实验二木马分析(控制分析)实验和实验三冰河木马实验
?實驗二木馬分析(控制分析)實驗
備注可以到我的石墨分享看 https://shimo.im/doc/5tIpxHuWgjsiNqWY?r=JKZ3D81、偽裝木馬
木馬的偽裝方式主要有以下6種。
修改圖標
現在,已經有木馬服務端程序的圖標改成HTML、TXT、ZIP等文件的圖標,這具有相當大的迷惑性。
捆綁文件
這種偽裝手段是將木馬捆綁到一個安裝程序上,當安裝程序運行時,木馬在用戶毫無察覺的情況下,偷偷地入駐系統。至于被捆的文件,一般是可執行文件(即EXE、COM一類的文件)。
出錯顯示
當服務端用戶打開木馬程序時,為了迷惑用戶,木馬程序會彈出一個錯誤提示框。錯誤內容大多會定制成諸如“文件已破壞,無法打開!”之類的信息,如果服務端用戶信以為真,木馬會悄悄入駐系統。
定制端口
很多老式木馬的端口都是固定的,這給判斷是否感染了木馬帶來了方便,只要查一下特定的端口就知道感染了什么木馬,所以現在很多新式木馬都加入了定制端口的功能,控制端用戶可以在1024-65535之間任選一個端口作為木馬端口(一般不選1024以下的端口),這樣就給判斷木馬的類型帶來了麻煩。
自我銷毀
木馬的自我銷毀功能是指安裝完木馬后,原木馬文件將自動銷毀。這樣服務端用戶就很難找到木馬的來源,在沒有查殺木馬工具的幫助下很難刪除木馬。
木馬更名
現在有很多木馬都允許控制端用戶自由定制安裝后的木馬文件名,這樣很難根據文件名來判斷所感染的木馬類型。
2、感染過程嗅探分析
過程中我們使用的是兩個虛擬機,win7作為控制機ip:192.168.19.131;windows xp 系統作為感染機ip:192.168.159.132.在感染中我捕獲的報文利用(ip.src==192.168.159.131&&ip.dst==192.168.159.132)||(ip.dst==192.168.159.132 &&ip.src==192.168.159.131)篩選兩臺主機之間的通信。
???我們能夠看到,感染主機(131)向控制主機(132)發送報文,他們是通過tcp三次握手方式建立連接。我們也是可以看到會兩臺主機之間的通信會不斷的增加(從xp不同時間段截獲的報文可以看到),會不斷發送TCP keep-Alive來保持兩臺機器的聯系。
?
Windows7中截獲的報文
Windowsxp中截獲的報文
3、木馬控制
??當木馬成功植入之后,會在控制端看到被控主機上線
在功能欄可以看到監控、監聽、文件獲取、命令行代碼、操控主機等功能鍵
監視功能如果感染機器有攝像頭可以打開攝像頭經行監視對面的情況
監聽功能見,可以調用對方的麥克風對對方實現有效的監聽
在主界面的下方還有幾個其他的功能,例如篩選、下載文件、打開網頁、綜合功能、ddos攻擊發起、修改備注等等。
下圖是向被控主機發送消息
下圖展示了遠程操作被控主機
打開網頁功能可以讓被控主機打開相應的網頁
Ddos攻擊,可以利用被控主機當作僵尸機器對某些網絡發起ddos攻擊
4、分析受控期間的網絡通信數據
這里我們分析一個其中一種的控制方式控制期間的通信方式。
1)這是向被控主機發送消息的主機消息的通信方式。
2)截獲的他們直接的通信
3)對其通信分析可以知道其中data就是我們發送的“你已經被我控制了”這里我們可以看到在兩臺主機之間傳遞信息是加密傳送。
實驗三木馬植入方法實驗
1、植入階段
主要利用操作系統的漏洞進行攻擊植入,造成緩沖區溢出。如堆棧型(Stack)緩沖區溢出、格式化字符串(Format String)漏洞、堆(Heap)和靜態數據(BSS)的緩沖區溢出。以及利用應用軟件的漏洞進行植入。
利用交互腳本植入:如通過Script、ActiveX及XML、ASP、CGI交互腳本植入。還有就是靠電子郵件植入和通過QQ或者MSN發送超鏈接。
2、安裝階段行為特征
木馬被控制端程序在安裝階段存在顯著的區別于一般合法程序的行為特征。表現出的具體行為特征如下:1)自動壓縮或者解壓縮文件。2)文件增大3)隱藏偽裝安裝木馬控制端過程中產生的部分文件。4)將文件屬性設置為系統隱蔽、只讀。5)將文件圖標更換進行偽裝,冒充系統文件或者圖片、文本等其他非可執行的文件。6)將文件的名字進行偽裝,冒充系統文件或常用的應用程序文件名。7) 將文件自我刪除等等。
3、網絡通信階段的行為特征分析
木馬被控制端與控制端通常需要建立通信通道進行信息交流,在網絡通信階段,其行為特征表現如下:
利用1024以上的高端口進行網絡通信。
利用端口復用技術或端口寄生技術進行網絡通信。
利用 反向連接技術進行網絡通信。主要利用防火墻的漏洞、反彈端口、創建套接字連接客戶端。
利用潛伏技術,使用ICMP協議進行網絡通信。
利用電子郵件、IRC及ICQ等方式與控制端進行網絡通信。
通過發送UDP以及FTP的方式進行網絡通信。
在網絡通信過程中,產生異常的通信流量變化。
利用“HTTP隧道技術”。將所要傳送的數據全部封裝到HTTP協議里進行傳送,訪問局域網里通過HTTP、SOCK S4/5代理上網的電腦,實現穿墻。
建立隱蔽通道。
利用Option域和傳輸數據時通常很少用到的域。
利用傳輸數據時必須強制填充的域。
木馬被控制端處于監聽狀態,等待其他進程通信。
利用數據緩沖區暫存待發送的數據。
利用進程通信發許多SYN包。
4、植入冰河木馬
1)在網上下載冰河木馬程序,可能會被攔截刪除,自己主動添加信任就好。最好關閉防火墻,要不然容易掃描不到主機。
2)VM虛擬機安全策略配置(被控制機器)
賬戶:使用空白密碼的本地賬戶只允許進行控制臺登陸”設置為禁用
本地賬戶的共享和安全模式調整為經典模式
3)上傳冰河木馬服務端(控制機向被控制機可以通過ipc管道漏洞進行傳輸)
(1)進行主機掃描
(2)利用net命令使用登陸目標主機
(3)查看目標主機當前時間
(4)設定觸發事件
(5)在目標主機查看觸發時間
(6)查看前后注冊表的變化
(7)再次掃描可以看到已經可以控制目標機
(8)操控目標主機
5、總結
本實驗通過利用Windows的IPC$漏洞,向目標主機中植入冰河木馬,從而實現對目標主機的控制,能夠進一步了解木馬植入的原理與方法。
?
?
總結
以上是生活随笔為你收集整理的实验二木马分析(控制分析)实验和实验三冰河木马实验的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: Mac如何连接远程服务器
- 下一篇: GPS串口数据格式