chapter2 黑客常用的系统攻击方法_木马
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
➢ 此类木马种类数量虽然比不上网游木马,但它的危害 更加直接,受害用户的损失更加惨重。
➢ 网银木马通常针对性较强,木马作者可能首先对某银 行的网上交易系统进行仔细分析,然后针对安全薄弱 环节编写病毒程序。
木马的种类
▪ 网银木马
➢ 如2004年的“网银大盗”病毒,在用户进入工行网银 登录页面时,会自动把页面换成安全性能较差、但依 然能够运转的老版页面,然后记录用户在此页面上填 写的卡号和密码;“网银大盗3”利用招行网银专业版 的备份安全证书功能,可以盗取安全证书;2005年的 “新网银大盗”,采用API Hook等技术干扰网银登录 安全控件的运行。
▪ 这台机器的7626端口已经开放,而且正在监听等待连接, 像这样的情况极有可能是已经感染了木马。这时就需要先 断开网络,然后立即用杀毒软件查杀
Netstat命令用法
▪ Netstat用于显示与IP、TCP、UDP和ICMP协议 相关的统计数据,一用于检验本机各端口的网 络连接情况。
▪ netstat -s——本选项能够按照各个协议分别显 示其统计数据。如果你的应用程序(如Web浏 览器)运行速度比较慢,或者不能显示Web页 之类的数据,那么你就可以 用本选项来查看一 下所显示的信息。你需要仔细查看统计数据的 各行,找到出错的关键字,进而确定问题所在。
目前发现的反弹端口型木马有网络神偷和灰鸽子两种
▪ C:>netstat -an Active Connections Proto Local Address Foreign Address State TCP 0.0.0.0:80 0.0.0.0:0 LISTENING TCP 0.0.0.0:21 0.0.0.0:0 LISTENING TCP 0.0.0.0:7626 0.0.0.0:0 LISTENING UDP 0.0.0.0:445 0.0.0.0:0 UDP 0.0.0.0:1046 0.0.0.0:0 UDP 0.0.0.0:1047 0.0.0.0:0
木马的种类
▪ 代理类木马
➢ 用户感染代理类木马后,会在本机开启HTTP、 SOCKS等代理服务功能。黑客把受感染计算 机作为跳板,以被感染用户的身份进行黑客活 动,达到隐藏自己的目的。
木马实施攻击的步骤
1. 配置木马
木马伪装:
采用各种手段隐藏自己
信息反馈:
对信息反馈的方式或地址进行设置
2. 传播木马
反弹端口型木马的工作原理
服务端: Horse_Server. RemoteHost = RemotelP(设远端地址为从 指定FTP服务器取得的客户端IP地址) Horse_Server. RemotePort = RemotePort (设远程端口为 客户端程序起动的特定端口,如:80、21等) Horse_Server. Connect (连接客户端计算机)
据最新一份市场调查报告,在8月到9月份中,全球范 围恶意软件的数量增长了15%。
▪ 该调查报告出自Panda安全公司,据悉全 球范围平均被恶意广告攻击过的电脑比率 达到了59%,创历史最高点。在所有29个 国家和地区中,美国排名第九,比率为 58%。与此同时,台湾排名第一,感染率 为69%,与此同时挪威只有39%,位列最 后。数据表明,美国恶意软件中,木马和 恶意广告为最主要的两个类型。
什么是木马(Trojan)
▪ 木马(Trojan)这个 名字来源于古希腊传 说(荷马史诗中木马计 的故事,Trojan一词的 本意是特洛伊的,即代 指特洛伊木马,也就是 木马计的故事)。
什么是木马(Trojan)
➢它是指通过一段特定的 程序(木马程序)来控制 另一台计算机。木马通常 有两个可执行程序:一个 是客户端,即控制端,另 一个是服务端,即被控制 端。植入被种者电脑的是 “服务器”部分,而所谓 的“黑客”正是利用“控 制器”进入运行了“服务 器”的电脑。
木马的种类
▪ 即时通讯软件木马 ▪ 发送消息型。
➢ 通过即时通讯软件自动发送含有恶意网址的消 息。此类病毒常用技术是搜索聊天窗口,进而 控制该窗口自动发送文本内容。
➢ 发送消息型木马常常充当网游木马的广告,如 “武汉男生2005”木马,可以通过MSN、QQ、 UC等多种聊天软件发送带毒网址,其主要功 能是盗取传奇游戏的帐号和密码。
反弹端口型木马的工作原理 一般木马服务端运行后,会用邮件、ICQ 等方式 发出信息通知入侵者,同时在本机打开一个网络端口 监听客户端的连接(时刻等待着客户端的连接) 。。
目前,由于大部分防火墙对于连入的连接往往 会进行非常严格的过滤,能对非法端口的IP包进行有 效的过滤,非法连接被拦在墙外,客户端主动连接的 木马,现已很难穿过防火墙。
參考:中国互联网网络安全报告 P12
木马与病毒、远程控制的区别
▪ 病毒程序是以自发性的败坏为目的 ▪ 木马程序是依照黑客的命令来运作,主要
目的是偷取文件、机密数据、个人隐私等 行为。 ▪ 木马工作原理和一般的远程控制软件相似,
区别在于其隐蔽、危害性、非授权性。
木马的工作原理
▪ 实际就是一个C/S模式的程序(里应外合)
一般木马的工作过程 ▪ 其过程可用 VB 实现如下:(Horse_Server 和Horse_Client 均
为 Winsock控件) : 服务端: Horse_Server. LocalPort = 31339 (打开一个特定的网络端口) Horse_Server.Listen(监听客户端的连接) 客户端 Horse_Client . RemoteHost = RemotelP (设远端地址为服务器 端IP地址) Horse_Client . RemotePort = 31339(设远程端口为服务端程序 起动的特定端口) Horsec_Client . Connect (连接服务端计算机) 一旦服务端接到客户端的连接请求 ConnectionRequest ,就接 受连接。 客户机端用 Horse_Client . SendData 发送命令 ,而服务器在 Horse_Server_DataArrive事件中接受并执行命令(如:修改注册 表、删除文件等) 。 如果客户断开连接 ,则服务端连接并重新监听端口:
➢ 窃取到的信息一般通过发送电子邮件或向远程 脚本程序提交的方式发送给木马作者。
➢ 网络游戏木马的种类和数量,在国产木马病毒 中都首屈一指。大量的木马生成器和黑客网站 的公开销售也是网游木马泛滥的原因之一。
木马的种类
▪ 网银木马
➢ 网银木马是针对网上交易系统编写的木马病毒,其目 的是盗取用户的卡号、密码,甚至安全证书。
查杀方法
(1)关掉所有的网络连接程序(如:IE浏览器、FTP服 务等) ,转入命令行状态用netstat -a命令, netstat命令的功能是显示网络连接、路由表和网络 接口信息,可以让用户得知目前都有哪些网络连接正 在运行。 (2)用网络监视软件,如:sniffer、IParmor 等查一 下自己怀疑的端口是否被侦听。如在(1)中发现类似 TCP local address :1026 foreign address : HTTP ESTABLISHED(或者是类似TCP local address : 1045 foreign address:FTPESTABLISHED)的情况或 在(2)中发现怀疑的端口被侦听,有可能中了此类木 马。
与一般的软件相反,反弹端口型木马是把客户 端的信息存于有固定IP的第三方FTP服务器上,服务 端从 FTP 服务器上取得信息后计算出客户端的IP和 端口,然后主动连接客户端。另外,网络神偷的服务 端与客户端在进行通信 ,是用合法端口,把数据包 含在像HTTP或FTP的报文中,这就是黑客们所谓的 “隧道”技术。
通过emial附件的形式 通过软件下载的形式
木马实施攻击的步骤
3. 启动木马 被动地等待木马或者是捆绑木马的 程序被执行 自动拷贝到windows系统文件下中, 并修改系统注册表启动项
4. 建立连接 服务器端安装了木马 双方均在线
5. 远程控制 最终的目的
课堂演练一:冰河木马的使用
服务器端程序:G-server.exe 客户端程序: G-client.exe
客户端: Horse_Client . LocalPort = LocalPort (打开一个特定 的网络端口,如:80、21等)一旦客户端接到服务端的连接 请求 ConnectionRequest ,就接受连接。
▪ Horse_Client .Listen(监听客户端的连接)客户机端用 Horse_Client . SendData 发送命令,而服务器在 Horse_Server DataArrive事件中接受并执行命令。如果客 户断开连接,则服务器端关闭连接:
Netstat命令用法 ▪ netstat -e——本选项用于显示关于以太网的统计数
据。它列出的项目包括传送的数据报的总字节数、 错误数、删除数、数据报的数量和广播的数量。这 些统计数据既有发送的数据报数量,也有接收的数 据报数量。这个选项可以用来统计一些基本的网络 流量。 netstat -r——本选项可以显示关于路由表的信息, 类似于后面所讲使用route print命令时看到的信息。 除了显示有效路由外,还显示当前有效的连接。 netstat -a——本选项显示一个所有的有效连接信息 列表,包括已建立的连接(ESTABLISHED),也 包括监听连接请求(LISTENING)的那些连接。 netstat -n——显示所有已建立的有效连接。
木马文件的隐藏和伪装
(1)文件的位置 (2)文件的属性 (3)捆绑到其他文件上 (4)文件的名字 (5)文件的扩展名 (6)文件的图标
▪ 木马运行中的隐藏与伪装
➢ (1) 在任务栏里隐藏
➢ (2) 在任务管理器里隐藏
➢ (3)隐藏端口
防火墙对于连入的链接往往会进行非常严格的过滤, 但是对于连出的链接却疏于防范。反弹端口型木马的 服务端(被控制端)使用主动端口,客户端(控制端) 使用被动端口,木马定时监测控制端的存在,发现控 制端上线立即弹出端口主动连结控制端打开的主动端 口,为了隐蔽起见,控制端的被动端口一般开在80, 这样,即使用户使用端口扫描软件检查自己的端口, 稍微疏忽一点你就会以为是自己在浏览网页。
木马的种类
▪ 盗号型。 ➢ 主要目标在于即时通讯软件的登录帐号和密码。 ➢ 工作原理和网游木马类似。盗得他人帐号后,可 能偷窥聊天记录等隐私内容,或将帐号卖掉。
▪ 传播自身型。 ➢ 2005年初,“MSN性感鸡”等通过MSN传播的 蠕虫泛滥了一阵之后,MSN推出新版本,禁止 用户传送可执行文件。 ➢ 2005年上半年,“QQ龟”和“QQ爱虫”这两 个国产病毒通过QQ聊天软件发送自身进行传播, 感染用户数量极大,在江民公司统计的2005年 上半年十大病毒排行榜上分列第一和第四名。
被植入木马的PC(server程序)
操作系统 Tபைடு நூலகம்P/IP协议
端口
端口处于监听状态
控制端 端口
TCP/IP协议 操作系统
控制木马的PC(client程序)
木马的分类
1.远程访问型 2.键盘记录型 3.密码发送型 4.破坏型 5.代理型 6.FTP型
木马的种类
▪ 网络游戏木马
➢ 网络游戏木马通常采用记录用户键盘输入等方 法获取用户的密码和帐号。
木马的种类
▪ 网页点击类木马
➢ 网页点击类木马会恶意模拟用户点击广告等动作,在 短时间内可以产生数以万计的点击量。病毒作者的编 写目的一般是为了赚取高额的广告推广费用。此类病 毒的技术简单,一般只是向服务器发送HTTP GET请 求。
▪ 下载类木马
➢ 这种木马程序的体积一般很小,其功能是从网络上下 载其他病毒程序或安装广告软件。由于体积很小,下 载类木马更容易传播,传播速度也更快。通常功能强 大、体积也很大的后门类病毒,如“灰鸽子”、“黑 洞”等,传播时都单独编写一个小巧的下载型木马, 用户中毒后会把后门主程序下载到本机运行。
进行服务器配置 远程控制 如何清除?
课堂演练二:灰鸽子的使用
反弹端口类型的木马
服务器的配置 服务器的工作方式 远程控制 如何清除?
反弹端口类型的木马
▪ 普通木马
Client 攻击者
请求连接 响应请求
Server被攻击者
▪ 反弹端口类型的木马
Client 攻击者
请求连接 响应请求
Server被攻击者
➢ 网银木马通常针对性较强,木马作者可能首先对某银 行的网上交易系统进行仔细分析,然后针对安全薄弱 环节编写病毒程序。
木马的种类
▪ 网银木马
➢ 如2004年的“网银大盗”病毒,在用户进入工行网银 登录页面时,会自动把页面换成安全性能较差、但依 然能够运转的老版页面,然后记录用户在此页面上填 写的卡号和密码;“网银大盗3”利用招行网银专业版 的备份安全证书功能,可以盗取安全证书;2005年的 “新网银大盗”,采用API Hook等技术干扰网银登录 安全控件的运行。
▪ 这台机器的7626端口已经开放,而且正在监听等待连接, 像这样的情况极有可能是已经感染了木马。这时就需要先 断开网络,然后立即用杀毒软件查杀
Netstat命令用法
▪ Netstat用于显示与IP、TCP、UDP和ICMP协议 相关的统计数据,一用于检验本机各端口的网 络连接情况。
▪ netstat -s——本选项能够按照各个协议分别显 示其统计数据。如果你的应用程序(如Web浏 览器)运行速度比较慢,或者不能显示Web页 之类的数据,那么你就可以 用本选项来查看一 下所显示的信息。你需要仔细查看统计数据的 各行,找到出错的关键字,进而确定问题所在。
目前发现的反弹端口型木马有网络神偷和灰鸽子两种
▪ C:>netstat -an Active Connections Proto Local Address Foreign Address State TCP 0.0.0.0:80 0.0.0.0:0 LISTENING TCP 0.0.0.0:21 0.0.0.0:0 LISTENING TCP 0.0.0.0:7626 0.0.0.0:0 LISTENING UDP 0.0.0.0:445 0.0.0.0:0 UDP 0.0.0.0:1046 0.0.0.0:0 UDP 0.0.0.0:1047 0.0.0.0:0
木马的种类
▪ 代理类木马
➢ 用户感染代理类木马后,会在本机开启HTTP、 SOCKS等代理服务功能。黑客把受感染计算 机作为跳板,以被感染用户的身份进行黑客活 动,达到隐藏自己的目的。
木马实施攻击的步骤
1. 配置木马
木马伪装:
采用各种手段隐藏自己
信息反馈:
对信息反馈的方式或地址进行设置
2. 传播木马
反弹端口型木马的工作原理
服务端: Horse_Server. RemoteHost = RemotelP(设远端地址为从 指定FTP服务器取得的客户端IP地址) Horse_Server. RemotePort = RemotePort (设远程端口为 客户端程序起动的特定端口,如:80、21等) Horse_Server. Connect (连接客户端计算机)
据最新一份市场调查报告,在8月到9月份中,全球范 围恶意软件的数量增长了15%。
▪ 该调查报告出自Panda安全公司,据悉全 球范围平均被恶意广告攻击过的电脑比率 达到了59%,创历史最高点。在所有29个 国家和地区中,美国排名第九,比率为 58%。与此同时,台湾排名第一,感染率 为69%,与此同时挪威只有39%,位列最 后。数据表明,美国恶意软件中,木马和 恶意广告为最主要的两个类型。
什么是木马(Trojan)
▪ 木马(Trojan)这个 名字来源于古希腊传 说(荷马史诗中木马计 的故事,Trojan一词的 本意是特洛伊的,即代 指特洛伊木马,也就是 木马计的故事)。
什么是木马(Trojan)
➢它是指通过一段特定的 程序(木马程序)来控制 另一台计算机。木马通常 有两个可执行程序:一个 是客户端,即控制端,另 一个是服务端,即被控制 端。植入被种者电脑的是 “服务器”部分,而所谓 的“黑客”正是利用“控 制器”进入运行了“服务 器”的电脑。
木马的种类
▪ 即时通讯软件木马 ▪ 发送消息型。
➢ 通过即时通讯软件自动发送含有恶意网址的消 息。此类病毒常用技术是搜索聊天窗口,进而 控制该窗口自动发送文本内容。
➢ 发送消息型木马常常充当网游木马的广告,如 “武汉男生2005”木马,可以通过MSN、QQ、 UC等多种聊天软件发送带毒网址,其主要功 能是盗取传奇游戏的帐号和密码。
反弹端口型木马的工作原理 一般木马服务端运行后,会用邮件、ICQ 等方式 发出信息通知入侵者,同时在本机打开一个网络端口 监听客户端的连接(时刻等待着客户端的连接) 。。
目前,由于大部分防火墙对于连入的连接往往 会进行非常严格的过滤,能对非法端口的IP包进行有 效的过滤,非法连接被拦在墙外,客户端主动连接的 木马,现已很难穿过防火墙。
參考:中国互联网网络安全报告 P12
木马与病毒、远程控制的区别
▪ 病毒程序是以自发性的败坏为目的 ▪ 木马程序是依照黑客的命令来运作,主要
目的是偷取文件、机密数据、个人隐私等 行为。 ▪ 木马工作原理和一般的远程控制软件相似,
区别在于其隐蔽、危害性、非授权性。
木马的工作原理
▪ 实际就是一个C/S模式的程序(里应外合)
一般木马的工作过程 ▪ 其过程可用 VB 实现如下:(Horse_Server 和Horse_Client 均
为 Winsock控件) : 服务端: Horse_Server. LocalPort = 31339 (打开一个特定的网络端口) Horse_Server.Listen(监听客户端的连接) 客户端 Horse_Client . RemoteHost = RemotelP (设远端地址为服务器 端IP地址) Horse_Client . RemotePort = 31339(设远程端口为服务端程序 起动的特定端口) Horsec_Client . Connect (连接服务端计算机) 一旦服务端接到客户端的连接请求 ConnectionRequest ,就接 受连接。 客户机端用 Horse_Client . SendData 发送命令 ,而服务器在 Horse_Server_DataArrive事件中接受并执行命令(如:修改注册 表、删除文件等) 。 如果客户断开连接 ,则服务端连接并重新监听端口:
➢ 窃取到的信息一般通过发送电子邮件或向远程 脚本程序提交的方式发送给木马作者。
➢ 网络游戏木马的种类和数量,在国产木马病毒 中都首屈一指。大量的木马生成器和黑客网站 的公开销售也是网游木马泛滥的原因之一。
木马的种类
▪ 网银木马
➢ 网银木马是针对网上交易系统编写的木马病毒,其目 的是盗取用户的卡号、密码,甚至安全证书。
查杀方法
(1)关掉所有的网络连接程序(如:IE浏览器、FTP服 务等) ,转入命令行状态用netstat -a命令, netstat命令的功能是显示网络连接、路由表和网络 接口信息,可以让用户得知目前都有哪些网络连接正 在运行。 (2)用网络监视软件,如:sniffer、IParmor 等查一 下自己怀疑的端口是否被侦听。如在(1)中发现类似 TCP local address :1026 foreign address : HTTP ESTABLISHED(或者是类似TCP local address : 1045 foreign address:FTPESTABLISHED)的情况或 在(2)中发现怀疑的端口被侦听,有可能中了此类木 马。
与一般的软件相反,反弹端口型木马是把客户 端的信息存于有固定IP的第三方FTP服务器上,服务 端从 FTP 服务器上取得信息后计算出客户端的IP和 端口,然后主动连接客户端。另外,网络神偷的服务 端与客户端在进行通信 ,是用合法端口,把数据包 含在像HTTP或FTP的报文中,这就是黑客们所谓的 “隧道”技术。
通过emial附件的形式 通过软件下载的形式
木马实施攻击的步骤
3. 启动木马 被动地等待木马或者是捆绑木马的 程序被执行 自动拷贝到windows系统文件下中, 并修改系统注册表启动项
4. 建立连接 服务器端安装了木马 双方均在线
5. 远程控制 最终的目的
课堂演练一:冰河木马的使用
服务器端程序:G-server.exe 客户端程序: G-client.exe
客户端: Horse_Client . LocalPort = LocalPort (打开一个特定 的网络端口,如:80、21等)一旦客户端接到服务端的连接 请求 ConnectionRequest ,就接受连接。
▪ Horse_Client .Listen(监听客户端的连接)客户机端用 Horse_Client . SendData 发送命令,而服务器在 Horse_Server DataArrive事件中接受并执行命令。如果客 户断开连接,则服务器端关闭连接:
Netstat命令用法 ▪ netstat -e——本选项用于显示关于以太网的统计数
据。它列出的项目包括传送的数据报的总字节数、 错误数、删除数、数据报的数量和广播的数量。这 些统计数据既有发送的数据报数量,也有接收的数 据报数量。这个选项可以用来统计一些基本的网络 流量。 netstat -r——本选项可以显示关于路由表的信息, 类似于后面所讲使用route print命令时看到的信息。 除了显示有效路由外,还显示当前有效的连接。 netstat -a——本选项显示一个所有的有效连接信息 列表,包括已建立的连接(ESTABLISHED),也 包括监听连接请求(LISTENING)的那些连接。 netstat -n——显示所有已建立的有效连接。
木马文件的隐藏和伪装
(1)文件的位置 (2)文件的属性 (3)捆绑到其他文件上 (4)文件的名字 (5)文件的扩展名 (6)文件的图标
▪ 木马运行中的隐藏与伪装
➢ (1) 在任务栏里隐藏
➢ (2) 在任务管理器里隐藏
➢ (3)隐藏端口
防火墙对于连入的链接往往会进行非常严格的过滤, 但是对于连出的链接却疏于防范。反弹端口型木马的 服务端(被控制端)使用主动端口,客户端(控制端) 使用被动端口,木马定时监测控制端的存在,发现控 制端上线立即弹出端口主动连结控制端打开的主动端 口,为了隐蔽起见,控制端的被动端口一般开在80, 这样,即使用户使用端口扫描软件检查自己的端口, 稍微疏忽一点你就会以为是自己在浏览网页。
木马的种类
▪ 盗号型。 ➢ 主要目标在于即时通讯软件的登录帐号和密码。 ➢ 工作原理和网游木马类似。盗得他人帐号后,可 能偷窥聊天记录等隐私内容,或将帐号卖掉。
▪ 传播自身型。 ➢ 2005年初,“MSN性感鸡”等通过MSN传播的 蠕虫泛滥了一阵之后,MSN推出新版本,禁止 用户传送可执行文件。 ➢ 2005年上半年,“QQ龟”和“QQ爱虫”这两 个国产病毒通过QQ聊天软件发送自身进行传播, 感染用户数量极大,在江民公司统计的2005年 上半年十大病毒排行榜上分列第一和第四名。
被植入木马的PC(server程序)
操作系统 Tபைடு நூலகம்P/IP协议
端口
端口处于监听状态
控制端 端口
TCP/IP协议 操作系统
控制木马的PC(client程序)
木马的分类
1.远程访问型 2.键盘记录型 3.密码发送型 4.破坏型 5.代理型 6.FTP型
木马的种类
▪ 网络游戏木马
➢ 网络游戏木马通常采用记录用户键盘输入等方 法获取用户的密码和帐号。
木马的种类
▪ 网页点击类木马
➢ 网页点击类木马会恶意模拟用户点击广告等动作,在 短时间内可以产生数以万计的点击量。病毒作者的编 写目的一般是为了赚取高额的广告推广费用。此类病 毒的技术简单,一般只是向服务器发送HTTP GET请 求。
▪ 下载类木马
➢ 这种木马程序的体积一般很小,其功能是从网络上下 载其他病毒程序或安装广告软件。由于体积很小,下 载类木马更容易传播,传播速度也更快。通常功能强 大、体积也很大的后门类病毒,如“灰鸽子”、“黑 洞”等,传播时都单独编写一个小巧的下载型木马, 用户中毒后会把后门主程序下载到本机运行。
进行服务器配置 远程控制 如何清除?
课堂演练二:灰鸽子的使用
反弹端口类型的木马
服务器的配置 服务器的工作方式 远程控制 如何清除?
反弹端口类型的木马
▪ 普通木马
Client 攻击者
请求连接 响应请求
Server被攻击者
▪ 反弹端口类型的木马
Client 攻击者
请求连接 响应请求
Server被攻击者