y35u 发表于 2012-12-28 10:02

接触了下国外黑客团队,了解了下现在的攻击模式

1,一个越南人,祖籍中国杭州,27岁

手握3389远程溢出(去年有的),远程读取win管理员账户密码,用此法日了很多欧美游戏官网

手握MS2008/MS2012远程溢出0day(今年11月挖到的貌似),远程执行任意命令,用此法又日了很多欧美游戏官网

另外此人,还出售军方资料

2,了解到一个团队,专门搞欧美游戏官网

分工很明确

A专门入侵web的,但是据说平时都不入侵,因为现在的官网靠前端入侵太难了,就算入侵下来,想碰到数据库也很难,还容易惊动管理

B专门写驱动级木马的

C专门收集官网工作人员的名单,邮箱,信息

D定向给上面的人发木马,当然木马是用ms office 0day包装过的,比如word,xls。

据说,现在完全靠发木马去渗透,搞一个游戏官网,耗时几个月到1年不等。

当然,同时搞好多官网。

觉得现在黑客越来越趋向于商业间谍了,有过之而无不及。

我追踪了他们很久,发现他们经常活动的地方尽然全是欧美游戏论坛。。。。。。。。

我觉得,等国内网站都安全了之后,我们搞脚本入侵的,前端入侵的会很吃力,而且现在什么狗,什么盾的也很流行

黑客教父也说过,欺骗的艺术,最牛逼的入侵方法,是对人的入侵

不管是国内外,人的安全意识还是普遍较低,我觉得用木马,对人进行定向打击,是个未来的趋势

你们怎么看?

欺骗的艺术,最牛逼的入侵方法,是对人的入侵~

赞同.

细军 发表于 2012-12-28 10:29

肯定是这样的趋势,现在日站也就对各种小公司有用了

面对大型的正规的公司,web基本上就没什么希望

而且现在越来越多的等级划分,前端和真正的工作内网可以说隔了十万八千里

要突进内网只能针对员工进行定向的挂马或者邮件发马才能有一些希望

Twi1ight 发表于 2012-12-28 11:03

说的这么高端,就是发油贱而已,天朝鹰犬天天干,不信问油贱男去

Anonymous 发表于 2012-12-28 12:29

另外市面上的很多所谓waf,基本上可以无视,倒是通用防注类型的过滤比较蛋痛

Anonymous 发表于 2012-12-28 12:31

官网应该很少有暴露在外网的3389端口才对啊。。。是不是也该搞到web然后渗透中才用得上。

akens 发表于 2012-12-28 13:13

我们搞脚本入侵的,前端入侵的会很吃力,而且现在什么狗,什么盾的也很流行

回家卖奶茶什么的最好了

Claepo 发表于 2012-12-28 13:24

没想到3389那个竟然是真的

越到后面越是直接对人性的解读 安全最薄弱的环节还是在人

tst 发表于 2012-12-28 13:55

那个狗和盾 我感觉大部分都是黑客入侵网站后 为了保住自己的利益 防止别人再来日 “帮”管理装得

wwwncx 发表于 2012-12-28 15:27

表示接触过很多

当时 有一个游戏 中国官方倒闭了 找不到服务器

然后莫名其妙的踏入了SF界

然后中国有很多大公司 做SF 不受版权约束 官方倒闭无代理 但是玩家数量众多 大量集群服务器

做还不止1个网游游戏 玩家上千万 当中国代理倒闭的时候 就会委托 给国外专业小组 拿服务端

(当然也有早就拿下的 这样会直接联系 购买服务端(2手端))

有的比如拿下服务端 但是没有拿到服务端代码的 就会下一步 绕过加密通信 各种盾 各种汇编

20w-200w刀不等 交货期限一般都是2星期到1年 包括破解 构架 入侵

过程中会入侵大小 小组游戏官方相关组织公司 运气好的 下单能得到源代码 那就不用大量时间破解

当然 破解 也有实力的公司也会接手 甚至 还独自开发游戏引擎

据说魔兽世界是500w刀 委托拿下的用了4个月 然后SF就像承包 最先开始的SF捞油水的就是下单的

到后面就一层都没有 最后公布到网上 就是大街货了你知道的

冒险岛这个开始就是直接拿下了源代码的游戏 不然你看看多少 通信验证要玩死

表示国际黑客完全不是我们这个等级的

还是黑客无处不在 只要你有那个能力就能接触多少

简单的说就是站得高看的远 很多东西人家都做到了 但是没人告诉你 只有你走到那里才知道有人来过了

所以看到报道 xxx游戏官方数据库泄露 暴雪 神马 其实估计N久以前人家就进入内部逛了一圈了

最后一种就是倒闭的中国游戏官方 手上偷出来倒卖的 这个是按 国内行情 价格相比国外的 惨不忍睹

还有剩下的 所谓对人的入侵那需要多少时间? 实际上没有办法监视管理 绝对的技术的控制才是关键

主要目标 分支目标 权限 配置 想要入侵美国海军 首先就需要绕过验证 了解机制 能够正常访问 后面的权限获取还不说

第一层bypass 你要是靠对针对人的病毒那是完全无法奏效的 毕竟在大环境下 人只是辅助因素 该面对的始终要面对

还有就是利益 你花的时间越长 价值就越低 你发一个溢出0day 到人家邮箱 最多也就一个个人电脑权限 内部邮箱才是关键

入侵 当然最重要的就是情报 获取通信当然对你有好处 这要比对人要有意义的多 花的时间更少 快速了解内部配置情况

anlfi 发表于 2012-12-28 15:29

其实病毒 就相当于一个机器人 你有什么样的技术 它就有什么样的能力

1是解决精力消耗 2是可以代替你进入你不能深入的地方

我觉得未来是与时俱进的 病毒只是一个集合 而其他的东西还有很多很多

理解为渗透的方式也行呵呵 反正我也是嫌麻烦 越来越多的自动化 的确成为了主流

但是灵活性 还是必须由人来控制 怎么用病毒 也必须与Attker有通信 无法通信进入了内部也是浮云

anlfi 发表于 2012-12-28 16:04

国家队也肯定有人干这样的事情

ty4z2008 发表于 2012-12-28 16:28

@y35u

提供一个思路

直接跟踪管理员 找扒手 把管理员的电脑搞定 更方便~

xiaos 发表于 2012-12-28 17:19

确实啊 做薄弱的还是人 现在web已经没那么好搞了

gmm 发表于 2012-12-28 17:23

有攻必有防。。随着web更新。。我相信会有新的攻击技术出来的。

Demon 发表于 2012-12-28 17:36

尼玛,说了一大堆,五个字符就概括了

APT攻击

核攻击 发表于 2012-12-28 18:04

现在国内外大规模的团队,大部分是靠邮件发送漏洞木马渗透进去的。因为目标基本安全都是做的很好的

醉入红尘梦 发表于 2012-12-28 20:57

个人感觉其实库多了也是好事,,各种库,各种CMS库

guhun 发表于 2012-12-28 21:50

楼主,越南人不可信,这是我见过最不诚实的国家,特别是华侨,说话从来没几个算数的。

敌敌喂 发表于 2012-12-28 22:12

国外的淫湿技巧吧,APT攻击 因为没有免杀的木马 冒着危险实践了一次- -#并且惊动了整个公司

errorera 发表于 2012-12-29 12:45

我知道的一个团队,2011年的某一个月渗透了19个国外游戏站点,当然基本都是二线或者三线的.

源代码泄漏事件。。我说d*f韩服源代码泄漏了。。。

我了解到,很多大站都是因为社工被搞定的。

goobey 发表于 2012-12-29 14:56

回复 anlfi

简单的说就是站得高看的远 很多东西人家都做到了 但是没人告诉你 只有你走到那里才知道有人来过了

这个说的真好.. 深有感触啊..

adm1n 发表于 2012-12-29 18:15

回复 敌敌喂

viet fucking nam!

满地的越南人大街跑.. 素质差.. 唉..

adm1n 发表于 2012-12-29 18:24

嗯,现在组织起一伙人或说是团队绝对是出于商业或私人盈利为目的。但一个团队磨合很重要。

tanter 发表于 2012-12-31 12:31

以上部分内容摘自t00ls论坛

相关资料:

APT攻击

网络安全,尤其是Internet互联网安全正在面临前所未有的挑战,这主要就来自于有组织、有特定目标、持续时间极长的新型攻击和威胁,国际上有的称之为APT(Advanced Persistent Threat)攻击,或者称之为“针对特定目标的攻击”。

一般认为,APT攻击就是一类特定的攻击,为了获取某个组织甚至是国家的重要信息,有针对性的进行的一系列攻击行为的整个过程。APT攻击利用了多种攻击手段,包括各种最先进的手段和社会工程学方法,一步一步的获取进入组织内部的权限。APT往往利用组织内部的人员作为攻击跳板。有时候,攻击者会针对被攻击对象编写专门的攻击程序,而非使用一些通用的攻击代码。

此外,APT攻击具有持续性,甚至长达数年。这种持续体现在攻击者不断尝试各种攻击手段,以及在渗透到网络内部后长期蛰伏,不断收集各种信息,直到收集到重要情报。

更加危险的是,这些新型的攻击和威胁主要就针对国家重要的基础设施和单位进行,包括能源、电力、金融、国防等关系到国计民生,或者是国家核心利益的网络基础设施。

对于这些单位而言,尽管已经部署了相对完备的纵深安全防御体系,可能既包括针对某个安全威胁的安全设备,也包括了将各种单一安全设备串联起来的管理平台,而防御体系也可能已经涵盖了事前、事中和事后等各个阶段。但是,这样的防御体系仍然难以有效防止来自互联网的入侵和攻击,以及信息窃取,尤其是新型攻击(例如APT攻击,以及各类利用0day漏洞的攻击)。

下面列举几个典型的APT攻击实例,以便展开进一步分析。

1、Google极光攻击

2010年的Google Aurora(极光)攻击是一个十分著名的APT攻击。Google的一名雇员点击即时消息中的一条恶意链接,引发了一系列事件导致这个搜索引擎巨人的网络被渗入数月,并且造成各种系统的数据被窃取。这次攻击以Google和其它大约20家公司为目标,它是由一个有组织的网络犯罪团体精心策划的,目的是长时间地渗入这些企业的网络并窃取数据。该攻击过程大致如下:

1)对Google的APT行动开始于刺探工作,特定的Google员工成为攻击者的目标。攻击者尽可能地收集信息,搜集该员工在Facebook、Twitter、LinkedIn和其它社交网站上发布的信息。

2)接着攻击者利用一个动态DNS供应商来建立一个托管伪造照片网站的Web服务器。该Google员工收到来自信任的人发来的网络链接并且点击它,就进入了恶意网站。该恶意网站页面载入含有shellcode的JavaScript程序码造成IE浏览器溢出,进而执行FTP下载程序,并从远端进一步抓了更多新的程序来执行(由于其中部分程序的编译环境路径名称带有Aurora字样,该攻击故此得名)。

3)接下来,攻击者通过SSL安全隧道与受害人机器建立了连接,持续监听并最终获得了该雇员访问Google服务器的帐号密码等信息。

4)最后,攻击者就使用该雇员的凭证成功渗透进入Google的邮件服务器,进而不断的获取特定Gmail账户的邮件内容信息。