菲尼克斯一边读桌上的备忘录,一边握紧拳头。这是最后一根稻草了,Phoenix一边想一边把备忘录揉成一团扔掉。这是他的老板Minutia先生的一份备忘录,他解释说,他注意到有几名员工在用他们的电脑发送私人邮件。凤凰卫视的老板将监控所有电子邮件。如果他发现了一封与工作无关的电子邮件,人力资源部就会斥责发送邮件的员工。
然而,备忘录不会阻止那里。它致力于说明员工在工作时间内正在互联网上互联网,这是针对公司政策的工作时间。结果,凤凰允许删除他的网络浏览器的历史,使他的老板可以通过并定期检查它。
菲尼克斯知道米尼提亚先生已经监视他一段时间了。每当他离开办公桌去复印的时候,菲尼克斯就会看到Minutia先生在他的办公桌前拖着文件。Phoenix注意到mintia先生会在他打电话的时候走到他的办公桌前偷听他的谈话。现在,Minutia先生已经采取了下一步行动,阅读了Phoenix的所有电子邮件,并查看了Phoenix的网站浏览量。
这个词伪君子在菲尼克斯的脑海里回响。他知道他的老板大部分工作时间都在上网。Phoenix不确定他的老板在看什么,但Phoenix决心找出原因,因为他怀疑这可能与工作无关。然后,Phoenix就可以以其人之道还其人之身接近Minutia先生,揭露他的上网习惯。菲尼克斯开始密谋如何暗中监视他的老板。
图2.1说明了凤凰城的办公场景。
场景拓扑图
的方法
和书中提到的大多数攻击一样,凤凰号发动攻击的方法不止一种。Phoenix的目标基本上是监控进出mintia先生机器的流量。当决定一个方法时,Phoenix需要考虑该方法在网络上的“音量”有多大。很容易被入侵检测或防御系统(IDS/IPS)检测到的攻击是“嘈杂的”或“吵闹的”,因为它们触发警报并通知管理员它们的存在。有时,攻击者想要制造噪音,比如在发起转移攻击以分散管理员注意力的同时发起更隐秘的攻击,但大多数时候,攻击者希望执行不容易被IDS/IPS软件发现的攻击。凤凰城希望他的袭击目标准确,而且低调。
什么时候大声接近有用?-大声的方法很可能会对入侵检测或入侵防御设备发出警报,但有时它是查看网络流量的唯一选择。当攻击者想要查看网络上的所有流量时,大声方法非常有用。要了解更多关于声音选项的攻击者必须查看交换流量,请参阅本章后面的“更多信息”部分。
大多数网络使用开关,但切换到仅需要彼此通信的设备以及从设备发送流量。其他设备不一定是众多计算机之间的通信,因此菲尼克斯将无法在没有计划攻击的情况下看到此流量。
要理解Phoenix的攻击方法,您需要了解交换机是如何工作的。在图2.2当UserA向UserB发送帧时,交换机将UserA的源MAC(媒体访问控制)地址记录在其MAC地址表中。然后它在其表中查找目标MAC地址(UserB)。如果它在其表中没有目标MAC地址,则交换机将帧输出所有端口(FA0 / 2和FA0 / 3,在此示例中)。
开关操作,第1部分
现在检查图2.3.在这个图中,UserB将流量发送回UserA。交换机将在其MAC地址表中记录源MAC地址(UserB),并查找目的MAC地址(UserA)。因为它已经有一个关于UserA的条目,所以它只将帧从Fa0/1转发给UserA。连接到Fa0/3的UserC将不会接收到UserA和UserB之间的任何流量。如果Phoenix是UserC,他将看不到mintia先生的流量。但他要改变这一切。
开关操作,第2部分
如果你是UserC,你想看到UserA和UserB之间的流量,有几个响亮的方法你可以采取:
针对单个主机的免费地址解析协议(ARP中毒)消息
MAC欺骗
MAC洪水
您可以在下一节中了解更多关于这些响亮的方法的信息,但是Phoenix的方法是不同的。
作为一种替代噪音的方法,凤凰可以采取更安静的方法来避免被发现。因为Phoenix只想捕获单个用户(他的老板)的流量,所以Phoenix不需要执行ARP中毒、MAC欺骗或MAC洪泛化。
相反,菲尼克斯需要将几个漏洞链接到获得MeNuti先生无意中在他的计算机上安装数据包捕获软件。他的老板不会盲目地安装他不承认的软件,所以菲尼克斯将首先建立一个网络钓鱼骗局来欺骗他的老板安装他认为是合法的软件。网络钓鱼骗局是当用户被欺骗到一个看起来像合法网站的网站时,但实际上是由恶意黑客经营。网络钓鱼诈骗通常用于捕获登录信息,因为用户登录到Web站点认为它是一个值得信赖的网站,但菲尼克斯将使用骗局来拥有他的经理下载软件,这些软件就会合法。
Minutia先生从钓鱼网站下载的软件将与一个木马程序绑定,Phoenix将使用这个木马程序建立一个进入他经理电脑的后门。他的老板不会知道已经安装了木马。连接之后,Phoenix将使用Trivial File Transfer Protocol (TFTP)下载命令行抓包工具。这个工具将捕获流量到一个日志文件,菲尼克斯将传输回他的计算机。回到他的电脑,Phoenix会打开日志文件,看看他的老板在做什么。因为他的老板将通过网络传输图像和文本,Phoenix将使用十六进制编辑器重新组装图像文件,这样他就可以看到老板正在查看的图片。
总之,凤凰会采取的步骤是
复制一个网站并将其托管在Phoenix的服务器上。
用合法的可执行文件绑定后门特洛伊木马(Netcat)。
发邮件给他的老板,Minutia先生,要求他下载免费的可执行文件。他的经理将安装可执行文件,并随后安装Netcat。
使用Netcat连接他的经理的机器。
使用TFTP将WinDump下载到其管理器的机器上。
当他的经理访问一个网站时捕捉流量。
使用Wireshark分析发送往返他的经理计算机的流量。
使用十六进制编辑器重建Windump捕获的图形(.jpg)。
的更多信息
即使它们不是菲尼克斯的方法正在进行中,本节提供了一些关于三个响亮选项的更多信息,攻击者必须查看交换流量:
针对单个主机的免费ARP消息(ARP中毒)
MAC欺骗
MAC洪水
此列表绝不穷举。还有其他技术包括ARP中毒和端口镜像的变体(跨度[切换端口分析仪])。有关这些信息,您可以在书中看到第10章“攻击网络”渗透测试和网络防御作者安德鲁·惠特克和丹尼尔·p·纽曼(思科出版社,2006)。
图2.4说明了第一种方法,ARP中毒。这里的菲尼克斯为每个想要监视的主机发出一个免费的ARP消息。无偿ARP是未经请求的ARP消息。通常,如果UserA想要与UserB(10.0.0.12)通信,则首先将ARP请求发送到网络询问10.0.0.12的MAC地址。听到ARP请求后,UserB将使用其MAC地址发送ARP回复。Phoenix可以通过发送未经请求的ARP响应,播放到10.0.0.12的未经请求的ARP响应发送到UserB的所有流量。Phoenix可以通过为网络上的每个主机发送免费的ARP消息来查看到其他主机的流量。
无偿ARP消息
第二种方法——ARP中毒的一种变体——是欺骗主机的MAC地址图2.5).这通常用于网络上的默认网关或路由器。在本例中,Phoenix (UserC)欺骗了路由器的MAC地址。每当Phoenix听到一个关于10.0.0.1的ARP请求时,他都会回复与路由器相同的MAC地址。当一个帧从UserA发送到Internet时,它将进入MAC地址0040:5B50:387E。交换机看到路由器的MAC地址发出了Fa0/3和Fa0/4,就把帧发送给路由器和Phoenix的计算机。这种方法不会向Phoenix显示您网络上的所有流量,但它会向Phoenix显示您网络外的流量。
MAC欺骗
第三种技术是MAC洪水。您已经学到的,交换机维护MAC地址表。MAC表通过仅发送交通仅耗尽相应的端口来减少洪水。通过用数千个虚拟MAC地址泛促MAC表,它将不再有合法主机的条目。随后,它将导致交换机像集线器一样操作并将所有流量转发所有端口。这使得Phoenix,攻击者易于间谍 - 即使它不适用于他的机器。图2.6显示MACOF的截屏(http://monkey.org/~dugsong/dsniff/),这是您可以用来淹没交换网络的许多工具之一。
MAC洪水
虽然这三种方法对于Phoenix的目的来说太过响亮,但它们确实突出了攻击者可以利用的交换流量的一些基本原理。下一节开始详细讨论Phoenix的链式利用。
被利用
本节包括Phoenix被链接的漏洞利用的每个步骤的详细信息,包括
网络钓鱼诈骗
安装可执行文件
建立钓鱼网站
发送Metuti先生的电子邮件
找到老板的电脑
连接到老板的电脑
WinPcap
分析抓包
重新组装图形
其他的可能性
本节以对这个链式漏洞的总结结束。
网络钓鱼骗局
凤凰网的第一步是实施网络钓鱼骗局,诱使Minutia先生下载带有Netcat包装的软件。Netcat是一个后门木马程序,凤凰将使用它连接到他的经理的电脑。
复制合法的网站
首先,Phoenix需要找到一个他知道会让他的老板感兴趣的网站。Phoenix听到他的老板说他想尝试思科CCNA认证考试,所以Phoenix决定使用一个名为certificationpractice.com的网站,该网站提供免费的CCNA练习考试软件,在有限的时间内作为促销活动的一部分(参见图2.7).
在撰写本文时,certificationpractice.com还不是一个真正的网站。在本章中,它只是用于说明目的。
图2.7
certizationPractice.com网站
首先,Phoenix需要将网站复制到自己的Web服务器上。其中一个比较流行的工具是Wget (http://www.gnu.org/software/wget/).Wget是一个命令行实用程序,具有许多功能强大的选项(参见http://www.gnu.org/software/wget/manual/wget.html.查看选项列表)。在Phoenix的例子中,他选择了以下语法:
Wget -m -r -l 12 www.certificationpractice.com
交换机执行以下操作:
- m-镜像网站。
- r递归下拉任何链接到第一页的页面。
- l 12- 仅在第一个页面的6个超链接内按下页面。如果Phoenix没有将其设置为合理的边界,他最终可以下载大量的网页。如果它太小,他将不会复制足够的网站来在他的服务器上复制它。
该命令将Web站点复制到本地硬盘驱动器上名为www.certificationpractice.com的目录。这也保存了ccna.exe可执行文件的副本(参见图2.8),他将与一个特洛伊人绑定。
Wget
与许多安装可执行文件一样,该软件是压缩可执行文件。Phoenix而不是双击可执行文件,使用Winzip解压缩。图2.9显示了右键单击可执行文件的示例,这将弹出一个带有提取文件选项的菜单。Phoenix需要提取它们,因为他将使用压缩后的可执行文件中包含的文件来创建一个用后门实用程序包装的新可执行文件。
提取可执行
提取文件后,Phoenix将Setup.exe文件重命名为另一个名称,例如Backup.exe。菲尼克斯将稍后创建一个新的setup.exe。
安装可执行文件
许多安装可执行文件包含setup.exe文件和setup。setup.exe文件引用的LST文件。如果您将setup.exe文件重命名为其他文件,请确保复制该安装程序。名称相同的LST文件。例如,如果您将setup.exe重命名为backup.exe,请复制setup.exe。lst称为backup.lst。