1、LOGO实训十实训十 木马攻击与防御技术木马攻击与防御技术实训十:木马攻击与防御技术实训十:木马攻击与防御技术实训实训目的目的理解常见的木马攻击方式理解常见的木马攻击方式掌握木马检测和清除的常用方法掌握木马检测和清除的常用方法掌握木马的实现原理及攻击步骤掌握木马的实现原理及攻击步骤理解冰河木马的攻击及防御方法理解冰河木马的攻击及防御方法实训十:木马攻击与防御技术实训十:木马攻击与防御技术实实训训背背景景 随着网络技术的日益发展和完善,用户对网络的依赖性越来越大,网络交易也成为人们生活中必不可少的一部分,但是网络安全问题也越来越让人担忧。特洛伊木马就是网络安全最为普遍的威胁,它通过多种方式植入用
2、户电脑或各种各样的伪装诱使用户不知情下安装在主机上,这样攻击者将从中窃取自己需要的资源或直接截取用户输入信息,使得个人用户面临隐私信息泄露核经济损失的危险,也给电子商务、银行等带来安全隐患。因此,为了确保安全的网络环境,了解木马攻击原理和防范技术是重要而必须的。实训十:木马攻击与防御技术实训十:木马攻击与防御技术木马攻击流程与防御 概念概念:它实质上只是一种远程控制软件,但是木马是未经用户授权的,通过网络攻击或欺骗手段安装到目标计算机中。结构模式结构模式:客户端/服务器(C/S:Client/Server)模式,由两部分组成:1)服务器程序:控制者传到目标计算机的部分;2)控制器程序:用来控制
3、目标主机的部分,它的作用是连接木马服务器端程序,监视或控制远程计算机。【相关知识相关知识】1 特洛伊木马概述特洛伊木马概述 原理原理:【相关知识相关知识】1 特洛伊木马概述特洛伊木马概述1)直接通信时的木马工作原理(a)建立连接情况 (b)不建立连接情况【相关知识相关知识】1 特洛伊木马概述特洛伊木马概述 2)间接通信时的木马工作原理 为了防止被发现,木马服务器端与客户端也可不直接通信,而是在服务器端与客户端之间加上“中转站”(如某个网站)后间接通信【相关知识相关知识】1 特洛伊木马概述特洛伊木马概述 木马的危害自动搜索已中木马的计算机;管理对方资源,如复制文件、删除文件、查看文件内容、上传文
4、件、下载文件等;跟踪监视对方屏幕;直接控制对方的键盘、鼠标;随意修改注册表和系统文件;共享被控计算机的硬盘资源;监视对方任务且可终止对方任务;远程重启和关闭机器。实训十:木马攻击与防御技术实训十:木马攻击与防御技术一个典型的特洛伊木马程序通常具有以下几个特点:(1)具有隐藏性;(2)具有自动运行性;(3)具有非授权性;(4)具有自动恢复功能和顽固性;(5)能自动打开特别端口;(6)易植入性;(7)具有欺骗性;(8)功能的特殊性2 特洛伊木马特点特洛伊木马特点实训十:木马攻击与防御技术实训十:木马攻击与防御技术常见的木马从实现功能角度上可分为以下几种:(1)密码访问型木马 密码发送型的木马是专门
5、为了盗取被感染计算机上的密码而编写的,木马一旦被执行,就会自动搜索内存、Cache、临时文件夹以及各种敏感密码文件,一旦搜索到有用的密码,木马就会利用免费的电子邮件服务将密码发送到指定的邮箱。这类木马大多使用25号端口号端口发送E-mail3 木马的分类木马的分类实训十:木马攻击与防御技术实训十:木马攻击与防御技术(2)键盘记录型木马 这种特洛伊木马记录受害者的键盘敲击并且在LOG文件里查找可能的密码。这种木马随着Windows的启动而启动,它们有在线和离线记录这样的选项。该类型的木马,邮件发送功能也是必不可少的。3 木马的分类木马的分类实训十:木马攻击与防御技术实训十:木马攻击与防御技术(3
6、)破坏型木马 其惟一的功能就是破坏并删除被感染计算机的文件系统(可以自动的删除电脑上的DLL、INI、EXE文件),使其遭受系统崩溃或者重要数据丢失的巨大损失。3 木马的分类木马的分类实训十:木马攻击与防御技术实训十:木马攻击与防御技术(4)远程控制型木马 使用这类木马,只需有人运行了服务端程序,如果客户知道了服务端的IP地址,就可以实现远程控制。它可以让攻击者完全控制被感染的计算机,攻击者可以利用它完成一些甚至连计算机主人本身都不能顺利进行的操作,其危害之大实在不容小觑。3 木马的分类木马的分类实训十:木马攻击与防御技术实训十:木马攻击与防御技术(5)Dos攻击木马 当你入侵了一台机器,给他
7、种上DoS攻击木马,那么日后这台计算机就成为你DoS攻击的最得力助手了。这种木马的危害不是体现在被感染计算机上,而是体现在攻击者可以利用它来攻击一台又一台计算机,给网络造成很大的伤害和带来损失。3 木马的分类木马的分类实训十:木马攻击与防御技术实训十:木马攻击与防御技术(6)代理木马 给被控制的肉鸡种上代理木马,让其变成攻击者发动攻击的跳板就是代理木马最重要的任务。通过代理木马,攻击者可以在匿名的情况下使用Telnet、ICQ、IRC等程序,从而隐蔽自己的踪迹。3 木马的分类木马的分类实训十:木马攻击与防御技术实训十:木马攻击与防御技术(7)FTP木马 这种木马是最简单的木马,唯一的功能就是打
8、开21端口,等待用户连接。3 木马的分类木马的分类(8)程序杀手木马 程序杀手木马的功能就是关闭对方机器上运行的防木马程序,让其他的木马更好地发挥作用。实训十:木马攻击与防御技术实训十:木马攻击与防御技术(9)反弹端口型木马 弹端口型木马使用的是系统信任的端口,系统会认为木马是普通应用程序,而不对其连接进行检查。反弹端口木马定时监测控制端的存在,发现控制端上线,立即弹出端口主动连结控制端打开的主动端口。这种反弹端口的木马常常会采用固定IP的第三方存储设备来进行IP地址的传递,从而使服务端获知控制端的IP地址。3 木马的分类木马的分类实训十:木马攻击与防御技术实训十:木马攻击与防御技术 植入木马
9、 启动木马 木马隐藏 建立连接 远程控制4 木马攻击原理木马攻击原理 当攻击者利用木马进行攻击时,一般会经过以下一个过程:实训十:木马攻击与防御技术实训十:木马攻击与防御技术攻击者想要利用木马进行攻击,首先将木马伪装好,然后要把木马程序植入到目标主机。攻击者将木马植入目标主机的主要手段有:利用系统漏洞直接攻击;通过端口入侵;通过网站上挂马和下载传播;通过电子邮件传播;在网络上发送超链接引诱用户点击。4.1 植入木马植入木马实训十:木马攻击与防御技术实训十:木马攻击与防御技术简单木马启动是被动地等待木马或捆绑木马的程序被主动运行;大多数木马都是首先将自身复制到Windows的系统文件中,利用修改
10、windows系统文件和注册表来实现自动重启。在window操作系统中木马自启动途径主要有:1)利用配置文件(“system.ini”和“win.ini”文件)实现自动启动;2)利用注册表(HKEY_CURRENT_USER/Software/Microsoft Windows/CurrentVersion项)实现自动启;3)利用系统启动组实现自动启动;4)利用Autoexec.bat和Config.sys文件实现。4.2 启动木马启动木马实训十:木马攻击与防御技术实训十:木马攻击与防御技术木马想要在目标主机上存活下来,必须注意隐藏自己,使自身不被目标主机用户发现。主要的隐藏技术有:设置窗口不
11、可见、把木马程序注册为服务、欺骗查看进程的函数、使用可变的高端口、使用系统驱动或系统DLL以及动态潜入技术等。4.3 木马隐藏木马隐藏实训十:木马攻击与防御技术实训十:木马攻击与防御技术一个木马连接的建立必须满足两个条件:一是服务器已安装了木马程序;二是控制端、服务器端都要在线。控制端与服务器建立连接的方法有:1)控制端可以通过木马端口与服务器建立连接;2)控制端根据提前配置的服务器地址、定制端口来建立连接;3)使用扫描器,根据扫描结果中检测哪些计算机的某个端口开放,从而知道该计算机里某类木马的服务器端在运行,然后建立连接;4)根据服务器端主动发回来的信息知道服务器端的地址、端口,然后建立连接
12、。4.4 建立连接建立连接实训十:木马攻击与防御技术实训十:木马攻击与防御技术木马最终的目的是对服务器端进行远程控制,实现窃取密码、文件操作、修改注册表、锁住服务器端以及系统操作等。4.5 远程控制远程控制实训十:木马攻击与防御技术实训十:木马攻击与防御技术对付特洛伊木马程序攻击,可以采用以下的防御措施。(1)端口扫描和连接查看(2)检查注册表(3)检查系统配置文件(4)检查启动组(5)使用杀毒软件和防火墙软件(6)加强防范意识5 木马的防御技术木马的防御技术实训十:木马攻击与防御技术实训十:木马攻击与防御技术端口扫描是检测木马最常用的办法,大部分的木马服务端会在系统中监听某个端口,通过扫描系
13、统上开启了哪些端口就能有效地发现远程控制木马的踪迹。端口扫描原理端口扫描原理:扫描程序尝试连接某个端口,如果成功,则说明端口开放;如果连接失败或超时,则说明端口关闭。查看连接查看连接是在本机上通过netstat(或第三方程序)查看所有的/动态链接木马。5.1 端口扫描和连接查看端口扫描和连接查看实训十:木马攻击与防御技术实训十:木马攻击与防御技术操作系统本身就提供了查看端口和连接状态的功能,在命令提示符下键入“netstat-an”,查看结果如下图所示:5.1 端口扫描和连接查看端口扫描和连接查看实训十:木马攻击与防御技术实训十:木马攻击与防御技术在注册表中,Run、RunOnce、RunOn
14、ceEx、RunServices、RunServicesOnce这些子键保存了Windows启动时自动运行的程序。所以在注册表中,最有可能隐藏木马的地方是:HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunHKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnceHKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnceExHKEY_LOCAL_MACHINESOFTWAREMicrosoft
15、WindowsCurrentVersionRunServicesHKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServicesOnce 5.2 检查注册表检查注册表实训十:木马攻击与防御技术实训十:木马攻击与防御技术统配置文件win.ini文件、system.ini文件也是木马喜欢隐藏的地方,这些文件里记录了操作系统启动时需要启动和加载的程序,查找一下看是否有异常程序出现。主要查看“run=”、“load=”或是“shell=”后面所加载的程序,如果所加载的程序有你不知道的程序,那就要小心了,这就有可能是木马了。5.3 检
16、查系统配置文件检查系统配置文件实训十:木马攻击与防御技术实训十:木马攻击与防御技术启动组对应的文件夹为:c:windowsstartmenu programsstartup在注册表中位置是:HKEY_CURRENT_USERSoftwareMicrosoftwindowscurrent VersionExplorerShellFolderstartup=”c:windowsstartmenu programestartup”。5.4 检查启动组检查启动组实训十:木马攻击与防御技术实训十:木马攻击与防御技术1)安装防病毒软件、防火墙软件和各种专门反黑软件加强防护,养成经常查杀木马的良好习惯,尽量
17、打开病毒监控,并保持病毒库的更新。2)不要随意打开不熟悉的邮件或不明的程序;不要随意点击网站上的链接信息。5.5 加强防范意识加强防范意识实训十:木马攻击与防御技术实训十:木马攻击与防御技术1)冰河是一个非常有名的木马工具,它包括两个可运行的程序G_Server和G_Client,其中前者是木马的服务器端,就是用来植入目标主机的程序,后者是木马的客户端,也就是木马的控制台。6 冰河木马冰河木马实训十:木马攻击与防御技术实训十:木马攻击与防御技术2)冰河木马主要功能:自动跟踪目标机屏幕变化(局域网适用)完全模拟键盘及鼠标输入(局域网适用)记录各种口令信息 获取系统信息 限制系统功能 远程文件操作
18、 注册表操作 发送信息 点对点通讯一台windows xp/2000操作系统(IP:192.168.1.10)作为木马控制端,安装G_CLIENT.EXE,由黑客拥有;一台装有windows xp/2000或windows server 2019操作系统的机器(IP:192.168.1.1)作为木马服务端(感染木马程序G_Server.exe),由正常网络用户拥有。【实训环节实训环节】实训环境要求实训环境要求通过winrar自解压程序将木马的服务端程序与常规文件捆绑,生成伪装文件。1、将冰河木马服务器程序G_Server.exe和图片sunset.jpg放在文件夹test中,选中这两个文件后单
19、击鼠标右键,选择“添加到test.rar”命令。2、打开test.rar文件,单击“自解压格式”按钮,并在弹出的窗口中单击“高级自解压选项”按钮打开高级自解压选项对话框。【实训环节实训环节】1 木马程序的伪装木马程序的伪装【实训环节实训环节】10-1 高级自解压设置 3、单击“设置”选项,并在在“解压后运行”文本框中输入木马的服务器端程序“G_Server.exe”,在“解压运行前”文本框输入图片文件“sunset.jpg”,如图10-1所示。【实训环节实训环节】图10-2 模式设置 图10-3 更新设置4、分别单击“模式”选项和“更新”选项进行设置,具体设置如图10-2、3所示。【实训环节实
20、训环节】图10-4 文件捆绑后结果5、单击“确定”按钮,关闭WinRAR窗口后就可以创建自解压文件,结果如图10-4所示。运行test.exe文件时,系统调用默认关联的图片管理器打开sunset.jpg文件,并在用户毫不知情下运行了木马服务端程序G_Server.exe1、客户端控制程序的使用及配置1)双击运行客户端控制程序“G_CLIENT.EXE”,冰河client主界面如图10-5所示。【实训环节实训环节】2冰河木马的使用冰河木马的使用图10-5 主界面2)控制端可以进行添加/删除主机、自动搜索、捕获屏幕、屏幕控制、配置服务器程序等操作功能,如图10-6所示。【实训环节实训环节】图10-
21、5 冰河功能模块3)选择“文件”菜单下“配置服务器程序”或点击“配置本地服务器程序”图标按钮,打开并进入服务器配置界面进行设置,该功能是在 安 装 前 对“G_Server.exe”进行配置。如图10-6所示。【实训环节实训环节】图10-6 服务器配置界面 自我保护设置可以实现在服务器端的隐藏,如图10-7所示【实训环节实训环节】图10-7 自我保护设置 攻击者如果想通过邮件获取被控制方的相关信息,可以对邮件通知选项进行配置,如图10-8所示【实训环节实训环节】图10-8 邮件通知设置4)搜索目标主机(搜索前需要运行服务端程序)【实训环节实训环节】选择“文件”下“自动搜索”或点击自动搜索 图标
22、在“搜索范围”选项区域按需求添加I要搜索的IP范围单击“开始搜索”,在右边列表框中将显示检测到的正在网上的计算机的IP地址信息,如图10-9所示。图10-8 搜索目标主机“OK:”表示目标主机运行过G_Server.exe,并可以进行控制;“ERR:”则表示这台计算机没有受木马攻击,无法受控制端控制2、对目标主机的控制。1)文件管理控制 【实训环节实训环节】2冰河木马的使用冰河木马的使用图10-9 对目标主机的文件控制2)命令控制台操作 口令类命令可以控制目标主机的系统图信息及口令、历史口令以及击键记录【实训环节实训环节】图10-10 对目标主机的口令类命令控制2)命令控制台操作 控制类命令
23、可以对目标主机进行以下操作:屏幕捕获、进程管理、窗口管理、鼠标控制等操作。【实训环节实训环节】图10-11 对目标主机的屏幕捕捉控制G_Server.exe服务端程序在计算机上被运行后,它不会有任何提示信息,而是会将自身删除,但是在WindowsSystem32目录下会生成Kernel32.exe和Sysexplr.exe两个文件。Kernel32.exe在开机启动时自动启动,它是木马的主程序,用来和客户端连接;Sysexplr.exe通过修改注册表与扩展名为.txt文件进行关联,双击打开任何一个.txt文件后,该程 序 就 会 被 执 行 一 遍,再 由 它 生 成 一 个Kernel32.
24、exe文件,并让其随系统启动。【实训环节实训环节】3检测和清除冰河木马检测和清除冰河木马1、扫描端口 使用windows系统自带的netstat命令查看端口状态,查看开放的端口有无可疑。(也可以用第三方端口扫描软件)【实训环节实训环节】3冰河木马检测和清除冰河木马检测和清除图10-12 端口扫描结果打开打开“程序程序”“运行运行”输输入入cmdcmd进入命进入命令提示符下,令提示符下,并输入并输入netstat annetstat an命令,如图命令,如图10-1210-12所示为所示为查看结果。查看结果。2、查看进程打开任务管理器,选中进程选项,在进程列表中检测是否有Kernel32.exe
25、和Sysexplr.exe两个文件,如果有说明受冰河木马攻击,并结束进程。【实训环节实训环节】3冰河木马检测和清除冰河木马检测和清除3、删除文件打开“C:WINDOWSsystem32”,将Kernel32.exe和Sysexplr.exe两个文件删除。4、修改注册表 点击“开始”“运行”,并输入“regedit”命令打开注册表【实训环节实训环节】3冰河木马检测和清除冰河木马检测和清除 打开HKEY_LOCAL_MACHINESOFTWAREMicrosoft Windows CurrentVersionRun项,该默认键值被更改为:“C:WINDOWSSYSTEM32Kernel32.exe
26、”选中双击默认项,在打开的对话框中删除该项内容,如图10-13所示。同样地打开HKEY_LOCAL_MACHINE SOFTWAREMicrosoft Windows CurrentVersionRunservices,并在默认项的“编辑字符串”对话框中删除其值“C:WINDOWSSYSTEM32Kernel32.exe”。这样就可以取消Kernel32.exe的开机启动。【实训环节实训环节】图10-12 修改注册表启动运行项目4、修改注册表 【实训环节实训环节】3冰河木马检测和清除冰河木马检测和清除打开注册表的HKEY_CLASSES_ROOTtxtfileshellopen command
27、项,该默认键值被更改为:“C:WINDOWSsystem32sysexplr.exe%1”。双击“默认”字符串,在“数值数据”文本框中输入“C:WINDOWSsystem32notepad.exe%1”这样就可以恢复了.txt文件与记事本的关联,Sysexplr.exe再也不起作用了,如图10-13所示。【实训环节实训环节】图10-13 恢复注册表中txt文件关联1冰河木马攻击一般都有哪些步骤?2如果你的电脑系统可能已经被木马攻击,需要检测哪些项目来分析判断是否被木马攻击?如何清除这些木马?3如果希望被冰河木马攻击的远程主机每次上网都会自动发邮件通知你,该如何配置服务端程序?【练习环节练习环节】LOGO