2017-2018-1 20155332 20155213 实验四 木马及远程控制技术

实验目的

• 剖析网页木马的工作原理
• 理解木马的植入过程
• 学会编写简单的网页木马脚本

• 通过分析监控信息实现手动删除木马

  实验内容

• 木马生成与植入
• 利用木马实现远程控制

• 木马的删除

  实验人数

• 每组2人

  实验环境

• 系统环境
• Windows Server 2003虚拟机
• 网络环境

• 交换网络结构

  实验工具

• 网络协议分析器

• 灰鸽子
  监控器

  实验类型

• 设计性实验

  实验原理

一、网页木马原理及相关定义

   浏览器是用来解释和显示万维网文档的程序，已经成为用户上网时必不可少的工具之一。“网页木马”由其植入方式而得名，是通过浏览网页的方式植入到被控主机上，并对被控主机进行控制的木马。与其它网页不同，木马网页是黑客精心制作的，用户一旦访问了该网页就会中木马。为什么说是黑客精心制作的呢？因为嵌入在这个网页中的脚本恰如其分地利用了IE浏览器的漏洞，让IE在后台自动下载黑客放置在网络上的木马并运行（安装）这个木马，也就是说，这个网页能下载木马到本地并运行（安装）下载到本地电脑上的木马，整个过程都在后台运行，用户一旦打开这个网页，下载过程和运行（安装）过程就自动开始。

   如果打开一个网页，IE浏览器真的能自动下载程序和运行程序吗？如果IE真的能肆无忌惮地任意下载和运行程序，那么用户将会面临巨大的威胁。实际上，为   了安全，IE浏览器是禁止自动下载程序特别是运行程序的，但是，IE浏览器存在 着一些已知和未知的漏洞，网页木马就是利用这些漏洞获得权限来下载程序和运 行程序的。本练习中，我们利用微软的MS06014漏洞，完成网页木马的植入。

二、名词解释

• MS06014漏洞
  MS06014漏洞存在于Microsoft Data Access Components，利用微软的HTML Object标签的一个漏洞，Object标签主要是用来把ActiveX控件插入到HTML页面里。由于加载程序没有根据描述远程Object数据位置的参数检查加载文件的性质，因此Web页面里面的程序就会不经过用户的确认而自动执行。

• iframe标签

  iframe也叫浮动帧标签，它可以把一个HTML网页嵌入到另一个网页里实现“画中画”的效果。例如：
  被嵌入的网页可以控制宽、高以及边框大小和是否出现滚动条等。如果把宽（width）、高（height）、边框（frameborder）都设置为0，代码插入到首页后，首页不会发生变化，但是嵌入的网页实际上已经打开。

• 反弹端口型木马
  分析防火墙的特性后可以发现，防火墙对于连入的链接往往会进行非常严格的过滤，但是对于连出的链接却疏于防范。于是，与一般的木马相反，反弹端口型木马的服务端（被控制端）使用主动端口，客户端（控制端）使用被动端口。木马定时监测控制端的存在，发现控制端上线后立即弹出端口主动连接控制端打开的被动端口。服务端通常会把打开的端口伪装成应用软件的端口，从而进一步降低被防火墙发现的概率。

• 网页木马生成脚本
  通常网页木马是通过“网马生成器”将木马安装程序的下载地址附加在网页上的，进而达到用户浏览含有木马的网页即自动下载安装程序的目的。下面给出一个“网马生成器”脚本，其中“//”后面的文字是对代码的注释。实验中需改动此脚本，自己动手生成网页木马。
  三、木马的工作过程

  木马的工作过程可分为四部分：木马的植入、木马的安装、木马的运行和木马的自启动。

• 木马的植入
  网页木马就是一个由黑客精心制作的含有木马的HTML网页，因为MS06014漏洞存在，当用户浏览这个网页时就被在后台自动安装了木马的安装程序。所以黑客会千方百计的诱惑或者欺骗人们去打开他所制作的网页，进而达到植入木马的目的。不过随着人们网络安全意识的提高，这种方法已经很难欺骗大家了。

  还有一种方法就是通过iframe标签，在一个正常网站的主页上链接网页木马。浏览者在浏览正常的网站主页时，iframe语句就会链接到含有木马的网页，网页木马就被悄悄植入了。这种方法就是大家经常说的“挂马”，而中了木马的主机通常被幽默的称作“肉鸡”。“挂马”因为需要获取网站管理员的权限，所以难度很大。不过他的危害也是十分巨大的，如果黑客获得了一个每天流量上万的知名网站的管理员权限并成功“挂马”，那试想他会有多少“肉鸡”。

• 木马的安装
  木马的安装在木马植入后就被立即执行。（本练习以灰鸽子木马程序为例）当网页木马植入后，木马会按照通过网页木马脚本中指向的路径下载木马服务端安装程序，并根据脚本中的设定对安装程序进行重命名。通常会重新命名一个与系统进程相近的名字（本实验中为winlogin.exe）来迷惑管理员，使安装过程及其留下的痕迹不通过细心查看不易被发觉。安装程序下载完成后，自动进行安装。生成可执行文件C:\Windows\hack.com.cn.ini，并修改注册表生成名为windows XP Vista的系统服务。其中hack.com.cn.ini就是木马服务器程序隐藏在背后的主谋。

• 木马的运行
  灰鸽子木马服务器安装完成后就会立刻连接网络寻找其客户端，并与其建立连接。这时木马程序会将自己的进程命名为IEXPLORE.EXE，此进程与Windows的IE浏览器进程同名，同样是为了迷惑管理员来伪装自己。当木马服务端与客户端建立连接后，客户端就如同拥有了管理员权限一样，可随意对“肉鸡”进行任何操作。

• 木马的自启动
  木马安装时生成系统服务Windows XP Vista。Windows XP Vista的可执行文件路径：C:\WINDOWS\Hacker.com.cn.ini。描述：“灰鸽子服务端程序，远程监控管理。”启动类型：“自动。”很明显可以看出灰鸽子是通过此系统服务执行hack.com.cn.ini文件来自启动木马服务器。存在于系统目录下的Hack.com.cn.ini文件被设置成一个隐藏的受保护的操作系统文件，很难被人发现。

四、灰鸽子木马的功能

• 灰鸽子历程

• 比起前辈冰河、黑洞来，灰鸽子可以说是国内后门的集大成者。其丰富而强大的功能、简易便捷的操作、良好的隐藏性使其他木马程序都相形见绌。灰鸽子客户端和服务端都是采用Delphi编写。利用客户端程序配置出服务端程序，可配置的信息主要包括上线类型（如等待连接还是主动连接）、主动连接时使用的公网IP（域名）、连接密码、使用的端口、启动项名称、服务名称，进程隐藏方式，使用的壳，代理，图标等等。

• 灰鸽子木马的基本功能
• 反向连接：由木马的“服务器程序”主动发起连接，这种连接方式也称为“反弹木马”，- - 它的优点是可以突破NAT和防火墙。
• 文件管理：可以操作（查看、新建、删除等）被控主机的文件系统及上传下载文件。
• 注册表管理：可以操作（查看、新建、删除等）被控主机的注册表项。
• 系统信息查看：可以查看被监控主机的系统配置信息等。
• 剪贴板查看：可以查看被监控主机的剪贴板内容。
• 进程管理：可以查看被监控主机的进程表或杀死某个进程。
• 服务管理：可以启动、停止被监控主机的服务程序。
• 共享管理：可以新建、删除被监控主机的共享。
• Telnet：可以远程控制被监控主机的命令行。
• 配置代理服务器：可以利用被控制主机为跳板，对第三方进行攻击。
• 插件功能：可以捆绑第三方软件。
• 命令广播：控制端可以把控制命令一次性广播到若干台计算机。
• 捕获屏幕：可以查看被监控主机的屏幕图像。

• 视频语音：可以进行视频监控和语音监听。

实验步骤

   本练习主机A、B为一组，C、D为一组，E、F为一组。实验角色说明如下：

下面以主机A、B为例，说明实验步骤。

一．木马生成与植入

二．木马的功能

1．文件管理

2．系统信息查看
3．进程查看
4．注册表管理


5．Telnet
6．其它命令及控制

抓包分析

三．木马的删除

1．自动删除
2．手动删除

思考题

1．列举出几种不同的木马植入方法。
2．列举出几种不同的木马防范方法。

答：
1、通过网页的植入，比如通过iframe标签或者把木马连接到图片中。
2、木马可以通过程序的下载进行植入。
3、人工植入，通过U盘等直接烤入电脑。
4、通过破解防火墙，指定IP进行攻击的植入。

答：

• 不到不受信任的网站上下载软件运行
• 不随便点击来历不明邮件所带的附件
• 及时安装相应的系统补丁程序
• 为系统所有的用户设置合理的用户口令
  -提高防范意识，不要打开陌生人传来的可疑邮件和附件。确认来信的源地址是否合法。
  -如果网速变慢，往往是因为入侵者使用的木马抢占带宽。双击任务栏右下角连接图标，仔细观察发送“已发送字节”项，如果数字比较大，可以确认有人在下在你的硬盘文件，除非你正使用FTP等协议进行文件传输。
• 察看本机的连接，在本机上通过netstat-an（或第三方程序）查看所有的TCP/UDP连接，当有些IP地址的连接使用不常见的端口与主机通信时，这个连接九需要进一步分析。
• 木马可以通过注册表启动，所以通过检查注册表来发现木马在注册表里留下的痕迹。
  -使用杀毒软件和防火墙。