远程管理工具(RAT)的黄金时代
一切大约始于1998年,“死亡牛仔崇拜”组织在黑帽大会上发布“后门孔”工具。这名字是对微软BackOffice的有意双关,幼稚又精准,符合该组织风格。它能远程控制Windows 95/98机器,可浏览文件、捕获屏幕等,能静默运行,部署无需特殊专业知识,大小不到100KB。
安全界为此炸开了锅,微软称其为恶意软件,“死亡牛仔崇拜”称是对Windows安全漏洞的演示,双方都有道理。
1999年7月,黑帽大会推出“后门孔2000”,以开源形式发布,可通过插件扩展功能,支持加密通信,比当时多数合法远程管理工具功能丰富。
同年,“网络巴士”开始流传,由瑞典程序员Carl - Fredrik Neikter于1998年创建,与“后门孔”原理相同,能静默远程控制Windows机器,图形用户界面简洁干净。它因被用于在瑞典一位法学教授电脑上植入儿童色情内容声名狼藉,该案件将其拖进刑事法庭,迫使人们思考“远程管理”含义,最终教授被宣告无罪,预示了法律和伦理讨论。
“Sub7”(SubSeven)才是那个时代部署最广泛的远程管理工具,由罗马尼亚青少年_mobman_用Delphi编写,1999年2月首次发布,到2000年无处不在。它有精致图形用户界面、地址簿和服务器编辑器,支持ICQ通知,名字起源未明确证实,能正常工作,免费且配置简单。
地下室黑客的万能工具
远程管理工具耀眼,其下还有实用工具,很多至今仍在使用,证明互联网核心基础设施发展缓慢。
戈登·莱昂开发的网络扫描器Nmap当时就存在,是扫描目标的首选工具。Netcat经久不衰,可读取写入数据、监听端口等,被称为“TCP/IP万能工具”。到2026年,这两款工具仍在渗透测试人员机器上。
John the Ripper用于密码破解,Cain & Abel能在Windows系统完成多种任务,dsniff和ettercap用于Unix系统嗅探,Hping可操作原始TCP/IP数据包,早期版本的Aircrack表明WEP加密协议形同虚设。
面向网络的目标有各种扫描器和漏洞利用包,大多通过遍历已知CGI漏洞列表工作,这些漏洞本应修复却未修复。Whisker、Nikto等漏洞扫描器通过相同渠道传播。
整个工具生态系统假设目标自安装后未更新,通常这个假设是正确的。
互联网中继聊天(IRC):指挥中心、社交俱乐部与犯罪现场
要理解当时情况,需了解IRC,尤其是在EFnet、DALnet、Undernet及小型网络上花费时间的意义。IRC是黑客活动聚集地,有 `#hack`、`#warez` 等频道。
Sub7与IRC集成并非偶然,从2.1版本开始,其服务器组件可连接IRC频道,监听操作员命令。这是如今现代命令与控制(C2)框架的概念前身,利用现有基础设施,防御者因关注明显攻击面而不监控。如今威胁行为者利用Slack、Telegram等,那时我们通过EFnet上 `#r00t` 聊天室实现。
IRC也是社交空间,有自己的文化、仪式和等级制度。可通过分享信息等证明自己,频道混乱且有戾气,是买不起会议门票者的网络安全入门训练场,如今很多专业人士在此学到基础知识。
意大利黑客圈:创意与混乱,被打断的发展
意大利有独特一面,在IRC取代其他之前,黑客和技术爱好者社区围绕Fidonet上的BBS发展,文化融合技术好奇心、政治激进主义和地中海式规则态度。
1994年5月11日,意大利财政警察执行“硬件行动1”搜查令,突袭119个Fidonet节点,怀疑两人分发盗版软件。策略简单粗暴,没收调制解调器等设备,对意大利BBS社区造成毁灭性打击,许多系统管理员放弃,多年知识分享和社区建设化为乌有。最初被怀疑两人最终被起诉,受牵连者得到的道歉很无力。
意大利的打击行动未扼杀黑客圈,突袭后CyberNet等网络用户数量增长,90年代末IRC成主流媒介,意大利黑客和安全研究人员分散在国际频道,对文件存储更谨慎,在数字权利方面表达更清晰。
我们学到了什么
那个时代的工具如今看起来原始,Sub7图形用户界面像Visual Basic学习练习,1999年的“后门孔2000”插件架构虽巧妙,但会被现代端点保护产品检测到,Cain & Abel在2014年停止维护,且只能在不该使用的操作系统上运行。
但当时的思维模式不原始,利用受感染机器作中继节点等想法在90年代末工具包中就存在,如今也在威胁行为者策略手册中。开发Sub7的IRC机器人集成的人对操作安全的理解比许多企业防御者十年后还深刻。
意大利的打击行动培养出一代思考技术社区、法律系统和公民自由关系的从业者,有人成为记者、律师、事件响应人员,少数人集三种身份于一身。
在我那个年代,通过做不该做的事、在不该去的频道,用从如今已成为数字考古对象的网站下载的工具学习,在混乱中诞生了一个职业。
不用谢。
处理学术图谱实战:从OAG数据到作者消歧){kind=spacer}
