2017-2018-1 20155332 20155213 實驗四 木馬及遠程控制技術

實驗目的

• 剖析網頁木馬的工作原理
• 理解木馬的植入過程
• 學會編寫簡單的網頁木馬腳本

• 通過分析監控信息實現手動刪除木馬

  實驗內容

• 木馬生成與植入
• 利用木馬實現遠程控制

• 木馬的刪除

  實驗人數

• 每組2人

  實驗環境

• 系統環境
• Windows Server 2003虛擬機
• 網絡環境

• 交換網絡結構

  實驗工具

• 網絡協議分析器

• 灰鴿子
  監控器

  實驗類型

• 設計性實驗

  實驗原理

一、網頁木馬原理及相關定義

   瀏覽器是用來解釋和顯示萬維網文檔的程序，已經成為用戶上網時必不可少的工具之一。“網頁木馬”由其植入方式而得名，是通過瀏覽網頁的方式植入到被控主機上，並對被控主機進行控制的木馬。與其它網頁不同，木馬網頁是黑客精心制作的，用戶一旦訪問了該網頁就會中木馬。為什麽說是黑客精心制作的呢？因為嵌入在這個網頁中的腳本恰如其分地利用了IE瀏覽器的漏洞，讓IE在後臺自動下載黑客放置在網絡上的木馬並運行（安裝）這個木馬，也就是說，這個網頁能下載木馬到本地並運行（安裝）下載到本地電腦上的木馬，整個過程都在後臺運行，用戶一旦打開這個網頁，下載過程和運行（安裝）過程就自動開始。

   如果打開一個網頁，IE瀏覽器真的能自動下載程序和運行程序嗎？如果IE真的能肆無忌憚地任意下載和運行程序，那麽用戶將會面臨巨大的威脅。實際上，為   了安全，IE瀏覽器是禁止自動下載程序特別是運行程序的，但是，IE瀏覽器存在 著一些已知和未知的漏洞，網頁木馬就是利用這些漏洞獲得權限來下載程序和運 行程序的。本練習中，我們利用微軟的MS06014漏洞，完成網頁木馬的植入。
 

二、名詞解釋

• MS06014漏洞
  MS06014漏洞存在於Microsoft Data Access Components，利用微軟的HTML Object標簽的一個漏洞，Object標簽主要是用來把ActiveX控件插入到HTML頁面裏。由於加載程序沒有根據描述遠程Object數據位置的參數檢查加載文件的性質，因此Web頁面裏面的程序就會不經過用戶的確認而自動執行。

• iframe標簽

  iframe也叫浮動幀標簽，它可以把一個HTML網頁嵌入到另一個網頁裏實現“畫中畫”的效果。例如：
  被嵌入的網頁可以控制寬、高以及邊框大小和是否出現滾動條等。如果把寬（width）、高（height）、邊框（frameborder）都設置為0，代碼插入到首頁後，首頁不會發生變化，但是嵌入的網頁實際上已經打開。

• 反彈端口型木馬
  分析防火墻的特性後可以發現，防火墻對於連入的鏈接往往會進行非常嚴格的過濾，但是對於連出的鏈接卻疏於防範。於是，與一般的木馬相反，反彈端口型木馬的服務端（被控制端）使用主動端口，客戶端（控制端）使用被動端口。木馬定時監測控制端的存在，發現控制端上線後立即彈出端口主動連接控制端打開的被動端口。服務端通常會把打開的端口偽裝成應用軟件的端口，從而進一步降低被防火墻發現的概率。

• 網頁木馬生成腳本
  通常網頁木馬是通過“網馬生成器”將木馬安裝程序的下載地址附加在網頁上的，進而達到用戶瀏覽含有木馬的網頁即自動下載安裝程序的目的。下面給出一個“網馬生成器”腳本，其中“//”後面的文字是對代碼的註釋。實驗中需改動此腳本，自己動手生成網頁木馬。
  三、木馬的工作過程

  木馬的工作過程可分為四部分：木馬的植入、木馬的安裝、木馬的運行和木馬的自啟動。

• 木馬的植入
  網頁木馬就是一個由黑客精心制作的含有木馬的HTML網頁，因為MS06014漏洞存在，當用戶瀏覽這個網頁時就被在後臺自動安裝了木馬的安裝程序。所以黑客會千方百計的誘惑或者欺騙人們去打開他所制作的網頁，進而達到植入木馬的目的。不過隨著人們網絡安全意識的提高，這種方法已經很難欺騙大家了。

  還有一種方法就是通過iframe標簽，在一個正常網站的主頁上鏈接網頁木馬。瀏覽者在瀏覽正常的網站主頁時，iframe語句就會鏈接到含有木馬的網頁，網頁木馬就被悄悄植入了。這種方法就是大家經常說的“掛馬”，而中了木馬的主機通常被幽默的稱作“肉雞”。“掛馬”因為需要獲取網站管理員的權限，所以難度很大。不過他的危害也是十分巨大的，如果黑客獲得了一個每天流量上萬的知名網站的管理員權限並成功“掛馬”，那試想他會有多少“肉雞”。

• 木馬的安裝
  木馬的安裝在木馬植入後就被立即執行。（本練習以灰鴿子木馬程序為例）當網頁木馬植入後，木馬會按照通過網頁木馬腳本中指向的路徑下載木馬服務端安裝程序，並根據腳本中的設定對安裝程序進行重命名。通常會重新命名一個與系統進程相近的名字（本實驗中為winlogin.exe）來迷惑管理員，使安裝過程及其留下的痕跡不通過細心查看不易被發覺。安裝程序下載完成後，自動進行安裝。生成可執行文件C:\Windows\hack.com.cn.ini，並修改註冊表生成名為windows XP Vista的系統服務。其中hack.com.cn.ini就是木馬服務器程序隱藏在背後的主謀。

• 木馬的運行
  灰鴿子木馬服務器安裝完成後就會立刻連接網絡尋找其客戶端，並與其建立連接。這時木馬程序會將自己的進程命名為IEXPLORE.EXE，此進程與Windows的IE瀏覽器進程同名，同樣是為了迷惑管理員來偽裝自己。當木馬服務端與客戶端建立連接後，客戶端就如同擁有了管理員權限一樣，可隨意對“肉雞”進行任何操作。

• 木馬的自啟動
  木馬安裝時生成系統服務Windows XP Vista。Windows XP Vista的可執行文件路徑：C:\WINDOWS\Hacker.com.cn.ini。描述：“灰鴿子服務端程序，遠程監控管理。”啟動類型：“自動。”很明顯可以看出灰鴿子是通過此系統服務執行hack.com.cn.ini文件來自啟動木馬服務器。存在於系統目錄下的Hack.com.cn.ini文件被設置成一個隱藏的受保護的操作系統文件，很難被人發現。

四、灰鴿子木馬的功能

• 灰鴿子歷程

• 比起前輩冰河、黑洞來，灰鴿子可以說是國內後門的集大成者。其豐富而強大的功能、簡易便捷的操作、良好的隱藏性使其他木馬程序都相形見絀。灰鴿子客戶端和服務端都是采用Delphi編寫。利用客戶端程序配置出服務端程序，可配置的信息主要包括上線類型（如等待連接還是主動連接）、主動連接時使用的公網IP（域名）、連接密碼、使用的端口、啟動項名稱、服務名稱，進程隱藏方式，使用的殼，代理，圖標等等。

• 灰鴿子木馬的基本功能
• 反向連接：由木馬的“服務器程序”主動發起連接，這種連接方式也稱為“反彈木馬”，- - 它的優點是可以突破NAT和防火墻。
• 文件管理：可以操作（查看、新建、刪除等）被控主機的文件系統及上傳下載文件。
• 註冊表管理：可以操作（查看、新建、刪除等）被控主機的註冊表項。
• 系統信息查看：可以查看被監控主機的系統配置信息等。
• 剪貼板查看：可以查看被監控主機的剪貼板內容。
• 進程管理：可以查看被監控主機的進程表或殺死某個進程。
• 服務管理：可以啟動、停止被監控主機的服務程序。
• 共享管理：可以新建、刪除被監控主機的共享。
• Telnet：可以遠程控制被監控主機的命令行。
• 配置代理服務器：可以利用被控制主機為跳板，對第三方進行攻擊。
• 插件功能：可以捆綁第三方軟件。
• 命令廣播：控制端可以把控制命令一次性廣播到若幹臺計算機。
• 捕獲屏幕：可以查看被監控主機的屏幕圖像。

• 視頻語音：可以進行視頻監控和語音監聽。

實驗步驟

   本練習主機A、B為一組，C、D為一組，E、F為一組。實驗角色說明如下：

下面以主機A、B為例，說明實驗步驟。

一．木馬生成與植入

二．木馬的功能

1．文件管理

2．系統信息查看
3．進程查看
4．註冊表管理


5．Telnet
6．其它命令及控制

抓包分析

三．木馬的刪除

1．自動刪除
2．手動刪除

思考題

1．列舉出幾種不同的木馬植入方法。
2．列舉出幾種不同的木馬防範方法。

答：
1、通過網頁的植入，比如通過iframe標簽或者把木馬連接到圖片中。
2、木馬可以通過程序的下載進行植入。
3、人工植入，通過U盤等直接烤入電腦。
4、通過破解防火墻，指定IP進行攻擊的植入。

答：

• 不到不受信任的網站上下載軟件運行
• 不隨便點擊來歷不明郵件所帶的附件
• 及時安裝相應的系統補丁程序
• 為系統所有的用戶設置合理的用戶口令
  -提高防範意識，不要打開陌生人傳來的可疑郵件和附件。確認來信的源地址是否合法。
  -如果網速變慢，往往是因為入侵者使用的木馬搶占帶寬。雙擊任務欄右下角連接圖標，仔細觀察發送“已發送字節”項，如果數字比較大，可以確認有人在下在你的硬盤文件，除非你正使用FTP等協議進行文件傳輸。
• 察看本機的連接，在本機上通過netstat-an（或第三方程序）查看所有的TCP/UDP連接，當有些IP地址的連接使用不常見的端口與主機通信時，這個連接九需要進一步分析。
• 木馬可以通過註冊表啟動，所以通過檢查註冊表來發現木馬在註冊表裏留下的痕跡。
  -使用殺毒軟件和防火墻。

2017-2018-1 20155332 20155213 實驗四 木馬及遠程控制技術