412 [email protected] 4304986 221.221.208.227
迅载网盘 swl412 163 null null
Backtrack 中文网 swl412 163 null 219.239.50.188
思科技术论坛 swl412 163 null 221.220.137.249
黑手安全网 swl412 QQ 784580391 null
长沙网 swl412 QQ null null
AIX 专家俱乐部 swl412 163 null null
添翼圈 swl412 163 null 219.239.50.189
红联 Linux 论坛 swl412 163 null 221.223.20.232
偶要雷锋 swl412 163 null 123.118.200.12
米吧 swl412 [email protected] null null
天天招生 swL412 163 564380372 null
你我他 swl412 163 null null
驴友网 swl412 163 784580391 119. 253.36.101
筑龙网 swl412 163 null null
中国通信网 swl412 163 null 123.118.194.9
豆丁网 swl412 163 null null
拼途网 veron qq 784580391 null
好玩 swl412 [email protected] 784580391 null
武汉誉天 swl412 163 564380372 221.220.143.216
其实我们还登陆了一些一夜情之类的网站,这里我们就不列举了。现在我们已经可以确
定这位 163 发信人和 QQ 持有者是同一个人了,也就是 webshell 黑吃黑的幕后黑手。
那么到这里,我们可以理一理,这个人的信息如下:
常用登录名:swl412、verson
常用密码:n*****a
常用邮箱:[email protected]、[email protected]、[email protected]
常用 QQ 号码:564380372、784580391、4304986(疑似)
常住地址:北京
常去网站:黑客类、技术类、旅游类、一夜情类、色情资源类
习科道展网络信息安全 - Silic Network Security Solutions
Silic Group
2.2 真实身份
首先我们在 [email protected] 这个收信邮箱里面多处发现一个签名如下:
该签名最早可以追溯到 2012 年 5 月的信件,最后一次见于 2013 年 5 月。看他喊得口
号就知道是启明星辰的人了。进一步证实一下:
孙维隆的邮箱并未被退信,说明邮箱是存在的(已测试地址若不存在会退信)。那么这个
孙维隆 确实是 启明星辰 的人,手机号 13671076325 和 13671076329 曾多次出现在注册
的网站上面,后者真实性未考证。不过真实性考证过的就是这个人的确是启明星辰的员工了。
习科道展网络信息安全 - Silic Network Security Solutions
Silic Group
我们不小心翻到了孙维隆的通讯录备份,通讯录里面被标注上启明的人员有 32 名,较
为敏感的还有总参自动化何***,田**参谋,疑似总参中的参谋有五六名,还有不明身份但
是可进一步获取信息的人员 N 名。最终我们确定孙维隆于 2011 年 7 月 18 日到岗启明星辰,
聘用通知由刘艳华发出。
职位和个人信息确定了,我们再来看看别的,比方说这个人长得是什么样子。孙维隆在
“好巧”网站上面发布的个人照片如下:
我们还发现了一张照片,是他学生时代的学生证:
两张照片上的人长相基本吻合,原来是毕业于著名的北京大学,计算机科学与技术专业。
在存放学生证件照的地方,我们同时发现了身份证照片。身份证显示照片上的这个孙维隆出
生于 1974 年 4 月 12 日,户籍是黑龙江省宝清县区,身份证号为 230827197404124**0。那
么还有什么信息我们没有知道?
既然都知道了,就开始吐槽吧。
习科道展网络信息安全 - Silic Network Security Solutions
Silic Group
3) 吐槽
首先我们看一下孙维隆在启明星辰中的岗位。
1、执行安全技术培训;
2、负责编写培训教材和讲义;
3、开发安全管理类培训或开发安全防御技术培训;
4、拓展安全培训市场。
然后我们来看一下这个人的技术水平?我们认为这位“奇葩”黑客确实是有非常高超的
技术水平的。理由有多个,第一,这位黑客是毕业于中国最高学府之一的北京大学,专业对
口;第二,也只有在启明星辰这样的顶尖技术公司常年的磨练才会达到如此的境地;第三,
也是最重要的,这位非主流黑客巧用 CDONTS 解决了 ASP 的 Jmail 组件问题。所以我们的讨
论结果一致认为,他给启明星辰这样的公司做培训尤其是安全开发,一定能让启明星辰的整
体技术更“上”一个层次。
不过仍然有很多事情令人费解。习科网络安全顾问团队有明确的规章制度对团队成员的
密码做出要求:
1,密码长度不短于 10 位,必须包含数字、字母和符号
2,常用密码至少有 3 个
4,常用通讯工具以及经常访问的网站不得用同一个密码
5,临时注册非习科站点必须使用 yopmail.com 临时邮箱以及 6 位纯数字密码注册
6,临时注册站点严禁填写任何真实个人信息
我们不解之处一:启明星辰是如何规定自己公司内部员工的密码,一个纯字母的短密码
通杀了某位安全专家的全部账号,而且还是个讲师级别的,这种事情是否普遍存在,或者这
种事情是否被普遍培训。莫非已经成为一种“习俗”?
另外不知道启明的人事考核标准是怎样的。我们自己的技术人员的挑选通常要进行长达
半年到一年的考核,在 技术水平、保密意识、安全意识、团队意识、道德观念以及学习能
力 方面均达到标准才会被聘用。大家都知道习科有个网络交流论坛,但是很少有人知道习
科有多少人,都有哪些是习科的,习科是为哪里工作的。
习科道展网络信息安全 - Silic Network Security Solutions
Silic Group
习科的技术培训讲师另外还受聘于美国 UBM 科技公司,具备黑帽子大会的讲师资。不
管怎样,最起码我们的团队不会去搞一些 webshell黑吃黑啊、QQ第六感局域网扫描、QQsniffe
嗅探器 2.0 豆芽 XX 破解版、无线 wifi 破解这类极为低档和没有水平的事情。更不会因为上
黄网上多了导致邮箱到处发送“加极品妹 QQ”的事情发生。黑吃黑的非主流黑客孙维隆的
培训 ppt 我们认真看过,对此我们已经无力吐槽。最后的吐槽留给:
如果我们团队是一支效力于美国中情局的安全团队,那么启明星辰公司是否会被成功
的持续性渗透?
一个与 Gmail 案例极其相似的持续性攻击发生其实并不难,我们轻松的破解了孙维隆的
联系人名单,最终结果就可能是一份解放军总参谋部网络安全相关参谋部分名单被敌方掌握。
又例如一份长达 192 页的 xx 部队网络安全建议方案 惨遭美国中情局等部门窃取;从长达
53 页的 启明星辰蜜网解决方案 得到反蜜网方案最终蜜网形同虚设;251 页 航空航天大学
无人机所项目技术方案 的多年科研成果拱手送人......
上面列出来的种种可能性有极高的概率发生,除此以外,诸如伊拉克油田建设项目投标
文件,疑似启明星辰公司部分无线路由器密码等等,越多的信息暴露就能牵扯出更多的信息
暴露。最终导致的结果就是中国最大的网络安全公司连同解放军总参谋部都被敌方成功的持
续性渗透,对此我们完全可以出具一份可行性分析报告。
网络安全不在于产品多智能,技术人员规模多大,或者有多么雄厚的财力投入到什么样
的安全建设上面。在技术水平上安全同行们把技术做到“世界先进水平”并不值得炫耀,因
为这是所有做安全的厂商应该达到的最低高度。最大的安全漏洞其实在人,因人制宜的把“人”
这个因素加到安全解决方案中防范持续性渗透是网络安全新时代的课题。
希望国内做安全的团队以此份报告为鉴,共进共勉。