1. 基本案情
2019年9月,公安某局抓获涉嫌非法控制计算机信息系统的犯罪嫌疑人杨某、兰某等人,现场查获笔记本电脑一台。据嫌疑人交待,其利用笔记本电脑中的黑客软件对目标 站进行攻击,导致目标 站瘫痪,无法正常访问,从而敲诈 站经营者钱财进行牟利。
2. 委托检验
鉴于荣安科技丰富的 络空间取证经验和强大的仿真分析能力,办案民警特委托荣安科技,协助对现场提取的检材进行仿真检验分析,弄清其犯罪原理,还原其犯罪过程,验证其危害性,从而以支撑警方办案。
3. 检验思路
对于黑客类案件,从案件定性定量的角度考量,取证检验通常包括以下几个方面:是否具有破坏性,是否有攻击事实;破坏数量等;本次检验主要目的在于对目标检材是否具有破坏性进行功能检验,属于黑客类案件中非常必须的,也是最常见的检验。
通过对检材的初步分析,荣安取证团队初步判定这是一款利用“DDoS-CC攻击–频繁TCP连接”进行攻击的软件。检验的重点在于如何直观展现此软件攻击后产生的破坏效果及其过程,以及如何把其攻击过程和结果讲述清楚。上述项目都OK,那么这项工作就漂亮的完成了。
4. 本案攻击原理
涉案软件是一款主控端软件。主控端可以生成木马,如果木马被植入某台电脑并运行后,这台电脑就成为主控端可控制的“肉鸡”。主控端可以控制大量的肉鸡。
攻击者在主控端可以浏览上线的“肉鸡”,可选择上线的“肉鸡”作为一个“攻击点”。点击攻击按钮后,主控端向这些被选中的“肉鸡”发送攻击命令,所有肉鸡会同时向攻击目标发起大量持续的,伪装成正常用户浏览 页的 络连接。这些 络连接通常不被传统DDoS防火墙识别,无法过滤。大量频繁的请求,最终导致 络拥塞,服务器资源耗尽,目标 站无法正常访问,这种攻击方式俗称CC攻击。总体来说其具有以下特点:
1.CC攻击的请求都是模拟真实的有效请求,所以不能被拒绝;
2.用来发起CC攻击的IP都是真实而分散的,所以很难溯源;
3.CC攻击的数据包都是模拟真实用户的正常数据包;
4.CC攻击一般是针对 页攻击,服务器可以连接,ping没问题,但 页无法正常访问。
图2 站可正常访问
5.2. 站遭到攻击无法访问
1、在a上运行主控程序,生成攻击程序,植入b;
2、待b攻击程序上线,模拟黑客攻击,主控程序下达攻击命令;
3、c上 站无法正常访问;
4、查看 站服务日志,存在大量持续TCP连接(每秒达200条连接请求,造成 络带宽资源耗尽,服务器内存和CPU被占用完,正常访问请求无法处理,目标 站无法访问)。
相关资源:档案管理软件中科东策档案管理软件v6.2_档案-其它代码类资源-CSDN…
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!