您位于: 首页 OWASP峰会 OWASP2010中国峰会 吴明蔚:Trojan:Trusted Insider

吴明蔚:Trojan:Trusted Insider

 

阿码科技产品线管理总监吴明蔚先生

 

演讲实录:

 

吴明蔚:大家好!今天很高兴能够来到北京参加OWASP会议。今天的主题是跟木马有关,黑客最喜欢的就是木马,木马这个故事大家都知道,它是一 个看起来不怎么样的东西,你以为它是礼物,把它默默的推到城里面,后来它作怪。其实不像我们现在的木马,现在的木马是张牙舞爪,是很明显的,杀毒软件一看 到它就会发现它是病毒。

 

我介绍一下我自己,我在台湾出生,在菲律宾长大,我老婆是长沙人,我自己认为我们现在这个时代非常幸福,因为以前没有互联网的时候自己顶多能够 帮助一个人,学医再怎么样厉害顶多一次救一个人,但是互联网可以帮助很多人。所以我很喜欢一句话,就是"大家做最好的自己",你可以学很多观念 ,但是你自己要有你自己的价值观,做最好的自己。

 

引用一下SANS的CEO的一句话,"走这行,快学中文",相对我们是中国人,那我们应该学什么?我觉得我们应该学俄文,俄文里面有很多无论是 攻击的武器还是各类地下经济都可以做很多切磋。今天的演讲是几部分:什么是木马?木马装模作样?挂马:浅谈SOL盲注入。管他什么马?

 

什么是木马?是一种恶意软件,在信息网络大量出没。木马可以做什么呢?它可以做一些远程的控制,可以充当跳板,就是发现一个人有漏洞 ,但是我想打它的话会被他看到我的IP,所以我就要找一个受害者当跳板。或者是说我要进垃圾网站,我就拿别人的邮箱去 进。其实我觉得安全有趣的地方是在于它是在玩弄数码落差+信息安全意识的落差。因为在食品安全上我们知道怎么样小心强盗 ,怎么样小心小偷,我们知道怎么样避免,看起来鬼鬼祟祟的就会去小心。但是在网络上很多人不知道小心木马,因为网络上面有很多计算机的知识是我们无法理解 的。也许我们理解了,但是爸爸妈妈们不理解,爷爷奶奶们更不理解,所以上面有很多安全的东西很有趣。

 

我这边举个很有趣的例子,讲一下假的杀毒软件,杀毒软件是一个很大的产业,非常赚钱。有时候你会收到很多邮件跟你讲学校的邮箱坏 掉了,邮箱需要重新整理,让你填下你的信息,也许它发1万封,最终有几个人上当了,它就是抓这类的机会。这类东西是WINDOWS本身就有的功能,它让你 显示的方式可以从右到左、从左到右,它显示的方向不一样。这样的东西是五年前就有,是最近一两年开始热。假的杀毒软件也超过250种,这是杀毒软件的网上 客服系统,你买了这个假的杀毒软件还得跟它的客服互动。其实平常慢慢在网络上逛都有机会遇到木马,它们自己看到的机率大概就是1%.

 

分享一下怎么样做盲注入,这是网络上的一些画面,拿出一些国产很厉害的工具直接可以打到后面的数据库。下一步是把马放上去,解码之后像这样子 的,基本上它只要一行进去,所有数据库每个页面通通都会塞,不会一个网站塞一只马,是每一个页面每一个栏目都塞,让你清的时候清到疯掉。我举一个例子,这 边有塞一匹马,这里也有一个马,实际上它真的是重复一直塞很多马。最有趣的地方是旁边也有一个,所以是前赴后继,各路好手都来塞各种马,当然不会是二度伤 害 .

 

木马长什么样我们可以看一下,这是整个产业,产生出来的木马基本上都非常的很隐蔽,有的是你明明知道这个是木马,但是就是砍不下去。刚刚我们看 到的这些都是木马目前的现状,目前的现状是乱枪打鸟,抓到的量就够它这个产业。但是后来他们发现这样已经不能活了,它每次只要一出现杀毒软件的出生率是百 分之百,那么它一定要开始走装模做样的路线,其实最危险的就是披着羊皮的木马,满口任意道德的木马,它们总说自己是免费软件。这可以延伸到很多地方,其实 你会担心的东西不只只有网络,我更担心的是医疗这类的东西,如果你看病的时候医生开了药给你,但是医生开的药跟你最后拿到的药不一样,这不是很好笑,是很 可怕,最后都可能死掉。

 

为什么黑客会把时间花在刀口上?因为它可以赚大钱,而且现在有90/10的原则,就是大部分金钱是10%的人创造的。其实木马可以洗钱,可以创 造很多伪卡,创造很多物美价廉的虚拟商品。洗钱会不抓,为什么它是Mule?因为没有翻身的机会,它们是马的下一代,所以FBI抓到的是洗钱机团队最没有 价值的。我觉得真的要抓的话应该抓上面大的,中国肯定是抓无恶不作的,可是国外就会容忍。伪卡这个画面大家看一下,就是它要买信用卡,这些都是它们偷来的 假的信用卡,这边是真的信用卡的数据。也有很多假的虚拟商品,也就是说明明一个商品的价格要100块,但是它只卖你10块,而且它非常有效。也可以买 DDoS,也就是说我自己没有机器我就去买一个DDoS的服务打人家。

 

我举一些具体的例子,譬如说你今天很会挂马,我可以一下子挂一万多网站,这个JS可以把所有看到这个网站的人都通通指向一个网站,瞬间创造1万 个人到那个网站,所以我就是流量产生者,我会卖流量,所以挂马的人可以卖流量,它是卖家。那谁会是买家呢?买家就是需要人家变成僵尸网络一员的人,比如它 希望人家中他的木马,"你能不能够帮我创造每小时100个?"这样就会出现每小时有100个僵尸。我们再回顾一下刚刚那个杀毒软件,各位看一下它的销售体 制,这边是激励制度。这个图是有多少个人看到这个页面,有多少个人安装,有多少人买。各位看一下他的收入多少,他一个人一个礼拜赚2万多块美金。它的制度 是第一名的销售月收入332000美金,还有车子等大奖。

 

最后我总结一下木马的明天,这种东西是可遇不可求的,有时候是要花几万块钱,甚至十几万上百万来买,可是有那个必要吗?但是并不见得能够阻止木 马。其实现在木马的猖獗让整个网民讲一些东西,如果你要不认识的人讲去你的空间,但是他都不敢去你的空间,因为他怕你的空间挂马。其实真正的木马是它在你 身边你都不知道,这才是真正的木马,而不是像现在这样木马是很明显的,谢谢大家!