跳到主要內容

黑客種植木馬新方法及防範策略

黑客種植木馬新方法及防範策略



相信很多朋友都聽說過木馬程序,總覺得它很神秘、很高難,但事實上隨著木馬軟件的智能化,很多駭客都能輕鬆達到攻擊的目的。





今天,筆者就以最新的一款木馬程序——黑洞2004,從種植、使用、隱藏、防範四個方面來為網絡愛好者介紹一下木馬的特性。需要提醒大家的是,在使用木馬程序的時候,請先關閉系統中的病毒防火牆,因為殺毒軟件會把木馬作為病毒的一種進行查殺。



  操作步驟:



  一、種植木馬



  現在網絡上流行的木馬基本上都採用的是C/S 結構(客戶端/服務端)。





你要使用木馬控制對方的電腦,首先需要在對方的的電腦中種植並運行服務端程序,然後運行本地電腦中的客戶端程序對對方電腦進行連接進而控制對方電腦。





為了避免不熟悉木馬的用戶誤運行服務端,現在流行的木馬都沒有提供單獨的服務端程序,而是通過用戶自己設置來生成服務端,黑洞2004也是這樣。





首先運行黑洞2004,點擊「功能/生成服務端」命令,彈出「服務端配置」界面。





由於黑洞2004採用了反彈技術(請參加小知識),首先單擊旁邊的「查看」按鈕,在彈出的窗口中設置新的域名,輸入你事先申請空間的域名和密碼,單擊「域名註冊」,在下面的窗口中會反映出註冊的情況。







域名註冊成功以後,返回「服務端配置」界面,填入剛剛申請的域名,以及「上線顯示名稱」、「註冊表啟動名稱」等項目。



為了迷惑他人,可以點「更改服務端圖標」按鈕為服務端選擇一個圖標。所有的設置都完成後,點擊「生成EXE型服務端」就生成了一個服務端。



在生成服務端的同時,軟件會自動使用UPX為服務端進行壓縮,對服務端起到隱藏保護的作用。



  服務端生成以後,下一步要做的是將服務端植入別人的電腦?

常見的方法有,通過系統或者軟件的漏洞入侵別人的電腦把木馬的服務端植入其的電腦;或者通過Email夾帶,把服務端作為附件寄給對方;以及把服務端進行偽裝後放到自己的共享文件夾,通過P2P軟件(比如PP點點通、百寶等),讓網友在毫無防範中下載並運行服務端程序。



  由於本文主要面對普通的網絡愛好者,所以就使用較為簡單的Email夾帶,為大家進行講解。





我們使用大家經常會看到的Flash動畫為例,建立一個文件夾命名為「好看的動畫」,在該文件夾裡邊再建立文件夾「動畫.files」,將木馬服務端軟件放到該文件夾中假設名稱為「abc.exe」,再在該文件夾內建立flash文件,在flash文件的第1幀輸入文字「您的播放插件不全,單擊下邊的按鈕,再單擊打開按鈕安裝插件」,新建一個按鈕組件,將其拖到舞台中,打開動作面板,在裡邊輸入「on (press) {getURL("動畫.files/abc.exe");}」,表示當單擊該按鈕時執行abc這個文件。在文件夾「好看的動畫」中新建一個網頁文件命名為「動畫.htm」,將剛才製作的動畫放到該網頁中。





看出門道了嗎?平常你下載的網站通常就是一個.html文件和一個結尾為.files的文件夾,我們這麼構造的原因也是用來迷惑打開者,畢竟沒有幾個人會去翻.files文件夾。



現在我們就可以撰寫一封新郵件了,將文件夾「好看的動畫」壓縮成一個文件,放到郵件的附件中,再編寫一個誘人的主題。只要對方深信不疑的運行它,並重新啟動系統,服務端就種植成功了。



  二、使用木馬



  成功的給別人植入木馬服務端後,就需要耐心等待服務端上線。





由於黑洞2004採用了反連接技術,所以服務端上線後會自動和客戶端進行連接,這時,我們就可以操控客戶端對服務端進行遠程控制。





在黑洞2004下面的列表中,隨便選擇一台已經上線的電腦,然後通過上面的命令按鈕就可以對這台電腦進行控制。



下面就簡單的介紹一下這些命令的意義。



  文件管理:服務端上線以後,你可以通過「文件管理」命令對服務端電腦中的文件進行下載、新建、重命名、刪除等操作。可以通過鼠標直接把文件或文件夾拖放到目標文件夾,並且支持斷點傳輸。簡單吧?



  進程管理:查看、刷新、關閉對方的進程,如果發現有殺毒軟件或者防火牆,就可以關閉相應的進程,達到保護服務器端程序的目的。



  窗口管理:管理服務端電腦的程序窗口,你可以使對方窗口中的程序最大化、最小化、正常關閉等操作,這樣就比進程管理更靈活。你可以搞很多惡作劇,比如讓對方的某個窗口不停的最大化和最小化。



  視頻監控和語音監聽:如果遠程服務端電腦安裝有USB攝像頭,那麼可以通過它來獲取圖像,並可直接保存為Media Play可以直接播放的Mpeg文件;需要對方有麥克風的話,還可以聽到他們的談話,恐怖吧?



  除了上面介紹的這些功能以外,還包括鍵盤記錄、重啟關機、遠程卸載、抓屏查看密碼等功能,操作都非常簡單,明白了吧?做駭客其實很容易。



 三、隱藏





  隨著殺毒軟件病毒庫的升級,木馬會很快被殺毒軟件查殺,所以為了使木馬服務端辟開殺毒軟件的查殺,長時間的隱藏在別人的電腦中,在木馬為黑客提供幾種可行的辦法。



  1.木馬的自身保護



  就像前面提到的,黑洞2004在生成服務端的時候,用戶可以更換圖標,並使用軟件UPX對服務端自動進行壓縮隱藏。



  2.捆綁服務端



  用戶通過使用文件捆綁器把木馬服務端和正常的文件捆綁在一起,達到欺騙對方的目的。文件捆綁器有廣外文件捆綁器2002、萬能文件捆綁器、exeBinder、Exe Bundle等。



  3.制做自己的服務端



  上面提到的這些方法雖然能一時瞞過殺毒軟件,但最終還是不能逃脫殺毒軟件的查殺,所以若能對現有的木馬進行偽裝,讓殺毒軟件無法辨別,則是個治本的方法。可以通過使用壓縮EXE和DLL文件的壓縮軟件對服務端進行加殼保護。





例如Step1中的UPX就是這樣一款壓縮軟件,但默認該軟件是按照自身的設置對服務端壓縮的,因此得出的結果都相同,很難長時間躲過殺毒軟件;而自己對服務端進行壓縮,就可以選擇不同的選項,壓縮出與眾不同的服務端來,使殺毒軟件很難判斷。下面我就以冰河為例,為大家簡單的講解一下脫殼(解壓)、加殼(壓縮)的過程。



  如果我們用殺毒軟件對冰河進行查殺,一定會發現2個病毒,一個是冰河的客戶端,另一個是服務端。使用軟件「PEiD」查看軟件的服務端是否已經被作者加殼。



  現在,我們就需要對軟件進行脫殼,也就是一種解壓的過程。這裡我使用了「UPXUnpack」,選擇需要的文件後,點擊「解壓縮」就開始執行脫殼。



  脫殼完成後,我們需要為服務端加一個新殼,加殼的軟件很多,比如:ASPack、ASProtect、UPXShell、Petite等。





這裡以「ASPack」為例,點擊「打開」按鈕,選擇剛剛脫殼的服務端程序,選擇完成後ASPack會自動為服務端進行加殼。再次用殺毒軟件對這個服務端進行查殺,發現其已經不能識別判斷了。





如果你的殺毒軟件依舊可以查殺,你還可以使用多個軟件對服務端進行多次加殼。





筆者在使用Petite和ASPack對服務端進行2次加殼後,試用了多種殺毒軟件都沒有掃瞄出來。現在網絡中流行的很多XX版冰河,就是網友通過對服務端進行修改並重新加殼後制做出來的。



  四、防範



  防範重於治療,在我們的電腦還沒有中木馬前,我們需要做很多必要的工作,比如:安裝殺毒軟件和網絡防火牆;及時更新病毒庫以及系統的安全補丁;定時備份硬盤上的文件;不要運行來路不明的軟件和打開來路不明的郵件。



  最後筆者要特別提醒大家,木馬除了擁有強大的遠程控制功能外,還包括極強的破壞性。我們學習它,只是為了瞭解它的技術與方法,而不是用於盜竊密碼等破壞行為,希望大家好自為之。



  小知識:

反彈技術,該技術解決了傳統的遠程控制軟件不能訪問裝有防火牆和控制局域網內部的遠程計算機的難題。



反彈端口型軟件的原理是,客戶端首先登錄到FTP服務器,編輯在木馬軟件中預先設置的主頁空間上面的一個文件,並打開端口監聽,等待服務端的連接,服務端定期用HTTP協議讀取這個文件的內容,當發現是客戶端讓自己開始連接時,就主動連接,如此就可完成連接工作。





因此在互聯網上可以訪問到局域網裡通過 NAT (透明代理)代理上網的電腦,並且可以穿過防火牆。與傳統的遠程控制軟件相反,反彈端口型軟件的服務端會主動連接客戶端,客戶端的監聽端口一般開為 80(即用於網頁瀏覽的端口),這樣,即使用戶在命令提示符下使用「netstat -a」命令檢查自己的端口,發現的也是類似「TCPUserIP:3015ControllerIP:httpESTABLISHED」的情況,稍微疏忽一點你就會以為是自己在瀏覽網頁,而防火牆也會同樣這麼認為的。於是,與一般的軟件相反,反彈端口型軟件的服務端主動連接客戶端,這樣就可以輕易的突破防火牆的限制。

留言

這個網誌中的熱門文章

WUSON的CISSP課後筆記整理-葉柏毅Alex Yeh

  CISSP考試心得-Alex Yeh 心智圖 心智圖PDF Structure Architecture Framework Approach Methodology Domain 口訣 Domain 1. Security and Risk Management   C、I、A+GRC(安全和風險管理) Domain 2. Asset Security   盤點、分類、保護(資產安全) Domain 3. Security Architecture and Engineering   時時都安全、處處都安全(安全架構和工程) Domain 4. Communication and Network Security   處處都安全(通信及網路安全) Domain 5. Identity and Access Management (IAM)   I + 3A(身分識別及存取控制) Domain 6. Security Assessment and Testing   查驗、訪談、測試(安全評鑑及測試) Domain 7. Security Operations   日常維運、持續改善(安全維運) Domain 8. Software Development Security   時時都安全、處處都安全(軟體開發安全) 美國法定目標(FISMA)/ 資通安全法 CIA C機密性:資料不被偷 I完整性:資料不被竄改 A可用性:資料隨時可用 Integrity完整性 Data Integrity(資料完整性) Authenticity(資料真偽;真實性) Non-repudiation 不可否認性(法律上):傳送方不能否認未傳收;接受方不能否認未收到。 FISMA NIST FIPS 199 NIST SP 800 資產Asset:有價值Value的東西,且值得保護 Assets 通常指資訊系統 資料 電腦系統 操作系統 軟體 網路 資料中心(機房) 人(最重要) 業務流程 資安目標(定義): 透過安全管制措施,保護資訊資產不受到危害,以達到CIA目標 進而支持組織的業務流程 將安全融入組織業務流程(人事/採購),產銷人發財 支持組織的「產品」及「服務」持續交付 為公司創造價值,實現公司的使命及願景 公司最高經營階層的管理作為就叫做治理. 管理是達成目標的一套有系統的

低調的大提琴

低調的大提琴 靜靜默默的歌唱 在無人發現的角落 獨自低鳴 低調的大提琴 沉溺於寂靜旋律 在月光灑落的夜晚 與蟲鳴交響 低調的大提琴 在漆黑中死去 在幾個世紀後才被發現 卻未曾留在任何人心中 低調的大提琴 不善言語表達 用它的靈魂唱出心情 在人們仔細聆聽下綻放光彩

我的花店不賣薔薇(五)

日劇『沒有薔薇的花店』之文字特輯 呵呵~首先感謝忘年好友-任凱大哥的鼎力協助 由他精心挑選,劇集中精彩對話 『直哉:大哥你人好,我沒話說。不過嘛,這麼做到底妥不妥當? 小雫:什麼妥不妥當? 直哉:不會讓人家產生誤會嗎?她會覺得你對她有意思。 小雫:你的意思是讓爸爸不要對她太好? 直哉:這個我可沒說。在公車上給人讓個座之類的倒沒什麼,不過啊,這助人為樂的事要是做過了頭,有時候會在無意中傷害別人的。 小雫:不大懂。 直哉:她要是喜歡上大哥你的話,雖說是帶著魚子的柳葉魚,你怎麼說也是個單身男子,就算有想再婚的念頭也不奇怪。 小雫:你說誰是柳葉魚? 英治:我沒那種想法。 直哉:那誰說得準。或許她本來已經徹底放棄了戀愛、結婚,你卻給絕望中的人帶去希望,然後再對她說:「我就是心眼好,對人好是我的習慣」,那人家多可憐。 小雫:直哉的話也有道理。 直哉:怎麼說我也是做過牛郎的。女人心還不就那麼回事嘛。大哥該不會是……披著羊皮還帶著小孩的狼?這個時候就該說你是偽君子了。你對人好,你心裡舒服,但是總要考慮一下對方是怎麼想的。 英治:誰跟你說我心裡舒服了? 直哉:不過,大哥要是真想接受她,就又另當別論了,把她當做再婚對象看待的話。 英治:也沒這麼想。 直哉:說到底,你對她還是只有同情吧。』 被刺傷了這麼多次 也總是不懂,難道對人好,也是一種錯嗎 也或許就像直哉說的:「對人好,只是為了自己舒服,是一種習慣。」 總是想成為別人迷途羔羊的最後一道防線 企圖以壞人角色,來抵擋那最後的衝動 卻往往總是不夠仔細、不夠貼心,不懂得更深入著想,而兩敗俱傷 或是對我,不能感到全然地信任,害怕自己赤裸裸地被看穿,所以用盡全力來抗拒,來反擊 可惜我們不是在演日劇,你也不是非我不可 只是單純地想對這樣有緣認識,當朋友的人好 是這世界壞人太多嗎?還是我看起來就是心懷不軌^O^ 我是被動的 當你願意跟我聯繫、聊天 我亦會更用心回應 當你願意找我 我亦會更笑容迎接 當你給了我三分 我亦會回你五分 『信任、尊重與平等,是我們的默契。』