实验二木马分析(控制分析)实验和实验三冰河木马实验
?實(shí)驗(yàn)二木馬分析(控制分析)實(shí)驗(yàn)
備注可以到我的石墨分享看 https://shimo.im/doc/5tIpxHuWgjsiNqWY?r=JKZ3D81、偽裝木馬
木馬的偽裝方式主要有以下6種。
修改圖標(biāo)
現(xiàn)在,已經(jīng)有木馬服務(wù)端程序的圖標(biāo)改成HTML、TXT、ZIP等文件的圖標(biāo),這具有相當(dāng)大的迷惑性。
捆綁文件
這種偽裝手段是將木馬捆綁到一個(gè)安裝程序上,當(dāng)安裝程序運(yùn)行時(shí),木馬在用戶毫無(wú)察覺(jué)的情況下,偷偷地入駐系統(tǒng)。至于被捆的文件,一般是可執(zhí)行文件(即EXE、COM一類的文件)。
出錯(cuò)顯示
當(dāng)服務(wù)端用戶打開(kāi)木馬程序時(shí),為了迷惑用戶,木馬程序會(huì)彈出一個(gè)錯(cuò)誤提示框。錯(cuò)誤內(nèi)容大多會(huì)定制成諸如“文件已破壞,無(wú)法打開(kāi)!”之類的信息,如果服務(wù)端用戶信以為真,木馬會(huì)悄悄入駐系統(tǒng)。
定制端口
很多老式木馬的端口都是固定的,這給判斷是否感染了木馬帶來(lái)了方便,只要查一下特定的端口就知道感染了什么木馬,所以現(xiàn)在很多新式木馬都加入了定制端口的功能,控制端用戶可以在1024-65535之間任選一個(gè)端口作為木馬端口(一般不選1024以下的端口),這樣就給判斷木馬的類型帶來(lái)了麻煩。
自我銷毀
木馬的自我銷毀功能是指安裝完木馬后,原木馬文件將自動(dòng)銷毀。這樣服務(wù)端用戶就很難找到木馬的來(lái)源,在沒(méi)有查殺木馬工具的幫助下很難刪除木馬。
木馬更名
現(xiàn)在有很多木馬都允許控制端用戶自由定制安裝后的木馬文件名,這樣很難根據(jù)文件名來(lái)判斷所感染的木馬類型。
2、感染過(guò)程嗅探分析
過(guò)程中我們使用的是兩個(gè)虛擬機(jī),win7作為控制機(jī)ip:192.168.19.131;windows xp 系統(tǒng)作為感染機(jī)ip:192.168.159.132.在感染中我捕獲的報(bào)文利用(ip.src==192.168.159.131&&ip.dst==192.168.159.132)||(ip.dst==192.168.159.132 &&ip.src==192.168.159.131)篩選兩臺(tái)主機(jī)之間的通信。
???我們能夠看到,感染主機(jī)(131)向控制主機(jī)(132)發(fā)送報(bào)文,他們是通過(guò)tcp三次握手方式建立連接。我們也是可以看到會(huì)兩臺(tái)主機(jī)之間的通信會(huì)不斷的增加(從xp不同時(shí)間段截獲的報(bào)文可以看到),會(huì)不斷發(fā)送TCP keep-Alive來(lái)保持兩臺(tái)機(jī)器的聯(lián)系。
?
Windows7中截獲的報(bào)文
Windowsxp中截獲的報(bào)文
3、木馬控制
??當(dāng)木馬成功植入之后,會(huì)在控制端看到被控主機(jī)上線
在功能欄可以看到監(jiān)控、監(jiān)聽(tīng)、文件獲取、命令行代碼、操控主機(jī)等功能鍵
監(jiān)視功能如果感染機(jī)器有攝像頭可以打開(kāi)攝像頭經(jīng)行監(jiān)視對(duì)面的情況
監(jiān)聽(tīng)功能見(jiàn),可以調(diào)用對(duì)方的麥克風(fēng)對(duì)對(duì)方實(shí)現(xiàn)有效的監(jiān)聽(tīng)
在主界面的下方還有幾個(gè)其他的功能,例如篩選、下載文件、打開(kāi)網(wǎng)頁(yè)、綜合功能、ddos攻擊發(fā)起、修改備注等等。
下圖是向被控主機(jī)發(fā)送消息
下圖展示了遠(yuǎn)程操作被控主機(jī)
打開(kāi)網(wǎng)頁(yè)功能可以讓被控主機(jī)打開(kāi)相應(yīng)的網(wǎng)頁(yè)
Ddos攻擊,可以利用被控主機(jī)當(dāng)作僵尸機(jī)器對(duì)某些網(wǎng)絡(luò)發(fā)起ddos攻擊
4、分析受控期間的網(wǎng)絡(luò)通信數(shù)據(jù)
這里我們分析一個(gè)其中一種的控制方式控制期間的通信方式。
1)這是向被控主機(jī)發(fā)送消息的主機(jī)消息的通信方式。
2)截獲的他們直接的通信
3)對(duì)其通信分析可以知道其中data就是我們發(fā)送的“你已經(jīng)被我控制了”這里我們可以看到在兩臺(tái)主機(jī)之間傳遞信息是加密傳送。
實(shí)驗(yàn)三木馬植入方法實(shí)驗(yàn)
1、植入階段
主要利用操作系統(tǒng)的漏洞進(jìn)行攻擊植入,造成緩沖區(qū)溢出。如堆棧型(Stack)緩沖區(qū)溢出、格式化字符串(Format String)漏洞、堆(Heap)和靜態(tài)數(shù)據(jù)(BSS)的緩沖區(qū)溢出。以及利用應(yīng)用軟件的漏洞進(jìn)行植入。
利用交互腳本植入:如通過(guò)Script、ActiveX及XML、ASP、CGI交互腳本植入。還有就是靠電子郵件植入和通過(guò)QQ或者M(jìn)SN發(fā)送超鏈接。
2、安裝階段行為特征
木馬被控制端程序在安裝階段存在顯著的區(qū)別于一般合法程序的行為特征。表現(xiàn)出的具體行為特征如下:1)自動(dòng)壓縮或者解壓縮文件。2)文件增大3)隱藏偽裝安裝木馬控制端過(guò)程中產(chǎn)生的部分文件。4)將文件屬性設(shè)置為系統(tǒng)隱蔽、只讀。5)將文件圖標(biāo)更換進(jìn)行偽裝,冒充系統(tǒng)文件或者圖片、文本等其他非可執(zhí)行的文件。6)將文件的名字進(jìn)行偽裝,冒充系統(tǒng)文件或常用的應(yīng)用程序文件名。7) 將文件自我刪除等等。
3、網(wǎng)絡(luò)通信階段的行為特征分析
木馬被控制端與控制端通常需要建立通信通道進(jìn)行信息交流,在網(wǎng)絡(luò)通信階段,其行為特征表現(xiàn)如下:
利用1024以上的高端口進(jìn)行網(wǎng)絡(luò)通信。
利用端口復(fù)用技術(shù)或端口寄生技術(shù)進(jìn)行網(wǎng)絡(luò)通信。
利用 反向連接技術(shù)進(jìn)行網(wǎng)絡(luò)通信。主要利用防火墻的漏洞、反彈端口、創(chuàng)建套接字連接客戶端。
利用潛伏技術(shù),使用ICMP協(xié)議進(jìn)行網(wǎng)絡(luò)通信。
利用電子郵件、IRC及ICQ等方式與控制端進(jìn)行網(wǎng)絡(luò)通信。
通過(guò)發(fā)送UDP以及FTP的方式進(jìn)行網(wǎng)絡(luò)通信。
在網(wǎng)絡(luò)通信過(guò)程中,產(chǎn)生異常的通信流量變化。
利用“HTTP隧道技術(shù)”。將所要傳送的數(shù)據(jù)全部封裝到HTTP協(xié)議里進(jìn)行傳送,訪問(wèn)局域網(wǎng)里通過(guò)HTTP、SOCK S4/5代理上網(wǎng)的電腦,實(shí)現(xiàn)穿墻。
建立隱蔽通道。
利用Option域和傳輸數(shù)據(jù)時(shí)通常很少用到的域。
利用傳輸數(shù)據(jù)時(shí)必須強(qiáng)制填充的域。
木馬被控制端處于監(jiān)聽(tīng)狀態(tài),等待其他進(jìn)程通信。
利用數(shù)據(jù)緩沖區(qū)暫存待發(fā)送的數(shù)據(jù)。
利用進(jìn)程通信發(fā)許多SYN包。
4、植入冰河木馬
1)在網(wǎng)上下載冰河木馬程序,可能會(huì)被攔截刪除,自己主動(dòng)添加信任就好。最好關(guān)閉防火墻,要不然容易掃描不到主機(jī)。
2)VM虛擬機(jī)安全策略配置(被控制機(jī)器)
賬戶:使用空白密碼的本地賬戶只允許進(jìn)行控制臺(tái)登陸”設(shè)置為禁用
本地賬戶的共享和安全模式調(diào)整為經(jīng)典模式
3)上傳冰河木馬服務(wù)端(控制機(jī)向被控制機(jī)可以通過(guò)ipc管道漏洞進(jìn)行傳輸)
(1)進(jìn)行主機(jī)掃描
(2)利用net命令使用登陸目標(biāo)主機(jī)
(3)查看目標(biāo)主機(jī)當(dāng)前時(shí)間
(4)設(shè)定觸發(fā)事件
(5)在目標(biāo)主機(jī)查看觸發(fā)時(shí)間
(6)查看前后注冊(cè)表的變化
(7)再次掃描可以看到已經(jīng)可以控制目標(biāo)機(jī)
(8)操控目標(biāo)主機(jī)
5、總結(jié)
本實(shí)驗(yàn)通過(guò)利用Windows的IPC$漏洞,向目標(biāo)主機(jī)中植入冰河木馬,從而實(shí)現(xiàn)對(duì)目標(biāo)主機(jī)的控制,能夠進(jìn)一步了解木馬植入的原理與方法。
?
?
總結(jié)
以上是生活随笔為你收集整理的实验二木马分析(控制分析)实验和实验三冰河木马实验的全部?jī)?nèi)容,希望文章能夠幫你解決所遇到的問(wèn)題。
- 上一篇: Mac如何连接远程服务器
- 下一篇: GPS串口数据格式