1、1 项目五 木马攻击与防范项目五 木马攻击与防范2 项目五 木马攻击与防范【项目概述】l木马是计算机病毒的一种,已经成为数量增长最快的计算机病毒。黑客通过灰鸽子、上线远控、Ghost木马等各种“肉鸡”控制工具,疯狂侵蚀着Internet安全。为了加强对木马的防范,网络安全公司决定根据木马的特征和主要攻击方式,对整个网络进行木马扫描,加强木马防范措施。3 项目五 木马攻击与防范【项目分析】l木马也称特洛伊木马,名称来源于希腊神话木马屠城记。古希腊派大军围攻特洛伊城,久久无法攻下。于是有人献计制造一只高二丈的大木马,假装为作战马神,让精兵藏匿于巨大的木马中,大部队假装撤退而将木马摒弃于特洛伊城下。
2、城中士兵得知解围的消息后,遂将“木马”作为奇异的战利品拖入城内,全称饮酒狂欢。到午夜时分,全城军民尽入梦乡,藏于木马中的将士打开城门,四处放火,城外埋伏的士兵涌入,部队里应外合,攻下了特洛伊城。l网络攻防中的木马指的是攻击者编写的一段恶意代码,它可以潜伏在被攻击者的计算机中。攻击者通过这个代码可以远程控制被攻击者的计算机,以窃取计算机上的信息或者操作计算机。从本质上讲,木马也是病毒的一种,因此很多用户也把木马称为病毒。4 项目五 木马攻击与防范l在本项目中,将介绍木马工作的原理、典型的木马使用过程、木马的生成方法、木马免杀技术、木马防范技术,提高计算机用户对木马的认识,加强在网络使用中对木马的
3、防范意识和措施,避免在网络使用中遭受木马攻击,造成损失。l本项目主要内容如下:l1.木马的使用。l2.木马的生成。l3.木马免杀。l4.木马的防范。5 项目五 木马攻击与防范项目主要内容:任务一 木马的使用任务二 木马的生成任务三 木马免杀任务四 木马的防范6 项目五 木马攻击与防范任务一 木马的使用7 项目五 木马攻击与防范l任务描述l在木马攻击中,攻击者将“服务端”木马程序植入到被攻击者的计算机中,打开被攻击者计算机的端口,然后利用“控制端”远程控制被攻击者的计算机。请使用冰河木马和灰鸽子木马测试木马攻击的危害。8 项目五 木马攻击与防范l任务分析l木马的设计者为了防止木马被发现,会采用多
4、种手段隐藏木马。木马的服务端一旦运行并被控制端连接,控制端将享有服务端的大部分操作权限,例如给计算机增加口令,浏览、移动、复制、删除文件,修改注册表、更改计算机配置等。l 1.木马的特征。l(1)隐蔽性:如其他所有的病毒一样,木马必须隐藏在系统之中。l(2)自动运行性:计算机系统启动时木马会自动运行。l(3)能自动打开特别的端口:木马程序潜入计算机后,会打开TCP/IP协议的某些端口,等待控制端进行连接,从而实现远程控制的目的。现在的木马还会主动连接到控制端。l(4)功能的特殊性:很多木马的功能十分特殊,除了普通的文件操作以外,有些木马具有搜索Cache中的口令、设置口令、扫描目标计算机的IP
5、地址、进行键盘记录、远程操作注册表、锁定鼠标、打开摄像头等功能。9 项目五 木马攻击与防范l2.木马的发展。l木马程序技术发展可以说非常迅速。至今木马程序已经经历了6代的改进。l第一代,是最原始的木马程序。主要是简单的密码窃取,通过电子邮件发送信息等,具备了木马最基本的功能。l第二代,在技术上有了很大的进步,功能和隐匿性大大增强,冰河是中国木马的典型代表之一。l第三代,主要改进在数据传递技术方面,出现了ICMP等类型的木马,利用畸形报文传递数据,增加了杀毒软件查杀识别的难度。l第四代,在进程隐藏方面有了很大改动,采用了内核插入式的嵌入方式,利用远程插入线程技术,嵌入DLL线程,或者挂接PSAP
6、I,实现木马程序的隐藏,甚至在Windows NT/2000下,都达到了良好的隐藏效果。灰鸽子和蜜蜂大盗是比较出名的DLL木马。l第五代,驱动级木马。驱动级木马多数都使用了大量的Rootkit技术来达到深度隐藏的效果,并深入到内核空间内,感染后针对杀毒软件和网络防火墙进行攻击,可将系统SSDT初始化,导致杀毒防火墙失去效力。有的驱动级木马可驻留BIOS,并且很难查杀。l第六代,随着身份认证USB Key和杀毒软件主动防御的兴起,黏虫技术类型和特殊反显技术类型木马逐渐开始系统化。前者主要以盗取和篡改用户敏感信息为主,后者以动态口令和硬证书攻击为主。PassCopy和暗黑蜘蛛侠是这类木马的代表。1
7、0 项目五 木马攻击与防范l3.木马的种类。l(1)破坏型:其功能就是破坏并且删除文件,可以自动删除计算机上的DLL、INI、EXE文件。l(2)密码发送型:可以找到隐藏木马并把它们发送到指定的信箱。有人喜欢把自己的各种密码以文件的形式存放在计算机中,认为这样方便;还有人喜欢用Windows提供的密码记忆功能,这样就可以不必每次输入密码了。但是许多木马软件可以寻找到这些文件,把它们送到黑客手中。也有些木马软件长期潜伏,记录操作者的键盘操作,从中寻找有用的密码。l(3)远程访问型:最广泛的是特洛伊木马,只需有人运行了服务端程序,如果黑客知道了这些服务端的IP地址,就可以实现远程控制。l(4)键盘
8、记录木马:这种特洛伊木马记录受害者的键盘敲击并且在LOG文件中查找密码。l(5)DoS攻击木马:当黑客入侵了一台计算机,种上DoS攻击木马,那么日后该计算机就会变成黑客进行DoS攻击的助手,即充当为肉鸡。11 项目五 木马攻击与防范l(6)代理木马:黑客在入侵的同时掩盖自己的足迹,谨防别人发现自己的身份是非常重要的,因此黑客会给被控制的肉鸡种上代理木马,让其变成攻击者发动攻击的跳板。通过代理木马,攻击者可以隐蔽自己的踪迹。l(7)程序杀手木马:木马的功能虽然形形色色,不过要在被攻击者的计算机上发挥作用,还需要过防病毒软件这一关才行。程序杀手木马的功能就是关闭对方计算机上运行的防病毒软件,让病毒
9、更好的发挥作用。l(8)反弹端口型木马:防火墙对于连入计算机的连接往往会进行非常严格的过滤,但是对于从计算机连出的连接却疏于防范。于是与一般的木马相反,反弹端口型木马的服务端(被控制端)使用主动端口,客户端(控制端)使用被动端口。木马服务端定时检测控制端的存在,发现控制端上线就会立即主动连接控制端。l根据以上所述木马的特征、发展和种类,下面就冰河木马和灰鸽子木马的使用进行实验演示和分析。12 项目五 木马攻击与防范l任务实施l本次任务实施拓扑示意图如图5-1所示。图5-1 木马的使用任务拓扑示意图13 项目五 木马攻击与防范l2.冰河木马的使用。l知识链接:“冰河木马”属于第2代木马,开发于1
10、999年,在设计之初,开发者的本意是编写一个功能强大的远程控制软件。但一经推出,就依靠其强大的功能成为了黑客们发动入侵的工具,并结束了国外木马一统天下的局面,成为国产木马的标志和名词。虽然冰河木马现在已经过时,但学习木马防范的初学者一定要体验一下冰河木马的使用。冰河木马的服务端程序为G-server.exe,客户端程序为G-client.exe,默认连接端口为7626。一旦运行G-server.exe,那么该程序就会在“C:/Windows/system”目录下生成Kernel32.exe和sysexplr.exe,并删除自身。Kernel32.exe在系统启动时自动加载运行,sysexplr
11、.exe和txt文件关联。即使用户删除了Kernel32.exe,但只要打开txt文件,sysexplr.exe就会被激活,它将再次生成Kernel32.exe,于是冰河又回来了!14 项目五 木马攻击与防范l步骤1 配置冰河木马服务端。在攻击者计算机上运行冰河木马的客户端程序G-client.exe,如图5-2所示。图5-2 冰河木马的客户端程序运行界面15 项目五 木马攻击与防范l步骤2 在图5-2中,选择“文件”“配置服务端程序”,打开“服务器配置”窗口,如图5-3所示。图5-3 冰河木马服务器配置“基本设置”窗口16 项目五 木马攻击与防范l在图5-3中,“基本配置”选项卡中各配置含义
12、如下:l(1)安装路径:指安装服务端的目录。l(2)文件名称:指安装服务端时生成的木马程序的文件名。l(3)进程名称:指服务端运行时在进程列表中显示的名字。l(4)访问口令:指对这个服务端进行访问的口令(可以不加)。l(5)敏感字符:服务端监听目标计算机上的敏感字符。l(6)监听端口:设置服务端口,客户端将通过该端口连接服务端,默认的监听端口为7626。l(7)自动删除安装文件:当服务端运行时,将删除原安装文件。l(8)禁止自动拨号:防止服务端连接网络时进行ADSL等拨号。l(9)待配置文件:在路径浏览中选择需要传送到目标机器上的G_SERVER.exe。17 项目五 木马攻击与防范l步骤3
13、在图5-3中,选择“自我保护”选项卡,如图5-4所示。图5-4 冰河木马服务器配置“自我保护”窗口18 项目五 木马攻击与防范l在图5-4中,“自我保护”选项卡中各配置含义如下:l(1)写入注册表启动项:选中后,服务端将随计算机启动而自动启动。l(2)键名:写入注册表启项时的键名,可以自行设置。l(3)关联:指木马可以随着txt文件或者exe文件打开而运行。一旦木马被删除,可以通过已关联类型的文件再次启动木马。19 项目五 木马攻击与防范l步骤4 在图5-2中,选择“邮件通知”选项卡,如图5-5所示。图5-5 冰河木马服务器配置“邮件通知”窗口20 项目五 木马攻击与防范l在图5-4中,“邮件
14、通知”选项卡中各配置含义如下:l(1)SMTP服务器:发送邮件时所使用的SMTP服务器,由于这里无法输入用户名和密码,只可使用不需要验证的SMTP服务器。l(2)接收信箱:邮件的接收者。l(3)邮件内容:选择哪些信息会通过电子邮件进行发送。l设置好木马的各个选项后,单击“确定”按钮,完成对G_client.exe的配置。21 项目五 木马攻击与防范l步骤5 可以采用社会工程学、挂马等手段,诱使被攻击者计算机运行G_server.exe。l步骤6 在图5-2中,右击“我的电脑”,在弹出菜单中选择“添加”,打开“添加计算机”对话框,如图5-6所示。在“显示名称”一栏中输入一个名称,以便区别不同的被
15、攻击者;在“主机地址”一栏中输入服务端的IP地址;在“访问口令”一栏中输入配置服务端时输入的口令;在“监听端口”输入服务端时设置的端口。配置完成后,单击“确定”按钮。图5-6 添加服务端计算机22 项目五 木马攻击与防范l步骤7 单击图5-2中的“我的电脑”前面的“+”号,展开C盘目录,若能够显示被攻击者计算机C盘文件,则表示攻击者已成功连接到被攻击者了,如图5-7所示。图5-7 攻击者成功连接被攻击者23 项目五 木马攻击与防范l步骤8 在图5-7右边窗口空白处,右击鼠标,弹出菜单,可以对服务端计算机的文件夹及文件进行操作,如复制、文件上传、查找、新建文件夹等,如图5-8所示。当右键单击文件
16、时,可以对文件进行复制、文件下载、打开查看等操作,如图5-9所示。图5-8 攻击者对被攻击者硬盘的操作24 项目五 木马攻击与防范图5-9 攻击者对被攻击者文件的操作25 项目五 木马攻击与防范l步骤9 在图5-7中,单击“命令控制台”选项卡,展开“口令类命令”,如图5-10所示。图5-10 口令类命令窗口26 项目五 木马攻击与防范l在图5-7中,“口令类命令”各节点的功能包括:l(1)系统信息及口令:查看系统的信息、开机口令、缓存口令和其他口令。l(2)历史口令:各种对话框出现的口令。l(3)击键记录:启动键盘记录、终止键盘记录、查看键盘记录和清空键盘记录。27 项目五 木马攻击与防范l步
17、骤10 在图5-10“命令控制台”选项卡中,展开“控制类命令”,如图5-11所示。图5-11 控制类命令窗口28 项目五 木马攻击与防范l控制类命令有:捕获屏幕、发送信息、进程管理、窗口管理、系统控制、鼠标控制、其它控制等。在“系统控制”中,单击“自动卸载冰河”按钮可以把冰河木马卸载掉。29 项目五 木马攻击与防范l步骤11 在图5-10“命令控制台”选项卡中,展开“网络类命令”,如图5-12所示。图5-12 网络类命令窗口30 项目五 木马攻击与防范l网络类命令有:创建共享、删除共享、查看网络信息。l 除此之外,命令控制台还有文件类命令、注册表读写、设置类命令,读者可以自行点击查看,进行实验
18、和使用。l冰河木马的功能比较全面,但是冰河木马有一个比较大的局限,被攻击者计算机运行木马服务端后,攻击者在客户端上可以手动添加计算机,可是若攻击者不知道被攻击者的IP地址,则无法添加服务端。虽然在冰河木马中提供了搜索功能,如图5-13所示。单击“自动搜索”工具按钮,打开“搜索计算机”窗口,设置好搜索参数后,单击“开始搜索”按钮即可搜索服务端IP。但是,在茫茫大海似的网络中,搜索冰河服务端也是一件纯粹靠运气的事情,如果服务端采用私有网络的IP地址,或者是在防火墙的保护之内,控制端将无法搜索或者连接到服务端。基于以上原因,反弹木马应运而生。31 项目五 木马攻击与防范图5-13 冰河木马“搜索计算
19、机”窗口32 项目五 木马攻击与防范l3.灰鸽子木马的使用。l 知识链接:灰鸽子木马属于反弹木马的一种。由于防火墙可以阻挡非法的外来连接请求,防范冰河木马这样的木马。但是再坚固的防火墙也不能阻止内部计算机对外的连接。反弹木马服务端在被攻击者的计算机上启动后,服务端主动从防火墙的内侧向木马控制端发起连接,从而突破防火墙的保护。反弹木马还有一个优点,服务端运行后会主动连接控制端,攻击者只要开启控制端,坐等服务端的连接就行了,而无需像使用冰河木马一样盲目地搜索服务端。33 项目五 木马攻击与防范l步骤1 配置灰鸽子木马的服务器端。在攻击者计算机上启动灰鸽子木马控制端软件,如图5-14所示。图5-14
20、 灰鸽子木马控制端运行窗口34 项目五 木马攻击与防范l步骤2 在图5-14中,单击“配置服务程序”工具按钮,打开“服务器配置”对话框,单击“自动上线设置”选项卡,设置“IP通知http访问地址、DNS解析域名或固定IP地址”为攻击者计算机的IP地址;设置生成服务端的上线图像,图标最好具有诱惑性,方便实行攻击;设置上线分组为“自动上线主机”;在“连接密码”选项中可以设置控制端连接服务端的密码,也可以不设置。设置结果如图5-15所示。图5-15“服务器配置”界面35 项目五 木马攻击与防范l步骤3 在图5-15中,可以配置被攻击者安装服务端时的安装选项、启动项设置、代理服务、高级选项、插件功能。
21、如打开“安装选项”窗口,可以选择是否“程序安装成功后提示安装成功”,选中后,安装服务端后会有提示,为了保持隐蔽性,不建议选择;可以选择是否“安装成功后自动删除安装文件”,选中后,服务端在成功安装后,将会删除服务端程序;也可以选择是否“程序运行时在任务栏显示图标”,如果选中后,服务端在运行时会在窗口右下角显示服务端图标,这样就没有了隐蔽性,一般不推荐使用。设置结果如图5-16所示。图5-16 选择生成服务器的安装选项36 项目五 木马攻击与防范l步骤4 在图5-15中,打开“高级选项”窗口,可以根据需要选择是否“使用IEXPLORE.EXE进程启动服务端程序”或者“隐藏服务端进程”,由于两项设置
22、只支持Win2000/XP系统,因此在其他系统上使用该软件时可以取消这两项设置。为了保护木马服务端程序不被杀毒软件查杀,可以选择“使用UPX加壳”进行木马免杀。配置结果如图5-17所示。图5-17 选择生成服务器的图标信息37 项目五 木马攻击与防范l关于“启动项设置”、“代理服务”、“插件功能”等工具的功能,读者可以自行点击查看,进行实验和使用。l 步骤5 服务器配置信息完成后,点击图5-17右下角的“生成服务器”按钮,即可在保存路径中生成服务端程序。如图5-18所示。图5-18 生成服务端程序38 项目五 木马攻击与防范l步骤6 可以采用社会工程学、挂马等手段,诱使被攻击者在计算机上运行“
23、服务端程序.exe”。“服务端程序.exe”运行后,将自动删除软件。l 步骤7 一旦被攻击者运行服务端程序后,在攻击者的控制端“文件管理器”“自动上线主机”可以看到已经自动连接到控制端的计算机192.168.137.131,展开目录,可以查看被攻击者计算机硬盘上的数据,如图5-19所示。39 项目五 木马攻击与防范图5-19 服务端成功反弹连接到控制端40 项目五 木马攻击与防范l步骤8 在图5-19中,选择“远程控制命令”选项卡,在“远程控制命令”界面中,可以远程操作服务端计算机,如进行系统操作、剪切板查看、进程管理、服务管理、共享管理、代理服务、插件管理,如图5-20所示。图5-20 服务
24、端“远程控制命令”界面41 项目五 木马攻击与防范l(1)在“系统操作”中,可以进行查看被攻击者计算机的系统信息、重启计算机、关闭计算机、卸载服务端;l(2)在“剪切板查看”中,可以进行远程查看被攻击者计算机上剪切板信息、本地剪切板信息;l(3)在“进程管理”中,可以查看被攻击者计算机上的进程名、进程ID、文件路径、终止进程;l(4)在“服务管理”中,可以查看被攻击者计算机上的服务,查看服务并设置服务的启动方式;l(5)在“共享管理”中,可以在被攻击者计算机上建立共享或者删除共享;l(6)在“代理服务”中,可以在被攻击者计算机上设置代理的登录用户名、登录密码;l(7)在“插件管理”中,可以查看
25、被攻击者计算机上安装的插件,并启用或停止选中的插件。42 项目五 木马攻击与防范l 步骤9 在图5-20中,单击工具栏的“捕获屏幕”选项,可以远程查看被攻击者计算机屏幕,并可以传送鼠标和键盘操作、全屏显示、保存或录制屏幕、发送组合键等,如图5-21所示。图5-21 使用“捕获屏幕”选项远程查看被攻击者计算机屏幕43 项目五 木马攻击与防范l步骤10 在图5-20中,单击工具栏的“视频语音”选项,可以对被攻击者进行视频监控、语音监听,并保存接收到的语音,如图5-22所示。图5-22 使用“视频语音”选项监视被攻击者44 项目五 木马攻击与防范l步骤11 在图5-20中,选中已经成功连接的服务端,
26、单击工具栏的“Telnet”选项,打开Telnet窗口,则在窗口中可以远程执行命令,如图5-23所示。图5-23 使用“Telnet”选项远程控制被攻击者45 项目五 木马攻击与防范l4.wollf工具的使用。l知识链接:wollf是一个典型的Rootkit工具。Rootkit是一种特殊的、小巧的木马,是攻击者用来隐藏自己的踪迹和保留Root访问权限的工具。通常攻击者通过远程攻击获得目标主机的Root访问权限后,攻击者会在目标主机上安装Rootkit,此后攻击者就可以通过Rootkit这一后门软件保持对目标主机的持续控制。例如,通过Rootkit的嗅探功能获得其他系统的用户和密码之后,攻击者就
27、会利用这些信息侵入其他的系统。lwollf工具具有扩展Telnet服务,集成文件传输、FTP服务器、键盘记录、Sniffer、端口转发等功能,可反向连接,也可通过参数选择随系统启动或作为普通进程启动。wollf工具的命令如下:46 项目五 木马攻击与防范lwolf 选项l其中选项含义如下:l-install:安装wollf服务;l-remove:停止并清除wollf服务;l-update:升级wollf服务;l-debug:调试wollf服务,用于安装失败后查看出错信息;l-once:作为普通进程运行,重启后不自动加载;l-connect host port:连接到远程wollf服务,主要用于
28、连接后传输文件;l-listen port:监听指定端口,等待远程连接,主要用于反向连接方式;l-setup:对wollf.exe进行设置,包括监听端口、访问口令或设置为反向连接方式,完成后将生成wollf_new.exe。47 项目五 木马攻击与防范l设置内容及示例如下所示:l“wollf”:安装并启动服务,监听默认端口7614;l“wollf-remove”:停止并卸载服务;l“wollf-update”:用当前wollf升级旧版本;l“wollf-debug”:无法安装服务,加上-debug参数后运行,以便查看失败原因;l“wollf-once”:作为普通进程进行,重新启动后不自动加载,
29、指定监听2000端口;l“wollf connect 192.168.137.131 7614”:连接到远程主机192.168.137.131的7614端口;l“wollf listen 2000”:监听2000端口,等待远程主机主动连接;l“wollf-setup”:对wollf.exe进行配置,并生成wollf_new.exe。48 项目五 木马攻击与防范l步骤1 将wollf工具拷贝到攻击者计算机端,在攻击者计算机上对wollf进行配置,如图5-24、图5-25所示。图5-24 将wollf工具拷贝到攻击者计算机端49 项目五 木马攻击与防范图5-25 在攻击者计算机上对wollf进行配
30、置50 项目五 木马攻击与防范l在以上设置中,可以设置一个具有迷惑性的服务名字,使被攻击者无法直接识别出来木马程序,便于成功实现攻击。设置完成后,将在C盘下生成一个新文件wollf_new.exe作为攻击程序。l步骤2 将wollf_new.exe文件拷贝到被攻击计算机192.168.137.131上,并进行运行,如图5-26所示。图5-26 被攻击计算机上运行wollf51 项目五 木马攻击与防范l步骤3 在攻击计算机192.168.137.102上连接被攻击计算机192.168.137.131,如图5-27所示。图5-27 连接被攻击计算机52 项目五 木马攻击与防范l在图5-27中,wollf工具的默认监听端口为7614,使用步骤1中设置的连接的密码连接被攻击计算机,通过help命令可以查看在攻击端执行的被攻击者的命令,然后通过命令操作被攻击者。53 项目五 木马攻击与防范THANKS
