通信世界网(CWW)10月22日消息 今天,OWASP 2010中国峰会在北京举行,国内外知名的应用安全专家、厂商代表共聚一堂,就应用安全及业务安全发展及技术创新等话题进行广泛而深入的讨论。
OWASP是一个开源的、非盈利的全球性安全组织,致力于应用软件的安全研究,是全球顶级的Web应用安全组织。
通信世界网作为本次大会的直播媒体,将对本次大会进行全面、深入的报道。
图为 阿码科技首席安全专家 吴明蔚
演讲实录:
吴明蔚:大家好!我是吴明蔚,今天很高兴能够来到北京参加OWASP会议。今天的主题是跟木马有关,黑客最喜欢的就是木马,木马这个故事大家都知道,它是一个看起来不怎么样的东西,你以为它是礼物,把它默默的推到城里面,后来它作怪。其实不像我们现在的木马,现在的木马是张牙舞爪,是很明显的,杀毒软件一看到它就会发现它是病毒。
我介绍一下我自己,我在台湾出生,在菲律宾长大,我老婆是长沙人,我自己认为我们现在这个时代非常幸福,因为以前没有互联网的时候自己顶多能够帮助一个人,学医再怎么样厉害顶多一次救一个人,但是互联网可以帮助很多人。所以我很喜欢一句话,就是“大家做最好的自己”,你可以学很多观念,但是你自己要有你自己的价值观,做最好的自己。
引用一下SANS的CEO的一句话,“走这行,快学中文”,相对我们是中国人,那我们应该学什么?我觉得我们应该学俄文,俄文里面有很多无论是攻击的武器还是各类地下经济都可以做很多切磋。今天的演讲是几部分:什么是木马?木马装模作样?挂马:浅谈SOL盲注入。管他什么马?
什么是木马?是一种恶意软件,在信息网络大量出没。木马可以做什么呢?它可以做一些远程的控制,可以充当跳板,就是发现一个人有漏洞,但是我想打它的话会被他看到我的IP,所以我就要找一个受害者当跳板。或者是说我要进垃圾网站,我就拿别人的邮箱去进。其实我觉得安全有趣的地方是在于它是在玩弄数码落差+信息安全意识的落差。因为在食品安全上我们知道怎么样小心强盗,怎么样小心小偷,我们知道怎么样避免,看起来鬼鬼祟祟的就会去小心。但是在网络上很多人不知道小心木马,因为网络上面有很多计算机的知识是我们无法理解的。也许我们理解了,但是爸爸妈妈们不理解,爷爷奶奶们更不理解,所以上面有很多安全的东西很有趣。
我这边举个很有趣的例子,讲一下假的杀毒软件,杀毒软件是一个很大的产业,非常赚钱。有时候你会收到很多邮件跟你讲学校的邮箱坏掉了,邮箱需要重新整理,让你填下你的信息,也许它发1万封,最终有几个人上当了,它就是抓这类的机会。这类东西是WINDOWS本身就有的功能,它让你显示的方式可以从右到左、从左到右,它显示的方向不一样。这样的东西是五年前就有,是最近一两年开始热。假的杀毒软件也超过250种,这是杀毒软件的网上客服系统,你买了这个假的杀毒软件还得跟它的客服互动。其实平常慢慢在网络上逛都有机会遇到木马,它们自己看到的机率大概就是1%。
分享一下怎么样做盲注入,这是网络上的一些画面,拿出一些国产很厉害的工具直接可以打到后面的数据库。下一步是把马放上去,解码之后像这样子的,基本上它只要一行进去,所有数据库每个页面通通都会塞,不会一个网站塞一只马,是每一个页面每一个栏目都塞,让你清的时候清到疯掉。我举一个例子,这边有塞一匹马,这里也有一个马,实际上它真的是重复一直塞很多马。最有趣的地方是旁边也有一个,所以是前赴后继,各路好手都来塞各种马,当然不会是二度伤害。
木马长什么样我们可以看一下,这是整个产业,产生出来的木马基本上都非常的很隐蔽,有的是你明明知道这个是木马,但是就是砍不下去。刚刚我们看到的这些都是木马目前的现状,目前的现状是乱枪打鸟,抓到的量就够它这个产业。但是后来他们发现这样已经不能活了,它每次只要一出现杀毒软件的出生率是百分之百,那么它一定要开始走装模做样的路线,其实最危险的就是披着羊皮的木马,满口任意道德的木马,它们总说自己是免费软件。这可以延伸到很多地方,其实你会担心的东西不只只有网络,我更担心的是医疗这类的东西,如果你看病的时候医生开了药给你,但是医生开的药跟你最后拿到的药不一样,这不是很好笑,是很可怕,最后都可能死掉。
为什么黑客会把时间花在刀口上?因为它可以赚大钱,而且现在有90/10的原则,就是大部分金钱是10%的人创造的。其实木马可以洗钱,可以创造很多伪卡,创造很多物美价廉的虚拟商品。洗钱会不抓,为什么它是Mule?因为没有翻身的机会,它们是马的下一代,所以FBI抓到的是洗钱机团队最没有价值的。我觉得真的要抓的话应该抓上面大的,中国肯定是抓无恶不作的,可是国外就会容忍。伪卡这个画面大家看一下,就是它要买信用卡,这些都是它们偷来的假的信用卡,这边是真的信用卡的数据。也有很多假的虚拟商品,也就是说明明一个商品的价格要100块,但是它只卖你10块,而且它非常有效。也可以买DDoS,也就是说我自己没有机器我就去买一个DDoS的服务打人家。
我举一些具体的例子,譬如说你今天很会挂马,我可以一下子挂一万多网站,这个JS可以把所有看到这个网站的人都通通指向一个网站,瞬间创造1万个人到那个网站,所以我就是流量产生者,我会卖流量,所以挂马的人可以卖流量,它是卖家。那谁会是买家呢?买家就是需要人家变成僵尸网络一员的人,比如它希望人家中他的木马,“你能不能够帮我创造每小时100个?”这样就会出现每小时有100个僵尸。我们再回顾一下刚刚那个杀毒软件,各位看一下它的销售体制,这边是激励制度。这个图是有多少个人看到这个页面,有多少个人安装,有多少人买。各位看一下他的收入多少,他一个人一个礼拜赚2万多块美金。它的制度是第一名的销售月收入332000美金,还有车子等大奖。
最后我总结一下木马的明天,这种东西是可遇不可求的,有时候是要花几万块钱,甚至十几万上百万来买,可是有那个必要吗?但是并不见得能够阻止木马。其实现在木马的猖獗让整个网民讲一些东西,如果你要不认识的人讲去你的空间,但是他都不敢去你的空间,因为他怕你的空间挂马。其实真正的木马是它在你身边你都不知道,这才是真正的木马,而不是像现在这样木马是很明显的,谢谢大家!
