攻击与应急响应.ppt

攻击与应急响应 Contents 典型的木马攻击 10.4 特洛伊木马 名称由来 木马发展史 第一代木马 ：伪装型病毒 世界上第一个计算机木马是1986年的PC-Write木马。第一代木马还不具备传染特征。 第二代木马 ：AIDS型木马 1989年出现了AIDS木马。第二代木马已具备了传播特征（通过传统的邮递方式）。 第三代木马：网络传播型木马 10.4 特洛伊木马 特洛伊木马是指黑客用来远程控制目标计算机的特殊程序。凡是非法驻留在目标计算机里，并执行预定的操作，窃取目标的私有信息，都属于特洛伊木马。 工作方式：C/S模式； 服务器端安装在目标机里，监听等待攻击者发出的指令； 客户端是用来控制目标机器的部分，放在攻击者机器上。 木马“Passwd Sender”(口令邮差)可以不需要客户端。 10.4 特洛伊木马 木马的伪装 冒充图象文件或游戏程序 捆绑程序欺骗 将木马程序与正常文件捆绑为一个程序 伪装成应用程序扩展组件 木马名字为dll或ocx类型文件，挂在一个有名的软件中。 后两种方式的欺骗性更大。 10.4 特洛伊木马 木马的特点 隐蔽性强 早期的木马按“Ctrl＋Alt＋Del”能显露出来,但现在大多数木马只能采用内存工具来看内存中是否存在木马。 潜伏能力强 表面上的木马被发现并删除以后,后备的木马在一定的条件下会跳出来。 非授权性 一旦控制端和服务端连接后，控制端将享有服务端的大部分操作权限，包括窃取口令、拷贝或删除文件、修改注册表、控制鼠标、键盘、重新启动计算机等。 举例： Glacier(冰河)有两个服务器程序，挂在注册表的启动组中的是C:\Windows\System\Kernel32.exe，表面上的木马;另一个是C:\Windows \System\Sysexplr.exe,也在注册表中，它修改文本文件的关联,当点击文本文件的时候，会检查Kernel32.exe是不是存在。当Kernel32.exe被删除以后, 如果点击了文本文件,那么这个文本文件照样运行,而Sysexplr.exe被启动了。Sysexplr.exe会再生成一个Kernel32.exe。 10.4 特洛伊木马 特洛伊木马启动方式 自动启动：木马一般会存在三个地方:注册表、win.ini、system.ini。在autoexec.bat、config.sys、启动组中易被发现。 捆绑方式启动： 捆绑方式是一种手动的安装方式。非捆绑方式的木马因为会在注册表等位置留下痕迹,而捆绑木马可以由黑客自己确定捆绑方式、捆绑位置、捆绑程序等,位置的多变使木马有很强的隐蔽性。 修改文件关联：如用木马取代notepad.exe来打开.txt文件。 木马服务器存放位置及文件名 （1）木马的服务器程序文件一般位置是在c:\windows和c:\windows\system——原因：windows的一些系统文件在这两个位置。 （2）木马的文件名总是尽量和windows的系统文件接近。 如木马SubSeven 1.7版本的服务器文件名是c:\windows\KERNEL16.DL,而windows有一个系统文件是c:\windows\KERNEL32.DLL,删除KERNEL32.DLL会让机器瘫痪。 木马SubSeven 1.5版本服务器文件名是c:\windows\window.exe, 少一个s 木马的工作原理 1、木马隐藏技术 2、木马程序建立连接技术 （1）合并端口木马 修改虚拟设备驱动程序（vxd）或修改动态链接库（DLL），在一个端口上同时绑定两个TCP或UDP连接，通过把木马端口绑定于特定的服务端口之上，达到隐藏端口的目的。 采用替代系统功能的方法，木马将修改后的DLL替换系统原有的DLL，并对所有的函数调用进行过滤。 （2）使用ICMP协议进行数据的发送 ICMP报文是由系统内核或进程直接处理而不是通过端口，修改ICMP头的构造，加入木马的控制字段，木马将自己伪装成一个Ping的进程，系统会将ICMP_ECHOREPLY（Ping回包）的监听、处理权交给木马进程，一旦事先约定好的ICMP_ECHOREPLY包出现，木马就会接受、分析并从报文中解码出命令和数据。 （3）反弹端口型木马 反弹端口型木马的服务端使用主动端口，客户端使用被动端口，木马定时监测控制端的存在，发现控制端上线立即弹出端口主动连结控制端打开的主动端口，为了隐藏起见