20 世纪 90 年代末和 2000 年代初黑客工具的感伤之旅

孩子们，聚集起来。放下你的 Rust 编译的 eBPF 探针、你的 Sigma 规则、你价值数十亿美元的 EDR 控制台。坐在这堆旧软盘上，让我给你讲一个故事。这是一个关于那个时代的故事，当时 56k 调制解调器是大规模杀伤性武器，当时您的整个操作基础设施是一台键盘上有粘性残留物的 Windows 98 机器，而您可用的最复杂的命令和控制通道是一个挤满了争论 Linkin Park 的青少年的聊天室。 Ai miei tempi，我们用性格进行黑客攻击。 RAT 的黄金时代 这一切或多或少都始于 1998 年，当时一个名为 Cult of the Dead Cow 的团体在 DEF CON 上发布了名为 Back Orifice 的东西。这个名字是对 Microsoft BackOffice 的双关语，年轻、精确，完全是为了一个明白命名好就成功了一半的团队的品牌。它是一个远程管理工具，可让您远程控制 Windows 95/98 计算机：浏览文件、捕获屏幕、记录击键、重定向端口。它默默地跑着。它不需要任何特殊的专业知识来部署。而且它的重量还不到100KB。不出所料，安全机构失去了理智。微软称其为恶意软件。死牛崇拜称其为 Windows 安全失败的演示。两者都是对的。然后是 Back Orifice 2000，或称 BO2K，于 1999 年 7 月在 DEF CON 上发布，以开源形式发布，可通过插件扩展，并且能够进行加密通信。当时，它比市场上大多数合法的远程管理工具功能更丰富。同年，NetBus 已经开始流通。它由一位名叫 Carl-Fredrik Neikter 的瑞典程序员于 1998 年创建，它与 Back Orifice 的基本前提相同，即对 Windows 机器进行无声远程控制，但它的 GUI 足够干净，让人感觉几乎令人尊敬。 NetBus 变得臭名昭著，部分原因是它被用来在瑞典一位法学教授的计算机上植入儿童色情内容，该案件将该工具拖入了实际的刑事法庭，并迫使所有相关人员更加认真地对待“远程管理”的含义。教授被无罪释放。这一集是法律和道德讨论的预演，这些讨论需要再花十年时间才能成熟为类似政策的东西。但 Back Orifice 和 NetBus 都不是那个时代部署最广泛的 RAT。这种区别属于 Sub7 或 SubSeven，它是由一位名叫 mobman 的罗马尼亚青少年用 Delphi 编写的，并于 1999 年 2 月首次发布。到了 2000 年，它已经无处不在。它有一个精美的 GUI。它有一个地址簿来跟踪哪些受害者当前在线。它有一个服务器编辑器，可以在部署之前自定义有效负载，直接借鉴了 BO2K 的想法。它甚至支持在受害者上线时通过 ICQ 发出通知，这对于恶意软件来说是异常完善的。 “Sub7”这个名字的确切起源从未被mobman明确证实过，论坛上流传的各种解释大多是民间词源学。重要的是它有效、免费，而且配置起来很简单。地下室操作员 RAT 的瑞士军刀是工具箱中最迷人的一端。在它们下面是一层真正有用的工具，有时很优雅，而且在许多情况下至今仍在积极使用——这证明了互联网核心基础设施的发展是多么缓慢。 Nmap，Gordon Lyon 的网络扫描仪，已经出现在这个时代，并且很快成为任何人遇到的第一个目标。如果您有一个子网和五分钟的时间，您就可以确切地知道正在监听的内容。 Netcat 是一个不会消亡的工具：从网络读取、写入网络、侦听端口、传输文件、创建基本的 shell。它经常被称为“TCP/IP 瑞士军刀”，以至于这句话成了陈词滥调，但这种陈词滥调是准确的。到 2026 年，这两种工具仍然存在于每个渗透测试人员的机器上。John the Ripper 负责密码破解。 Cain & Abel 在 Windows 上做了所有其他事情：ARP 中毒、密码恢复、网络嗅探、VoIP 拦截。 dsniff 和 ettercap 涵盖了 Unix 上的嗅探方面。 Hping 为您提供了原始 TCP/IP 数据包操作。 Aircrack 在其早期版本中开始表明，WEP 与其说是一种加密协议，不如说是一种礼貌的建议。对于面向网络的目标，有不同质量的扫描仪和漏洞利用包。他们中的大多数人通过循环浏览一系列已知的 CGI 漏洞来工作，这些漏洞本应在几个月前修补，但没有修补，因为 2001 年的修补程序管理是“某人的侄子最终会看到它”。 Whisker、Nikto 和其他漏洞扫描程序通过与其他所有东西相同的渠道传播。整个生态系统运行在一个隐含的假设上，即目标自安装以来没有更新任何内容，公平地说，这通常是正确的。 IRC：指挥中心、社交俱乐部和犯罪现场 要了解一切是如何运作的，您需要了解 IRC、Interne