网络攻防技术七:计算机木马
一、恶意代码
恶意代码(恶意软件)(病毒):在
不为人知的情况下侵入用户计算机系统,破坏系统、网络、信息的保密性、完整性和可用性的程序或代码。主要包括计算机病毒、蠕虫、木马程序、后门程序、逻辑炸弹、间谍软件恶意脚本代码等,它可以递归地、明确地复制自己或其演化体。最突出的特性:传染性(自我复制)。
特点:
传染性、潜伏性、可触发性、寄生性、非授权执行性、破坏性
结构:
引导模块(正常运行,获得系统控制权)、搜索模块(发现定位病毒的感染对象)、感染模块(实现自我繁殖,感染文件)、表现模块(触发启动病毒的条件)、标识模块(非都含,标识被感染文件作用)
0、病毒
定义:计算机病毒是一种计算机程序,它通过修改其他程序把自己的
一个副本或演化的副本插入到其他程序中实施感染。
1、蠕虫
概念:
独立运行通过网络传播的恶意代码,不需要宿主文件,有的甚至只存在内存中,传播速度快,规模大,漏洞依赖性(需要通过网络系统漏洞传播)。
结构:
搜索模块(自动运行,寻找满足感染条件的计算机)、攻击模块(取得主机权限)、传输模块(计算机间的蠕虫程序复制)、负载模块(实施信息搜索、现场清理、攻击破坏),控制模块(调整蠕虫行为,控制受害主机)。
影响蠕虫传播速度的因素3点:有多少潜在的脆弱目标可以利用,潜在的存在漏洞的主机被发现的速度(主要因素)、对目标感染的速度有多快。
案例:WannaCry蠕虫MS17-010漏洞
445端口勒索病毒。
2、特洛伊木马
作用:绕过系统的安全防护手段,获得计算机的控制权。
类别:
密码窃取型木马、投放器型木马(安装恶意程序,预先设定,不再更新)、下载型木马(与前者相同,后者更新)、监视型木马(跟踪用户行为)、代理型木马(受害者被作为代理服务器)、点击型木马(HTTP访问引导)、远程控制型木马(远控)
二、木马工作原理
CS架构
远控木马要经历6个步骤:
配置木马、传播木马、传播木马、信息反馈、建立连接、远程控制。
1、配置木马
需要配置
IP地址找到感染木马主机,设置信息反馈方式,如邮件通知,核心是配置端口,通过端口和受感染的主机建立连接。
2、传播木马
主动植入:本地安装、远程安装
被动植入:网页浏览器植入、通过电子邮件植入、软件下载植入、即时通信工具植入、利用文档捆绑植入、利用移动设备传播、水坑攻击。
3、运行木马
开机启动:启动文件夹、注册表配置Run和Runonce,注册系统服务,定时计划任务。
触发启动:修改文件关联、替换系统动态链接库DLL
4、信息反馈
电子邮件、反向连接(受感染的是服务端,黑客是客户端,服务的主动请求访问客户端)
5、建立连接
一类是服务端进行监听,黑客客户端去主动连接,另一类是
反向连接技术,服务端是主动连接,黑客是客户端去监听。
6、远程控制
三、木马隐藏技术
1、植入时隐藏
网站挂马(JavaScript)
2、存储时隐藏
隐藏已知文件扩展名、文件设置隐藏属性-H、特定规则实现隐藏(使用回收站的扩展名)、NTF文件系统数据流机制
3、运行时隐藏
进程隐藏技术:同名进程、HOOK技术进程列表欺骗、DLL调用、远程线程注入。
通信隐藏技术:利用TCP/IP协议族中TCP及UDP以外的其他协议进行通信(ICMP常被木马用来潜伏)、端口复用技术(多进程一端口)、中间人(发送数据到公网邮箱)
四、恶意代码检测与防范
主要思想:基于采集到的与代码有关的信息来判断该代码是否具有恶意行为。
静态检测技术:
特征码检测(基于签名的恶意代码检测)
动态检测技术:沙箱运行检测文件行为,进程行为,网络行为,注册表行为等(恶意代码动态分析技术)
机器学习
五、简答题
1. 请简述计算机木马与计算机病毒之间存在的相同点和不同点。
答:最主要区别在于是否能自我复制,木马不能,而病毒能。相同点都是恶意的计算机
代码。
2. 远程控制型木马与远程控制软件之间存在什么区别?
答:首先,访问是否经过了授权,远程控制软件一般需要访问者输入在被访问主机上的
账号和密码等信息,只有通过身份验证的用户才能进入系统,根据账户的权限进行操作,这
种访问是在身份认证基础上进行的合法授权访问。而利用远程控制型木马对远程主机的访问
是非授权的,木马程序在远程主机上的运行使得黑客能够在远程主机上进行文件查看、服务
管理、注册表修改等各种操作。其次,访问是否具有隐蔽性。通过远程控制软件对主机进行
远程访问时,被访问主机的任务栏或者系统托盘等区域通常会有明显的图标标识,表明有用
户正在进行远程访问。如果计算机旁有用户在操作计算机,用户能够实时了解到发生了远程
访问事件。而对于远程控制型木马,必须考虑到一旦计算机用户发现自己的主机感染木马,
会采用各种手段进行清除,黑客很可能丧失对主机的控制,所以隐蔽性对于远程控制型木马
而言非常重要。
3. 简述黑客利用远程控制型木马进行网络入侵的六个步骤。
答:配置木马、传播木马、运行木马、信息反馈、建立连接和远程控制。
4. 远程控制型木马采用反向连接技术有何优点?
答:木马采用反向连接技术除了可以解决内网 IP 地址和动态 IP 地址所带来的连接问题
之外,还有一个很重要的优点是可以绕过防火墙的限制。
5. 木马在存储时可以采用哪些技术增强其隐蔽性?
答:隐藏已知文件类型的扩展名;利用文件的“隐藏”属性进行隐藏;木马可以利用系
统中的一些特定文件夹(如回收站、控制面板等)实现自身的隐藏。
6. 简述木马可以采用哪些手段实现进程的隐藏?
答:1)进程列表欺骗(在任务栏中隐藏或在任务管理器中隐藏);
2)不使用进程,包括:
a. Rundll32 xxx.dll 方式;
b. 特洛伊 DLL;
c. 动态嵌入技术,包括:窗口 Hook;挂接 API;远程线程注入。
7. 简述普通计算机用户如何防范主机感染木马程序。
答:安装杀毒软件,提高安全防范意识。
8. 如何将木马传播到目标主机中?
答:1)攻击植入;
2)伪装和欺骗植入:梱绑,邮件附件,聊天工具,木马网页;
3)自动传播植入:邮件列表,共享磁盘,共享空间(聊天室,P2P 等)。
9. 在某攻防项目中需要设计一个运行于 Windows 系统的木马,有哪些方法将木马植入攻击目标?木马有哪些技术可以用来隐藏自己。(综合题)
答:主要生存方法有:进程隐藏和通信隐藏。
木马的进程隐藏技术有以下几种:
1)进程列表欺骗(在任务栏中隐藏或在任务管理器中隐藏);
2)不使用进程,包括:
a. Rundll32 xxx.dll 方式;
b. 特洛伊 DLL;
c. 动态嵌入技术,包括:窗口 Hook;挂接 API;远程线程注入。
木马的通信隐藏技术:
1)使用 ICMP 协议进行通信;
2)端口复用。
向目标植入开发的木马的技术有:
1)攻击植入;
2)伪装和欺骗植入:梱绑,邮件附件,聊天工具,木马网页;
3)自动传播植入:邮件列表,共享磁盘,共享空间(聊天室,P2P 等)。