专栏名称: 信息时代的犯罪侦查

一切行为皆有犯罪的可能性，而在信息时代，这一过程变得更加复杂或者隐晦了。本号致力于传播打击和预防犯罪的手段、方法、理念，并希望能够推动侦查犯罪的机制变革，而这需要了解方方面面的信息。

逆向追踪黑客引发的连环社工（0、1、2）

信息时代的犯罪侦查 · 公众号 · · 2019-11-09 17:44

正文

随笔

知识

案例

声音

其他

编者按

公告：应广大网友再三要求，本号对2017~2018年发布的原创文章（约180篇）进行了整理打包，感兴趣的可以获得 授权出版 ，有意者可在公号内留言或者发站内消息。

（感谢本系列作者：先森）

上期文章中因为单身引发了一系列的梦游故事，其中挖了一个关于黑客入侵溯源的坑，这期抽出时间特来填坑。文中先森提到，这是一个OpenSSH后门，可能很多读者朋友会疑惑这是什么工作原理、如何检测它等，本篇将先科普下该后门的原理和安装过程，然后再介绍溯源思路。

▲ 图 1 发现后门代码及漏洞利用工具

0x00 什么是SSH？

Secure Shell（安全外壳协议，简称SSH）是一种加密的网络传输协议，可在不安全的网络中为网络服务提供安全的传输环境。 SSH通过在网络中创建安全隧道来实现SSH客户端与服务器之间的连接。虽然任何网络服务都可以通过SSH实现安全传输，SSH最常见的用途是远程登录系统，人们通常利用SSH来传输命令行界面和远程执行命令。

在设计上，SSH是Telnet和非安全shell的替代品。 Telnet和Berkeleyrlogin、rsh、rexec等协议采用明文传输，使用不可靠的密码，容易遭到监听、嗅探和中间人攻击。 SSH旨在保证非安全网络环境（例如互联网）中信息加密完整可靠。【以上摘自百度百科，关于安全性请到原文中看第三段】

通俗地介绍一下SSH，用户连接远程服务器时，会使用SSH协议建立通信，然后将客户端的操作加密发送到远程服务器(防止中间人攻击)，服务端的SSHD服务来接收和解密这些加密内容。

0x01 OpenSSH通用后门的原理

先森童鞋在底层代码实现方面上了解有限，为了不误人子弟在网络上拜读了大量的热心网友分享的帖子，并且结合此前黑客留存的diff文件进行分析：

网上通用OpenSSH后门主要有两个功能，记录登录成功用户的账号密码和万能登录密码。当客户端使用密钥和算法协商阶段生成的会话密钥，加密账号、认证方法、口令，将这些结果发送给服务器。服务器使用私钥将密文解密，得到账号和口令，接着与/etc/shadow下的账号密码进行对比来判断是否正确。因此根据以上原理，第一种方式的后门可以在OpenSSH解密客户端的密文后，对账号密码进行截获，同时还可以截获加密前本机连接远程服务器的账号密码。

▲ 图2 记录远程登录本机的用户和密码

▲ 图3 记录本机远程登录到其他主机的用户和密码

不过若用户迟迟不登录，岂不是意味着黑客无法夺回服务器控制权了吗？答案是否定的，黑客还可以增加一个“万能密码”来绕过认证——在服务端判断客户端的账号密码正确性的函数上增加判断逻辑。

▲ 图4 万能密码

0x02 对黑客的初步溯源

根据/tmp/目录下的文件生成日期，可以大致推测黑客是2018年x月x日前实施入侵操作，当我尝试提取那段时间的access.log日志时，发现已经被该黑客删除了。

逆向追踪黑客引发的连环社工（0、1、2）

正文

请到「今天看啥」查看全文