复古黑客技术剖析:1999年的攻击手法在2016年依然有效

本文详细分析了2016年发现的针对GitLab服务器的攻击事件,攻击者使用源自2000年代初的脚本工具集,包括bash脚本、psyBNC IRC伪装工具及Pydrona恶意软件,揭示了老旧攻击手法在当代依然有效的安全现状。

黑客攻击如同1999:老旧技术依然有效

事件背景

上周,一位同事神情焦虑地来到我的工位,展示了其个人项目GitLab服务器上出现的异常虚拟终端。攻击者在该服务器上部署了一套完整的工具包,我们协助备份数据后获得了攻击软件的副本用于分析。

攻击工具分析

初始脚本(x.tgz)

  • start脚本:Bash shell脚本,包含罗马尼亚语帮助信息"Tasteaza: ./start canal"
  • 功能逻辑:
    • 检查调用参数数量
    • 使用ifconfig解析本地链接地址
    • 为每个发现的链接地址启动./inst文件

僵尸网络配置(inst文件)

  • 文件前部包含大量"denominations"(命名规范)
  • 后52行包含配置僵尸程序的逻辑
  • 参数"ronnie"用于设置频道名称
  • 攻击者还:
    • 添加iptables规则
    • 创建名为bin的用户并赋予root权限
    • 向硬编码的Gmail地址发送接口计数和主机名信息

辅助工具(ryo文件)

  • 包含系列脚本用于设置psyBNC
  • 该工具用于伪装IRC连接(2003年文档,2009年停止开发)
  • run文件启动名为proc的可执行文件(GCC 2.9编译,RedHat 7.1系统)

高级组件(Pydrona)

  • 使用GCC 4.3.4编译的相对较新组件
  • 包含两个组件:
    • Xhide:进程隐藏工具(已被攻击者删除)
    • Drona Turbata 3.0:意大利语/罗马尼亚语混合命名的"愤怒无人机"工具

技术结论

此攻击模式与2013年某博客描述的攻击方式几乎完全一致,表明自2000年代初以来,基础攻击手法并未发生本质变化。该攻击采用分阶段、几乎完全脚本化的"配方式"方法,只要仍然有效就会被持续使用。

关键发现:尽管这些工具使用的编译器版本(GCC 2.9-4.3.4)和目标系统(RedHat 7.1)都已过时,但基于脚本的自动化攻击方式在2016年仍然能够成功入侵现代系统。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次