“肉鸡” 获取内幕 揭秘之 利用系统漏洞

zz7061098

一直以来，由大量“肉鸡”构成的僵尸网络，无时无刻不在威胁着所有网络用户的安全。“肉鸡”者，就是指那些被攻击者完全控制了的网络计算机，它是组成僵尸网络的主要因素。因此，要想消除僵尸网络给我们带来的安全威胁，最好的方法就是减少肉鸡的数量。
　　而减少肉鸡数量最好的方法，就是每个网络用户，通过各种方法防止自己的计算机成为攻击者的肉鸡。但是，要达到防止自己的计算机成为肉鸡的目的，我们该从哪些方面着手去加强计算机的安全防范工作，以及该使用什么样的工具和方法去完成呢?

　　上古孙子兵法中云：“知己知彼，方能百战不殆”。知彼者，就是指了解对手在各个时期的各种状况，包括军队统帅是谁、军队数量，驻防的位置，以及对手惯用的攻击手段等信息。其中，充分了解对手惯用的攻击手段，能够让我们知道被我们保护的对象，哪些方面需要加固，以及知道需要准备什么工具和手段来应对对手的各种攻击手段。因此，对于防止自己的计算机成为肉鸡，最好的解决方法，也是通过分析攻击者获取肉鸡的各种手段，来找到计算机成为攻击者肉鸡的各种原因，通过找到的原因就会知道哪些方面需要防范，以及知道可以使用什么样的安全技术和产品来解决这些问题。

　　就目前来说，攻击者可以用来获取肉鸡的手段有很多种，其中，最常用的手段可归纳为利用系统漏洞、利用捆绑木马和网页木马，以及利用社会工程这3种主要方式。在本文中，我将先对攻击者如何利用操作系统漏洞来获取肉鸡这种方法进行详细的说明，其它2种攻取肉鸡的方法，将在后续的文章中，雪源梅香才与大家一起讨论。

　　为了不让本文成为攻击者的学习手册，也为了方便我说明获取肉鸡的具体过程，下面所有的操作将全部放在一个由虚拟机构造的局域网环境中进行。在这个虚拟局域网环境中，宿主主机使用的是Fedora 8操作系统，被用来攻击的对象是一台按默认方式安装了Windows XP 操作系统的虚拟计算机。在这台虚拟主机上，没有安装任何安全软件，也没有为系统打上各类补丁和做相应的安全设置，目的只是为了方便我要做的说明，现实中应该不会存在这样的计算机了。

　　现在，就让我们一起来了解攻击者是如何利用操作系统漏洞，将一台计算机变成他的肉鸡的具体过程和操作方法。

　　第一步：寻找适合攻击的目标

　　对任何一位攻击者而言，进行攻击活动的第一步，就是寻找各种适合攻击的目标，以及收集与攻击目标相关的各种信息。

　　寻找攻击目标的主要任务就是找到攻击目标的IP地址。任何一个攻击者，通常都是通过下面所示的手段来得到攻击目标的IP地址或所在IP地址段的：

　　1、 如果是一个网站，可以通过Whois域名查询或Whereisip等软件来得到它们的IP地址;还可以通过ping命令，查询某个域名的IP地址;Windows系统下还可以通过使用路由跟踪命令tracert找到某个目标的IP地址。

　　2、 如果攻击者知道目标所在地区的大概位置，以及目标使用的IPS名称，就可以通过搜索引擎得到这个区域所对应IPS可以分配的整个IP地址段。他们还可以到负责分配某个区域IP地址的网站，例如www.apnic.net(负责亚洲地区IP地址分配的组织APNIC的网站)，在这个网站中，就可以查询到我国电信、铁通和网通的IP地址分配表。

　　3、 攻击者可以制作一个钓鱼网站，然后诱骗网络用户的方式来获得普通用户的IP地址。

　　4、 攻击者也可以利用即时聊天软件，如QQ等，然后使用如彩虹显IP的qq外挂就可以知道与他聊天的任何一个Q友所使用的IP地址。

　　5、 现在，攻击者更喜欢用社会工程方式来得到某个机构或个人的IP地址。还可以通过向其他黑客购买的方式得到。

　　在这里列出的这些获取攻击目标IP地址的手段，并没有将攻击者所有可以使用的方式全部包括进来，我只是想说明攻击者可以通过许多手段来达到获取攻击目标IP地址的目的。至于在本文中，由于是我构建的实验环境，就已经知道了所要攻击的目标的IP地址是192.168.1.11，也就省略了寻找目标的步骤。第二步：扫描攻击目标

　　攻击目标的IP地址或地址段找到后，接下来的工作，攻击者就会通过漏洞扫描软件来扫描这些IP地址，以便能知道这些攻击目标中有哪些主机目前是存活的，存活的主机开放了哪些端口，以及了解这些存活的主机所运行的操作系统类型和版本等信息。这些信息对后续的攻击活动是非常重要的，它们让攻击者决定哪些存活的主机有进一步入侵的必要，以及下一步该如何操作等等。

　　对攻击目标进行扫描，通常都是使用相应的扫描软件来自动完成的。在类Linux系统下，攻击者们经常使用的是一款叫做Nmap的网络和系统扫描软件，这款软件在网络或系统管理员手里，就是一款系统漏洞检测软件，而在攻击者手里，它就是一款不折不扣的攻击武器。

　　Nmap不仅能快速标识出存活的主机，将这些主机上开放的端口及端口关联的服务全部列出，而且不管目标是否修改了系统ICMP响应 的TTL值，它都可以正确地识别出目标操作系统的类型。甚至，使用相应的扫描参数，Nmap还能穿透对方的防火墙，并且，它还有一些特殊的扫描参数能够让它的扫描活动不会被对方的安全设备记录下来，方便攻击者逃避责任。

　　Nmap可以在字符终端下通过命令来完成指定扫描任务的工具，但是这种方式需要我们记住它数量众多的扫描参数，使用起来不是很直观，但灵活性高。如果扫任务不是很复杂，我们完全可以使用Nmap的图形前端来进行。在本例中，我就使用它的KDE图形前端NmapFE(Nmap Front End)来完成本例的扫描任务。

　　在K菜单的“系统”菜单项中，找到并单击NmapFE(Nmap Security Scanner) ，就可以启动这个Nmap的图形前端。其主界面如图1所示。

　　

　　图1 NmapFE图形前端的主界面

　　在NmapFE主界面的“Target(s)”文本框中输入本次要扫描的IP地址192.168.1.11，然后在主界面的“Scan”选项卡中的“Scan Type”下拉列表框中选择“SYN Stealth Scan”，再在主界面的“Scanned Ports”的下拉框中选择“Range Given Below”后，在“Range”文

　　本框中输入本次要扫描的端口范围“7-4000”。其它的选项可以保持默认，最后单击NmapFE主界面中的“Scan”按钮，就可以开始本次的扫描任务。

　　NmapFE扫描任务完成时间的长短取决于指定的IP地址范围，在本例中，由于只指定了一台主机，因此，扫描任务完成得非常快。图2就是本次扫描任务完成后的扫描结果界面。

　　

　　图2 NmapFE扫描结果

　　从本次NmapFE的扫描结果中，我们可以清楚地了解到被扫描的攻击目标开放了135、139、445和3389端口，同时也知道了这台主机使用的是Windows 2003 Server或XP SP2操作系统。这些信息，对于攻击者来说，就意味着这台目标主机可以继续进行下一步的入侵工作。第三步：对攻击目标做进一步的弱点扫描

　　当攻击者通过NMAP等工具了解到攻击目标使用的系统类型和开放的端口等信息后，只是说明这些攻击目标可以进行下一步的攻击活动，还不能完全确认可以使用什么手段来进行下一步的具体攻击操作。因此，攻击者现在要做的，就是集中火力扫描攻击目标主机中开放的端口是否存在可以被利用的哪类弱点。

　　要完成攻击目标的弱点扫描任务，攻击者仍然是使用相应的工具软件来完成的。在类Linux系统中，要完成指定主机端口的弱点检测任务，最好的方式就是使用Nessus弱点扫描软件;而在Windows系统下，除了使用这款软件外，还可以使用X-Scan和SuperScan等软件。在本例中，由于我的宿主主机使用的是Fedora 8系统，所以使用Nessus来完成攻击目标的弱点扫描任务。

　　攻击者在开始对目标主机进行弱点检测前，通常会先升级Nessus的的漏洞库，然后重新启动它的守护进程Nessusd。完成这些工作后，再启动它的客户端NessusCliend开始对攻击目标进行弱点扫描工作。NessusCliend启动后的主界面如图3所示。