入侵系统新途径：通过VPN进入

2016-02-23 13:42:52 来源： FreeBuf 抢沙发

2016-02-23 13:42:52 来源： FreeBuf

摘要：VPN的使用越来越广泛了，有些人用它来绕过审查制度，有些人使用它来翻墙访问国家禁止的网站，还有一些人用它来作为隐私保护层。
关键词：信息安全

　　VPN的使用越来越广泛了，有些人用它来绕过审查制度，有些人使用它来翻墙访问国家禁止的网站，还有一些人用它来作为隐私保护层。

　　我们在工作中使用VPN通常有两个原因：访问漏洞利用工具包或匿名测试音频和终端安全产品。大多数漏洞利用工具包都是通过过滤受害者的IP地址进行攻击。而且曾经音频和终端安全产品在实验室环境中测试的结果和在家里或企业用户机器上的结果不同。因此VPN在日常工作中非常重要。

这个月发生了一件事。我们像往常一样使用商业VPN，像往常一样我们使用Fiddler测试VirtualBox客户机的恶意流量，在配置里手动打开了“允许远程计算机连接”，然后实验室的机器也打开了防火墙和NAT。代理和VPN开了一晚。

　　然后在第二天早上，当晚所有客户机全都关闭的情况下，我们在Fiddler的历史中发现了一些奇怪的流量。我们猜测是不是主机上运行了一个恶意软件或者有人通过网络访问了Fiddler代理。于是我们快速检查了一番发现是从VPN网络接口通过的流量。通过对VPN IP的Nmap扫描再次证明了我们的怀疑。实验室的机器可以通过VPN的IP连接到整个互联网访问到所有的服务(Apache、FTP、Fiddler，RDP)。其中，Fiddler代理端口被作为了一个开放的代理，直接用于点击欺诈等恶意目的。不过还好至少SMB 445端口被防火墙过滤了。

　虽然Windows防火墙一直开着，VPN接口设置为公共模式，私人网络设置为私人模式，但是由于这些服务是手动配置的所以可以直接访问服务浏览隐私文档。

　　我们认为大多数的VPN公司都没有这个问题。一般VPN提供商所有的公共IP要比一些VPN用户所拥有的还要少，这意味着他们在某些地方使用了NAT。使用NAT就不会发生这种情况。

第三十五届CIO班招生
国际CIO认证培训
首席数据官（CDO）认证培训

责编：pingxiaoli

免责声明：本网站（http://www.ciotimes.com/）内容主要来自原创、合作媒体供稿和第三方投稿，凡在本网站出现的信息，均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性，但不保证有关资料的准确性及可靠性，读者在使用前请进一步核实，并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏，概不负任何法律责任。
本网站刊载的所有内容（包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等）版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时，请及时通知本站，予以删除。