盜用口令攻擊

美國東部時間10月27日(台北時間10月28日)據海外媒體的最新報導,近日,安全專家警告稱,攻擊者可以輕易地破解甲骨文資料庫用戶的口令,因為這種產品的防護系統很弱,導致企業的數據面臨極大的風險。

相關實例:
專家呼籲甲骨文儘快提高軟體安全性能,研究人員稱,他們已找到一個辦法,可以在數分鐘內恢復每位甲骨文資料庫用戶的口令文本。本周三,在落杉機舉行的SANS網路安全大會上,SANS組織的Joshua Wright和倫敦大學的Carlos Sid稱,甲骨文的保護口令沒有起到有效的作用。
在大會發言中,Wright向與會者作了演示,他通過一種破解軟體證明甲骨文資料庫口令被如何破解的。他證實,甲骨文資料庫中存在幾個漏洞,其中包括弱散列法,在進行計畫前所有的口令都要寫成大寫字母等。"利用這些漏洞,攻擊者就可以月已知的用戶中獲得口令。"
研究人員就警告甲骨文,但甲骨文一直沒有答覆。對於最新的安全漏洞報導,甲骨文官方也沒有回應。研究人員稱,甲骨文用戶通過輸入強大的口令進行自我保護,但用戶的許可權卻很小。同在,甲骨文產品遭受的安全攻擊日益增多。研究人員在公司宣布升級之前,一般都對安全漏洞提供補丁和修復。
二、網路攻擊的步驟
第一步:隱藏自己的位置
普通攻擊者都會利用別人的電腦隱藏他們真實的IP位址。老練的攻擊者還會利用800電話的無人轉接服務聯接ISP,然後再盜用他人的帳號上網。
第二步:尋找目標主機並分析目標主機
攻擊者首先要尋找目標主機並分析目標主機。在Internet上能真正標識主機的是IP位址,域名是為了便於記憶主機的IP位址而另起的名字,只要利用域名和IP位址就可以順利地找到目標主機。當然,知道了要攻擊目標的位置還是遠遠不夠的,還必須將主機的作業系統類型及其所提供服務等資料作個全面的了解。此時,攻擊者們會使用一些掃描器工具,輕鬆獲取目標主機運行的是哪種作業系統的哪個版本,系統有哪些帳戶,WWW、FTP、Telnet 、SMTP等伺服器程式是何種版本等資料,為入侵作好充分的準備。
第三步:獲取帳號和密碼,登錄主機
攻擊者要想入侵一台主機,首先要有該主機的一個帳號和密碼,否則連登錄都無法進行。這樣常迫使他們先設法盜竊帳戶檔案,進行破解,從中獲取某用戶的帳戶和口令,再尋覓合適時機以此身份進入主機。當然,利用某些工具或系統漏洞登錄主機也是攻擊者常用的一種技法。
第四步:獲得控制權
攻擊者們用FTP、Telnet等工具利用系統漏洞進入進入目標主機系統獲得控制權之後,就會做兩件事:清除記錄和留下後門。他會更改某些系統設定、在系統中置入特洛伊木馬或其他一些遠程操縱程式,以便日後可以不被覺察地再次進入系統。大多數後門程式是預先編譯好的,只需要想辦法修改時間和許可權就可以使用了,甚至新檔案的大小都和原檔案一模一樣。攻擊者一般會使用rep傳遞這些檔案,以便不留下FTB記錄。清除日誌、刪除拷貝的檔案等手段來隱藏自己的蹤跡之後,攻擊者就開始下一步的行動。
第五步:竊取網路資源和特權
攻擊者找到攻擊目標後,會繼續下一步的攻擊。如:下載敏感信息;實施竊取帳號密碼、信用卡號等經濟偷竊;使網路癱瘓。 三、網路攻擊的原理和手法
所謂口令入侵是指使用某些合法用戶的帳號和口令登錄到目的主機,然後再實施攻擊活動。這種方法的前提是必須先得到該主機上的某個合法用戶的帳號,然後再進行合法用戶口令的破譯。獲得普通用戶帳號的方法很多,如利用目標主機的Finger功能:當用Finger命令查詢時,主機系統會將保存的用戶資料(如用戶名、登錄時間等)顯示在終端或計算機上;
利用目標主機的X.500服務:有些主機沒有關閉X.500的目錄查詢服務,也給攻擊者提供了獲得信息的一條簡易途徑;
電子郵件地址中收集:有些用戶電子郵件地址常會透露其在目標主機上的帳號;
查看主機是否有習慣性的帳號:有經驗的用戶都知道,很多系統會使用一些習慣性的帳號,造成帳號的泄露。
這又有三種方法:
(1)是通過網路監聽非法得到用戶口令,這類方法有一定的局限性,但危害性極大。監聽者往往採用中途截擊的方法也是獲取用戶帳戶和密碼的一條有效途徑。當下,很多協定根本就沒有採用任何加密或身份認證技術,如在Telnet、FTP、HTTP、SMTP等傳輸協定中,用戶帳戶和密碼信息都是以明文格式傳輸的,此時若攻擊者利用數據包截取工具便可很容易收集到你的帳戶和密碼。還有一種中途截擊攻擊方法更為厲害,它可以在你同伺服器端完成“三次握手”建立連線之後,在通信過程中扮演“第三者”的角色,假冒伺服器身份欺騙你,再假冒你向伺服器發出惡意請求,其造成的後果不堪構想。另外,攻擊者有時還會利用軟體和硬體工具時刻監視系統主機的工作,等待記錄用戶登錄信息,從而取得用戶密碼;或者編制有緩衝區溢出錯誤的SUID程式來獲得超級用戶許可權。
(2)是在知道用戶的賬號後(如電子郵件@前面的部分)利用一些專門軟體強行破解用戶口令,這種方法不受網段限制,但攻擊者要有足夠的耐心和時間。如:採用字典窮舉法(或稱暴力法)來破解用戶的密碼。攻擊者可以通過一些工具程式,自動地從電腦字典中取出一個單詞,作為用戶的口令,再輸入給遠端的主機,申請進入系統;若口令錯誤,就按序取出下一個單詞,進行下一個嘗試,並一直循環下去,直到找到正確的口令或字典的單詞試完為止。由於這個破譯過程由電腦程式來自動完成,因而幾個小時就可以把上十萬條記錄的字典里所有單詞都嘗試一遍。
(3)是利用系統管理員的失誤。在現代的Unix作業系統中,用戶的基本信息存放在passwd檔案中,而所有的口令則經過DES加密方法加密後專門存放在一個叫shadow的檔案中。黑客們獲取口令檔案後,就會使用專門的破解DES加密法的程式來解口令。同時,由於為數不少的作業系統都存在許多安全漏洞、Bug或一些其他設計缺陷,這些缺陷一旦被找出,黑客就可以長驅直入。例如,讓Windows95/98系統後門洞開的BO就是利用了Windows的基本設計缺陷。
2、放置特洛伊木馬程式
特洛伊木馬程式可以直接侵入用戶的電腦並進行破壞,它常被偽裝成工具程式或者遊戲等誘使用戶打開帶有特洛伊木馬程式的郵件附屬檔案或從網上直接下載,一旦用戶打開了這些郵件的附屬檔案或者執行了這些程式之後,它們就會象古特洛伊人在敵人城外留下的藏滿士兵的木馬一樣留在自己的電腦中,並在自己的計算機系統中隱藏一個可以在windows啟動時悄悄執行的程式。當您連線到網際網路上時,這個程式就會通知攻擊者,來報告您的IP位址以及預先設定的連線埠。攻擊者在收到這些信息後,再利用這個潛伏在其中的程式,就可以任意地修改你的計算機的參數設定、複製檔案、窺視你整個硬碟中的內容等,從而達到控制你的計算機的目的。
3、WWW的欺騙技術
在網上用戶可以利用IE等瀏覽器進行各種各樣的WEB站點的訪問,如閱讀新聞組、諮詢產品價格、訂閱報紙、電子商務等。然而一般的用戶恐怕不會想到有這些問題存在:正在訪問的網頁已經被黑客篡改過,網頁上的信息是虛假的!例如黑客將用戶要瀏覽的網頁的URL改寫為指向黑客自己的伺服器,當用戶瀏覽目標網頁的時候,實際上是向黑客伺服器發出請求,那么黑客就可以達到欺騙的目的了。
一般Web欺騙使用兩種技術手段,即URL地址重寫技術和相關信關信息掩蓋技術。利用URL地址,使這些地址都向攻擊者的Web伺服器,即攻擊者可以將自己的Web地址加在所有URL地址的前面。這樣,當用戶與站點進行安全連結時,就會毫不防備地進入攻擊者的服器,於是用記的所有信息便處於攻擊者的監視之中。但由於瀏覽器材一般均設有地址欄和狀態欄,當瀏覽器與某個站點邊接時,可以在地址欄和狀態樣中獲得連線中的Web站點地址及其相關的傳輸信息,用戶由此可以發現問題,所以攻擊者往往在URLf址重寫的同時,利用相關信息排蓋技術,即一般 用javascript程式來重寫地址樣和狀枋樣,以達到其排蓋欺騙的目的。 4、電子郵件攻擊
電子郵件是網際網路上運用得十分廣泛的一種通訊方式。攻擊者可以使用一些郵件炸彈軟體或CGI程式向目的信箱傳送大量內容重複、無用的垃圾郵件,從而使目的信箱被撐爆而無法使用。當垃圾郵件的傳送流量特別大時,還有可能造成郵件系統對於正常的工作反映緩慢,甚至癱瘓。相對於其它的攻擊手段來說,這種攻擊方法具有簡單、見效快等優點。
電子郵件攻擊主要表現為兩種方式:
(1)是電子郵件轟炸和電子郵件“滾雪球”,也就是通常所說的郵件炸彈,指的是用偽造的IP位址和電子郵件地址向同一信箱傳送數以千計、萬計甚至無窮多次的內容相同的垃圾郵件,致使受害人信箱被“炸”,嚴重者可能會給電子郵件伺服器作業系統帶來危險,甚至癱瘓;
(2)是電子郵件欺騙,攻擊者佯稱自己為系統管理員(郵件地址和系統管理員完全相同),給用戶傳送郵件要求用戶修改口令(口令可能為指定字元串)或在貌似正常的附屬檔案中載入病毒或其他木馬程式
5、通過一個節點來攻擊其他節點
攻擊者在突破一台主機後,往往以此主機作為根據地,攻擊其他主機(以隱蔽其入侵路徑,避免留下蛛絲馬跡)。他們可以使用網路監聽方法,嘗試攻破同一網路內的其他主機;也可以通過IP欺騙和主機信任關係,攻擊其他主機。
這類攻擊很狡猾,但由於某些技術很難掌握,如TCP/IP欺騙攻擊。攻擊者通過外部計算機偽裝成另一台合法機器來實現。它能磙壞兩台機器間通信鏈路上的數據,其偽裝的目的在於哄騙網路中的其它機器誤將其攻擊者作為合法機器加以接受,誘使其它機器向他傳送據或允許它修改數據。TCP/IP欺騙可以發生TCP/IP系統的所有層次上,包括數據鏈路層網路層運輸層套用層均容易受到影響。如果底層受到損害,則套用層的所有協定都將處於危險之中。另外由於用戶本身不直接與底層相互相交流,因而對底層的攻擊更具有欺騙性。
網路監聽主機的一種工作模式,在這種模式下,主機可以接收到本網段在同一條物理通道上傳輸的所有信息,而不管這些信息的傳送方和接收方是誰。因為系統在進行密碼校驗時,用戶輸入的密碼需要從用戶端傳送到伺服器端,而攻擊者就能在兩端之間進行數據監聽。此時若兩台主機進行通信的信息沒有加密,只要使用某些網路監聽工具(如NetXRay for Windows95/98/NT、Sniffit for Linux、Solaries等)就可輕而易舉地截取包括口令和帳號在內的信息資料。雖然網路監聽獲得的用戶帳號和口令具有一定的局限性,但監聽者往往能夠獲得其所在網段的所有用戶帳號及口令。
7、利用黑客軟體攻擊
利用黑客軟體攻擊是網際網路上比較多的一種攻擊手法。Back Orifice2000、冰河等都是比較著名的特洛伊木馬,它們可以非法地取得用戶電腦的超級用戶級權利,可以對其進行完全的控制,除了可以進行檔案操作外,同時也可以進行對方桌面抓圖、取得密碼等操作。這些黑客軟體分為伺服器端和用戶端,當黑客進行攻擊時,會使用用戶端程式登入上已安裝好伺服器端程式的電腦,這些伺服器端程式都比較小,一般會隨附帶於某些軟體上。有可能當用戶下載了一個小遊戲並運行時,黑客軟體的伺服器端就安裝完成了,而且大部分黑客軟體的重生能力比較強,給用戶進行清除造成一定的麻煩。 特別是最近出現了一種TXT檔案欺騙手法,表面看上去是一個TXT文本檔案,但實際上卻是一個附帶黑客程式的可執行程式,另外有些程式也會偽裝成圖片和其他格式的檔案。
8、安全漏洞攻擊
許多系統都有這樣那樣的安全漏洞(Bugs)。其中一些是作業系統或套用軟體本身具有的。如緩衝區溢出攻擊。由於很多系統在不檢查程式與緩衝之間變化的情況,就任意接受任意長度的數據輸入,把溢出的數據放在堆疊里,系統還照常執行命令。這樣攻擊者只要傳送超出緩衝區所能處理的長度的指令,系統便進入不穩定狀態。若攻擊者特別配置一串準備用作攻擊的字元,他甚至可以訪問根目錄,從而擁有對整個網路的絕對控制權。另一些是利用協定漏洞進行攻擊。如攻擊者利用POP3一定要在根目錄下運行的這一漏洞發動攻擊,破壞的根目錄,從而獲得超級用戶的許可權。
又如,ICMP協定也經常被用於發動拒絕服務攻擊。它的具體手法就是向目的伺服器傳送大量的數據包,幾乎占取該伺服器所有的網路寬頻,從而使其無法對正常的服務請求進行處理,而導致網站無法進入、網站回響速度大大降低或伺服器癱瘓。常見的蠕蟲病毒或與其同類的病毒都可以對伺服器進行拒絕服務攻擊的進攻。它們的繁殖能力極強,一般通過Microsoft的Outlook軟體向眾多信箱發出帶有病毒的郵件,而使郵件伺服器無法承擔如此龐大的數據處理量而癱瘓。對於個人上網用戶而言,也有可能遭到大量數據包的攻擊使其無法進行正常的網路操作。
9、連線埠掃描攻擊
所謂連線埠掃描,就是利用Socket編程與目標主機的某些連線埠建立TCP連線、進行傳輸協定的驗證等,從而偵知目標主機的掃描連線埠是否是處於激活狀態、主機提供了哪些服務、提供的服務中是否含有某些缺陷等等。常用的掃描方式有:Connect()掃描。Fragmentation掃描。四、攻擊者常用的攻擊工具
1、D.O.S攻擊工具:
如WinNuke通過傳送OOB漏洞導致系統藍屏;Bonk通過傳送大量偽造的UDP數據包導致系統重啟;TearDrop通過傳送重疊的IP碎片導致系統的TCP/IP棧崩潰;WinArp通過發特殊數據包在對方機器上產生大量的視窗;Land通過傳送大量偽造源IP的基於SYN的TCP請求導致系統重啟動;FluShot通過傳送特定IP包導致系統凝固;Bloo通過傳送大量的ICMP數據包導致系統變慢甚至凝固;PIMP通過IGMP漏洞導致系統藍屏甚至重新啟動;Jolt通過大量偽造的ICMP和UDP導致系統變的非常慢甚至重新啟動。
(1)、BO2000(BackOrifice):它是功能最全的TCP/IP構架的攻擊工具,可以蒐集信息,執行系統命令,重新設定機器,重新定向網路的客戶端/伺服器應用程式。BO2000支持多個網路協定,它可以利用TCP或UDP來傳送,還可以用XOR加密算法或更高級的3DES加密算法加密。感染BO2000後機器就完全在別人的控制之下,黑客成了超級用戶,你的所有操作都可由BO2000自帶的“秘密攝像機”錄製成“錄像帶”。
(2)、“冰河”:冰河是一個國產木馬程式,具有簡單的中文使用界面,且只有少數流行的反病毒、防火牆才能查出冰河的存在。冰河的功能比起國外的木馬程式來一點也不遜色。 它可以自動跟蹤目標機器的螢幕變化,可以完全模擬鍵盤及滑鼠輸入,即在使被控端螢幕變化和監控端產生同步的同時,被監控端的一切鍵盤及滑鼠操作將反映在控端的螢幕。它可以記錄各種口令信息,包括開機口令、屏保口令、各種共享資源口令以及絕大多數在對話框中出現過的口令信息;它可以獲取系統信息;它還可以進行註冊表操作,包括對主鍵的瀏覽、增刪、複製、重命名和對鍵值的讀寫等所有註冊表操作。
(3)、NetSpy:可以運行於Windows95/98/NT/2000等多種平台上,它是一個基於TCP/IP的簡單的檔案傳送軟體,但實際上你可以將它看作一個沒有許可權控制的增強型FTP伺服器。通過它,攻擊者可以神不知鬼不覺地下載和上傳目標機器上的任意檔案,並可以執行一些特殊的操作。
(4)、Glacier:該程式可以自動跟蹤目標計算機的螢幕變化、獲取目標計算機登錄口令及各種密碼類信息、獲取目標計算機系統信息、限制目標計算機系統功能、任意操作目標計算機檔案及目錄、遠程關機、傳送信息等多種監控功能。類似於BO2000。
(5)、KeyboardGhost:Windows系統是一個以訊息循環(MessageLoop)為基礎的作業系統。系統的核心區保留了一定的位元組作為鍵盤輸入的緩衝區,其數據結構形式是佇列。鍵盤幽靈正是通過直接訪問這一佇列,使鍵盤上輸入你的電子信箱、代理的賬號、密碼Password(顯示在螢幕上的是星號)得以記錄,一切涉及以星號形式顯示出來的密碼視窗的所有符號都會被記錄下來,並在系統根目錄下生成一檔案名稱為KG.DAT的隱含檔案。
(6)、ExeBind:這個程式可以將指定的攻擊程式捆綁到任何一個廣為傳播的熱門軟體上,使宿主程式執行時,寄生程式也在後台被執行,且支持多重捆綁。實際上是通過多次分割檔案,多次從父進程中調用子進程來實現的。 五、網路攻擊應對策略
在對網路攻擊進行上述分析與識別的基礎上,我們應當認真制定有針對性的策略。明確安全對象,設定強有力的安全保障體系。有的放矢,在網路中層層設防,發揮網路的每層作用,使每一層都成為一道關卡,從而讓攻擊者無隙可鑽、無計可使。還必須做到未雨稠繆,預防為主 ,將重要的數據備份並時刻注意系統運行狀況。以下是針對眾多令人擔心的網路安全問題,提出的幾點建議:
1、提高安全意識
(1)不要隨意打開來歷不明的電子郵件及檔案,不要隨便運行不太了解的人給你的程式,比如“特洛伊”類黑客程式就需要騙你運行。
(2)儘量避免從Internet下載不知名的軟體、遊戲程式。即使從知名的網站下載的軟體也要及時用最新的病毒和木馬查殺軟體對軟體和系統進行掃描。
(3)密碼設定儘可能使用字母數字混排,單純的英文或者數字很容易窮舉。將常用的密碼設定不同,防止被人查出一個,連帶到重要密碼。重要密碼最好經常更換。
(4)及時下載安裝系統補丁程式。
(5)不隨便運行黑客程式,不少這類程式運行時會發出你的個人信息。
(6)在支持HTML的BBS上,如發現提交警告,先看原始碼,很可能是騙取密碼的陷阱。
2、使用防毒、防黑等防火牆軟體。
防火牆是一個用以阻止網路中的黑客訪問某個機構網路的屏障,也可稱之為控制進/出兩個方向通信的門檻。在網路邊界上通過建立起來的相應網路通信監控系統來隔離內部和外部網路,以阻檔外部網路的侵入。
3、設定代理伺服器,隱藏自己的IP位址。
保護自己的IP位址是很重要的。事實上,即便你的機器上被安裝了木馬程式,若沒有你的IP位址,攻擊者也是沒有辦法的,而保護IP位址的最好方法就是設定代理伺服器。代理伺服器能起到外部網路申請訪問內部網路的中間轉接作用,其功能類似於一個數據轉發器,它主要控制哪些用戶能訪問哪些服務類型。當外部網路向內部網路申請某種網路服務時,代理伺服器接受申請,然後它根據其服務類型、服務內容、被服務的對象、服務者申請的時間、申請者的域名範圍等來決定是否接受此項服務,如果接受,它就向內部網路轉發這項請求。
4、將防毒、防黑當成日常例性工作,定時更新防毒組件,將防毒軟體保持在常駐狀態,以徹底防毒。
5、由於黑客經常會針對特定的日期發動攻擊,計算機用戶在此期間應特別提高警戒。
6、對於重要的個人資料做好嚴密的保護,並養成資料備份的習慣。
--------------------------------------------------------------------------------

相關詞條

熱門詞條

聯絡我們