安全教程:用“蜜罐”追踪木马背后黑手

博弈主题：反入侵
技术难度：★★★★
重点知识：制造蜜罐追踪入侵者来源

　　商业谍战中，你比敌人高明在什么地方？最重要的就是要出其不意。当受到敌人打击后，小蝶巧妙的在虚实之间设置陷阱，引诱对方上当，做出最积极地反击计划。

　　上期小蝶干净利索地清理掉了李飞电脑中的木马。虽然追查幕后的黑手是李飞交给小蝶的真正任务，但是谨慎一直是小蝶秉持的原则，在确保李飞的操作系统绝对安全后，才开始了自己的追查计划……

　　追查黑客来源，远不像查杀木马那么轻松，小蝶必须为此制定出完成的计划与详细的实施细节。对方是躲在遥远而未知的网络后面，想要寻觅到入侵者的踪迹，必须抓住每一个细节，只有完美的陷阱才能够让狡猾的狐狸落入圈套。

　　在小蝶设计的诱捕方案中，她首先要将之前备份好的操作系统还原到虚拟机中，清除备份系统中的商业文件。由于还原的系统是运行在虚拟机中的，因此小蝶可以躲在虚拟机的背后查看入侵者的每一个动作，分析他的目的，追踪他的来源——这就是一个完美而实用的系统蜜罐，也是小蝶的诱捕陷阱。

　　小知识：蜜罐是故意让人攻击的目标，主要用于引诱黑客攻击。攻击者入侵后，就可以知道他是如何得逞的，了解己方的安全漏洞。此外，蜜罐还可以用来窃听黑客之间的联系，掌握他们的社交网络。所以蜜罐也可以说是情报收集系统。

还原中毒系统

　　小蝶回到自己的办公室，打开电脑中的虚拟机软件VMware Workstation，开始着手进行系统还原工作。她首先右键点击查看了一下闪存盘Ghost文件的体积，大概为3GB。她将这些文件拖动添加到光盘镜像制作软件“WinISO”中，这款软件可以将添加进来的MAXDos和Ghost文件另存为ISO格式（图1）。ISO是一种光盘镜像文件，这种格式能够让小蝶在用VMware Workstation恢复系统时更加灵活方便。

图1
　　ISO引导光盘制作完成后，她点击VMware Workstation“Home”页面下的“NewVirtualMachine”选项，又连续点击“下一步”，在最后的提示选项中选择新建一个“Windows XP Professional”的虚拟系统。

　　小蝶将虚拟系统的类型生成好后，双击页面中“Devices”选项中的“CD-ROM”设备，在弹出的窗口中将“Use ISO image”路径指向刚才用WinISO生成的ISO镜像文件（图2），点击“OK”后选择点击“Start this virtual machine”选项启动虚拟系统。

图2
　　小提示：如果你的VMware为5.X版本或者虚拟机提示没有找到引导文件，那么你可以先运行Norton的“PartitionMagic”对硬盘进行分区，分区格式最好为FAT32，这样可以成功的解决系统无法在虚拟机中Ghost还原的问题。

　　系统启动引导进入MAXDos后，小蝶进入第5项“启动Ghost手动操作”进行系统恢复。这种操作她以前进行过无数遍，闭上双眼似乎都能够轻松完成。她依次点击进入Ghost中的“Local→Partion→From Image”分区恢复页面，选中虚拟光盘中的Ghost备份文件，然后选择好镜像文件的分区与硬盘，之后在弹出的确认菜单中点击“OK”运行系统恢复。

放置致命诱饵

　　虚拟机中的操作系统重新启动之后，小蝶开始着手布置追踪黑客的陷阱。她有两个方案可以选择，第一套方案，她可以对木马程序进行反汇编，逆向分析出入侵者使用的中转服务器地址或者IP地址。但是此方案会消耗较长的时间，而且如果对方用的是中转服务器地址，那么还需要入侵中转服务器后才能够最终得到入侵者真实的IP地址，这套方案此时显然不适用。

　　第二套方案，小蝶可以通过在虚拟的操作系统中放置入侵者感兴趣的文件，因为入侵者的木马依然在虚拟机系统中运行。而如果不出意外，入侵者依然会能够连通自己的木马，继续自己的入侵行为，只要入侵者连接上自己设置的蜜罐系统。在下载这些特殊文件时，双方网络会直接连接，而此时也就可以得到入侵者的IP地址了。

　　第二套方案无疑是最佳也是最有效的选择，小蝶立刻开始了工作，她首先启动了虚拟机中的操作系统，然后在VMware右下角的网卡标志处点击右键，选择“Disconnect”切断虚拟网卡通讯。网卡通讯切断的过程中入侵者是无法连接到系统中的。

　　此时，小蝶将还原系统中的部分敏感数据删除，并清理了IE的Cookies缓存等。然后她将两个100MB左右的WMV文件后缀修改为DWG——这是设计绘图软件AutoCAD的默认保存格式。再将文件名修改为“绝密图纸”后保存在了“桌面”上，她看了一下表，完成了对虚拟机的诱饵布置，接下来需要完成的是对虚拟机后台中“真正的操作系统”的部署。

　　首先，小蝶安装并运行网络流量监控软件DUMeter，这款软件能够帮助她随时监控系统上传和下载的流量。当入侵者在小蝶的蜜罐系统中下载诱饵文件时，DUMeter流量监视器中的网路流量会出现异常。通过上传与下载流量的监控，小蝶可以轻松的判断出黑客在什么时间落入蜜罐系统的诱捕圈套。

　　随后，小蝶打开《360安全卫士》，进入了“高级”选项中的“网络连接状态”，在这个模块中，她可以查看系统中每个软件对外连接的情况，DUMeter出现高流量的上传数据，那么“网络连接状态”中的VMware进程也会同步出现一个远程IP地址，而这个地址就是入侵者真实的IP地址。

　　小蝶一遍遍点击着“网络连接状态”功能右下方的刷新，静候着入侵者的出现……

“鱼儿”上钩

　　14：30分，黑客K准时的坐到了电脑前，他熟练地打开木马客户端，开始等待猎物上线。几分钟之后，他控制的肉鸡开始逐一的上线，其中就有李飞的电脑。

　　14：47分，黑客K看到在李飞的系统桌面上，多出了两个名为“绝密图纸”的文件。他的精神瞬间为之一振，如同一只饥饿良久的狼看到了美味的猎物。他熟练而麻利的点击鼠标右键产看文件属性，属性中的日期显示，文件是新创建的。

　　他微微一笑，今天又有成果可以跟老板交差了。行动前他依然很谨慎，他小心翼翼的用远程屏幕查看了一下肉鸡的状态，似乎没有任何人在这台肉鸡上进行操作，肉鸡电脑前没有肯定人，这时黑客最后得出的结论。随后，他将这两个文件拖动到自己的指定目录中，开始了漫长的下载过程。

　　14：50分，小蝶紧盯着屏幕，她没有做任何动作，因为此时她开启任何网页都会对“网络连接状态”中的数据产生影响，此时她像是老练的垂钓者一样，闭住呼吸，平静的盯着屏幕——她有足够的耐心。突然，她发现DUMeter的上传数值开始波动（图3）。随后，猛然间上传流量骤增，绿色的上传流量提示电脑在持续不断的上传数据——鱼上钩了。

图3
　　小蝶快速的点开《360安全卫士》，刷新“网络连接状态”中的数据，在连接列表中，她迅速用笔记录下vmnat.exe进程中的每一个状态为“连接”的IP地址，每记录完一次，她又重新刷新一遍，此时她发现有一个状态为“连接”的远程IP一直没有消失，就是它！这就是入侵者的IP地址（图4）。

图4
　　小蝶将IP地址圈定后，将它输入了《纯真IP数据库》软件中，这款软件能够查询到这个IP地址的真实位置。地址输入后，点击“查询”，地址：TT公司。这个是UU公司生意场上的老对手——“TT公司的商业间谍”。小蝶眉毛一扬，准备开始反击……

声明：欢迎各大网站转载本站文章，还请保留一条能直接指向本站的超级链接，谢谢！

时间:2008-06-01 21:52:08,点击:65824