當(dāng)電腦被黑客入侵后,通常會(huì)留下后門程序,方便下一次入侵。下面以一些常見的后門程序創(chuàng)建為例,介紹后門程序的功能與防范措施。
放大鏡后門
放大鏡(magnifty.exe)是Window系統(tǒng)集成的一個(gè)小工具,它是為方便視力障礙用戶而設(shè)計(jì)的。在用戶登錄系統(tǒng)前可以通過快捷鍵Win+U調(diào)用該工具,攻擊者用精心構(gòu)建的magnify.exe同名文件替換放大鏡程序,從而達(dá)到控制服務(wù)器的目的。
通常情況下,攻擊者通過構(gòu)造的magnify .exe程序創(chuàng)建一個(gè)管理員賬戶, 然后登錄系統(tǒng)。有時(shí)會(huì)通過其直接調(diào)用命令提示符( cmd.exe)或者系統(tǒng)shell (explorer.exe )創(chuàng)建。需要說明的是,這樣調(diào)用的程序都是system權(quán)限,即系統(tǒng)最高權(quán)限。不過,為防止管理員在運(yùn)行放大鏡程序時(shí)發(fā)現(xiàn)破綻,攻擊者一般通過該構(gòu)造程序完成所需的操作后,會(huì)運(yùn)行真正的放大鏡程序,以蒙騙管理員。
1.構(gòu)造批處理腳本
@echoof
Net user bdtest$ test /add
Net localgroup administrator bdtest /add
%Windir%system32nagnify.exe
exit
將上面的腳本程序保存為magnify.bat,其作用是創(chuàng)建一個(gè)密碼為test的管理員賬戶bdtest$,最后運(yùn)行改名后的放大鏡程序nagnify.exe
2.文件格式轉(zhuǎn)換
因?yàn)榕幚砦募agnify bat的后綴是bat,必須要將其轉(zhuǎn)換為同名的exe文件才可以通過快捷鍵Win+U調(diào)用。攻擊者般可以利用WinRar構(gòu)造一個(gè)自動(dòng)解壓的exe壓縮文件, 當(dāng)然也可以利用bat2com.、com2exe進(jìn)行文件格式的轉(zhuǎn)換。
打開命令行,進(jìn)入bat2com、com2exe工具所在的目錄,然后運(yùn)行命令bat2commagnify.bat將magnify. bat轉(zhuǎn)換成magnify.com,繼續(xù)運(yùn)行命令com2exemagnifty com將magnify .com轉(zhuǎn)換成magnify. exe,這樣就把批處理文件轉(zhuǎn)換成和放大鏡程序同名的程序文件了。
3.放大鏡文件替換
下面用構(gòu)造的magnify exe替換同名的放大鏡程序文件。由于windows對(duì)系統(tǒng)文件的自我保護(hù),因此不能直接替換,不過Windows提供了一個(gè)命令replace.exe,通過它可以替換系統(tǒng)文件。另外,由于系統(tǒng)文件在%Windir%system32llcache中有備份,為了防止文件替換后又重新還原,首先要替換該目錄下的magnify.exe文件。假設(shè)構(gòu)造的magnify.exe文件在%Windir%目錄下,可以通過一個(gè)批處理實(shí)現(xiàn)文件的替換。
@echooff
Copy %Windir%system32 d11cache magnify.exe nagnify.exe
Copy %Windir%system32 magnify.exe nagnify.exe
replace.exe %Windir% magnify.exe %Windir%system32 dllcache
replace.exe %Windir%magnify.exe %Windir%system32
exit
在上面的批處理文件中,首先將放大鏡程序備份為nagnify.exe,然后用同名的構(gòu)造程序?qū)⑵涮鎿Q。
4.攻擊利用
當(dāng)完成上述操作后,一個(gè)放大鏡后門就做成了。攻擊者通過遠(yuǎn)程桌面連接服務(wù)器,在登錄界面窗口按下快捷鍵Win+U,選擇運(yùn)行其中的"放大鏡",即可在服務(wù)器上創(chuàng)建一個(gè)管理員用戶bdtest并打開放大鏡工具,然后攻擊者就通過該帳戶登錄服務(wù)器。當(dāng)然,攻擊者在斷開登錄前會(huì)刪除所有與該賬戶相關(guān)的信息,以防被管理員發(fā)現(xiàn)。
5.防范措施:
進(jìn)入%Windir%system32l查看magnify.exe的文件圖標(biāo)是否是原來的放大鏡程序的圖標(biāo),如果不是的話,極有可能被植入了放大鏡后門。當(dāng)然,有的時(shí)候攻擊者也會(huì)將其文件圖標(biāo)更改為和原放大鏡程序的圖標(biāo)一樣。此時(shí)可以查看magnify .exe文件的大小和修改時(shí)間。如果這兩項(xiàng)有一項(xiàng)不符,就需要慎重檢查了。可以先運(yùn)行magnify .exe,然后運(yùn)行l(wèi)usrmgr.msc,查看是否有可疑的用戶。如果確定服務(wù)器被放置了放大鏡后門,首先要?jiǎng)h除該文件,然后恢復(fù)正常的放大鏡程序。當(dāng)然,也可以做得更徹底一些,用一個(gè)無關(guān)緊要的程序替換放大鏡程序。
與放大鏡后門類似的還有"粘滯鍵" 后門,按Shit鍵五次可以啟動(dòng)粘滯鍵功能,其利用和防范措施與放大鏡后門類似,只是將magnity .exe換成了sethc exe。
組策略后門
相對(duì)來說,組策略后門更加隱蔽。向注冊(cè)表中添加相應(yīng)鍵值以實(shí)現(xiàn)隨系統(tǒng)啟動(dòng)而運(yùn)行時(shí)木馬常用的伎倆,也為大家熟知。其實(shí),在組策略中也可以實(shí)現(xiàn)該功能,還可以實(shí)現(xiàn)在系統(tǒng)關(guān)機(jī)時(shí)進(jìn)行某些操作。這是通過組策略的" 腳本(啟動(dòng)/關(guān)機(jī))"項(xiàng)來實(shí)現(xiàn)。具體位置在"計(jì)算機(jī)配置——Windows設(shè)置"項(xiàng)下。因?yàn)槠錁O具隱蔽性,常常被攻擊者用來做服務(wù)器后門。
只要攻擊者獲得了電腦的控制權(quán),就可以通過這個(gè)后門實(shí)施對(duì)主機(jī)的長期控制。它可以通過這個(gè)后門運(yùn)行某些程序或者腳本,比如創(chuàng)建一個(gè)管理員用戶。
1.創(chuàng)建腳本
創(chuàng)建一個(gè)批處理文件add.bat,名為bdtest$ ,密碼為test。
@echo off & net user bdtest$ test /add && netlocalgroup administratrators gbtes$t /add & exit
2.后門利用
在"運(yùn)行"對(duì)話框中輸入gpedit.msc,定位到"計(jì)算機(jī)配置——Windows設(shè)置——腳本(啟動(dòng)/關(guān)機(jī))",雙擊右邊窗口的"關(guān)機(jī)",在其中添加add bat,可在系統(tǒng)關(guān)機(jī)時(shí)創(chuàng)建bdtest用戶。一般的用戶根本不知道系統(tǒng)中有一個(gè)隱藏用戶,就算看見并且刪除了該帳戶,當(dāng)系統(tǒng)關(guān)機(jī)時(shí)又會(huì)創(chuàng)建該帳戶。所以說,如果用戶不知道組策略中的這個(gè)地方,那一定會(huì)感到莫名其妙。
其實(shí),對(duì)于組策略中的這個(gè)"后門"還有很多利用方法。攻擊者通過它來運(yùn)行腳本或者程序,嗅探管理員密碼等。當(dāng)獲取了管理員的密碼后,就不用在系統(tǒng)中創(chuàng)建帳戶了,可以直接利用管理員帳戶遠(yuǎn)程登錄系統(tǒng)。因此它也是"雙刃劍"。當(dāng)用戶因被攻擊而莫名其妙時(shí),說不定攻擊者就是通過它實(shí)現(xiàn)的。
后門防范操作是很重要的,使用組策略后門的攻擊者利用了管理員的疏忽心理,因?yàn)榻M策略中的"(啟動(dòng)/關(guān)機(jī))腳本"項(xiàng)往往被大家忽略,有些管理員甚至不知道組策略中的這個(gè)選項(xiàng)。防范這類后門,也非常簡單,只需打開組策略工具,定位到"腳本(啟動(dòng)/關(guān)機(jī))"項(xiàng)下進(jìn)行檢查。當(dāng)然也可以進(jìn)入system32GroupPolicymachineScriptsStartup和GroupPolicyMachineScriptsShutdown目錄檢查是否有可疑的腳本。
Rookit后門
Rootkit是一個(gè)或者多個(gè)用于隱藏、控制系統(tǒng)的工具包,該技術(shù)被越來越多地應(yīng)用于一些惡意軟件中,當(dāng)然攻擊者也往往通過它來制作后門。
1.創(chuàng)建一般帳戶
在命令提示符( cmd.exe )下輸入命令net user bdtest$ test /add。
通過上面的命令建立了一個(gè)用戶名為bdtest$,密碼為test的普通用戶。為了實(shí)現(xiàn)初步隱藏,在用戶名的后面加了$符號(hào),這樣在命令提示符下通過netuser是看不到該用戶的,當(dāng)然在"本地用戶和組"及其注冊(cè)表的SAM項(xiàng)下可以看到。
2.帳戶非常規(guī)提權(quán)
下面通過注冊(cè)表對(duì)bdtest$帳戶進(jìn)行提權(quán),使其成為一個(gè)比較隱蔽(在命令行和" 本地用戶和組"中看不到)的管理員用戶。
打開注冊(cè)表編輯器,定位到HKEY_ LOCAL_ MACHINESAMSAM項(xiàng)。由于默認(rèn)情況下管理員組對(duì)SAM項(xiàng)是沒有操作權(quán)限的,因此要賦權(quán)。右擊該鍵值,在彈出的快捷菜單中執(zhí)行"權(quán)限"命令,然后添加administrators組,賦予其"完全控制"權(quán)限,最后刷新注冊(cè)表,就能進(jìn)入SAM項(xiàng)下的相關(guān)鍵值了。
定位到注冊(cè)表HKEY_LOCAL_MACHINESAMSAMDomainsAccountUsers項(xiàng),單擊000001F4注冊(cè)表項(xiàng),雙擊其右鍵的F鍵值,復(fù)制其值,然后單擊00000404注冊(cè)表項(xiàng)(該項(xiàng)不一定相同),雙擊其右側(cè)的F鍵值,用剛才復(fù)制的鍵值進(jìn)行替換鍵值。
分別導(dǎo)出bdtest$、00000404注冊(cè)表項(xiàng)為1.reg和2.reg。在命令行下輸入命令net user bdtest$/del刪除bdtes$用戶,然后分別雙擊1.reg和2.reg導(dǎo)入注冊(cè)表,最后取消administrators對(duì)SAM注冊(cè)表項(xiàng)的訪問權(quán)限。這樣就把bdtest$用戶提升為管理員,并且該用戶非常隱蔽,除了注冊(cè)表,在命令下及"本地用戶和組"是看不到的。這樣隱藏的超級(jí)管理員用戶是入侵者經(jīng)常使用的,對(duì)于一個(gè)水平不是很高的管理員來說,很難發(fā)現(xiàn)這樣的用戶。這樣的用戶不屬于任何組,但有管理員權(quán)限,是可以進(jìn)行登錄的。
3.高級(jí)隱藏賬戶
前面創(chuàng)建的botest$用戶雖然比較隱蔽,但是通過注冊(cè)表可以看見。下面利用RootKit工具進(jìn)行高級(jí)隱藏,即在注冊(cè)表中隱藏該用戶。
可用的RootKit工具非常多。以Hackerdefende為例進(jìn)行演示,它是個(gè)工具包,其中包含很多工具,隱藏注冊(cè)表鍵值只需其中的兩個(gè)文件: hxdef100.exe和hxdef100.ini其中hxdef100.ini是配置文件,hxde100 exe是程序文件。打開hxdef100.in文件, 定位到[HiddenRegKeys]項(xiàng)下,添加要隱藏的注冊(cè)表鍵值bdtest$和00000404即用戶在注冊(cè)表的項(xiàng),然后保存退出。
運(yùn)行hxdef100. exe,可以看到bdtest$用戶在注冊(cè)表中的鍵值"消失"了,同時(shí)這兩個(gè)文件也"不見"了。這樣就利用RootKit實(shí)現(xiàn)了高級(jí)管理員用戶的徹底隱藏,管理員是無從知曉在系統(tǒng)中存在一個(gè)管理員用戶的。
4.防范措施:
通過RootKit創(chuàng)建的后門是極其隱蔽的,除非清除RootKit,不然用其創(chuàng)建的管理員用戶永遠(yuǎn)不可能被管理員發(fā)現(xiàn)。下面以清除上面的Hackerdefende為例介紹防范措施。
(1)驅(qū)動(dòng)級(jí)的掃描
RootKit往往是驅(qū)動(dòng)級(jí)別的,因此它比一般的應(yīng)用程序更加靠近底層,清除起來更加棘手。清除該進(jìn)程時(shí)掃描是必要的。RootKitHookAnalyzer是一款Rookit分析查詢工具, 利用它可以掃描分析出系統(tǒng)中存在的RooKit程序。該工具是英文程序,安裝并運(yùn)行,單擊界面下方的Analyze按鈕進(jìn)行掃描分析,列出系統(tǒng)中的RooKit程序,勾選Showhookedservicesonly復(fù)選框,可以篩選出RooKitservices。當(dāng)然,類似的工具還有很多,用戶可以根據(jù)自己的需要進(jìn)行選擇。
(2)查看隱藏進(jìn)程
RootKit的程序進(jìn)程往往是隱藏或者嵌入的,通過Windows的"任務(wù)管理器"是無法看到的。可以利用強(qiáng)大的進(jìn)程工具lceSword (冰刃)查看。運(yùn)行l(wèi)ceSword,單擊"進(jìn)程" 按鈕,就可以列出當(dāng)前系統(tǒng)中的進(jìn)程,其中紅色顯示的是可疑進(jìn)程,包括hxdef100.exe, 這是剛才運(yùn)行的RootKit。 在該進(jìn)程上右擊,在彈出的快捷菜單中執(zhí)行"結(jié)束"命令。這時(shí)hxdef100 exe和hxdef100.ini文件出現(xiàn)了,再刷新并查看注冊(cè)表,剛才消失的兩個(gè)鍵值又重現(xiàn)了。
(3)專業(yè)工具查殺
利用lceSword對(duì)RooKit進(jìn)行分析并結(jié)束其進(jìn)程是反RooKit的一種有效方法,但有的時(shí)候冰刃并不能分析出RootKit,因此需要比較專業(yè)的工具,如卡巴斯基、超級(jí)巡警等。
TeInet后門
TeInet是命令行下的遠(yuǎn)程登錄工具,不過在服務(wù)器管理時(shí)使用不多,也常為管理員所忽視。攻擊者在控制一臺(tái)服務(wù)器后,如果開啟"遠(yuǎn)程桌面"進(jìn)行遠(yuǎn)程控制,非常容易被管理員察覺,但是啟動(dòng)TeInet進(jìn)行遠(yuǎn)程控制卻不容易被察覺。TeInet的默認(rèn)端口是23,如果開啟,很容易被掃描到,因此攻擊者會(huì)更改TeInet端口,從而獨(dú)享該服務(wù)器的控制權(quán)。
1.修改端口
本地修改電腦telnet端口的方法是:執(zhí)行"開始運(yùn)行"命令,輸入cmd,打開命令提示符,然后運(yùn)行命令tintadmn config port=800 ( 800是修改后的telnet端口,為了避免端口沖突不用設(shè)置成已知服務(wù)的端口)。當(dāng)然,也可以遠(yuǎn)程修改服務(wù)器的Telnet端口,在命令提示符下輸入命令:
tlntadmn config \ 192.168.1.10 port=800 -u bdtest$ -P test
\192. 168.1.10對(duì)方IP,port=800要修改為的telnet端口,-u指定對(duì)方的用戶名,-D指定對(duì)方用戶的密碼。
2.遠(yuǎn)程登錄
攻擊者在本地運(yùn)行命令提示符(cemd.exe),輸入命令telnet 192.168.1.10 800,然后輸入用戶名及其密碼,記錄Telnet到服務(wù)器。
3.防范措施:
防范Telnet后門的方法非常簡單,可以通過tlntadmn config port=n命令更改其端口。更徹底的措施是: 運(yùn)行services.msc,打開服務(wù)管理器,禁用Telnet服務(wù)。
嗅探后門
這類后門是攻擊者在控制了服務(wù)器之后,并不創(chuàng)建新的帳戶,而是在服務(wù)器上安裝嗅探工具以竊取管理員的密碼。由于此類后門并不創(chuàng)建新的帳戶,而是通過嗅探獲取的管理員密碼登錄系統(tǒng),因此隱蔽性極高。如果管理員的安全意識(shí)不高并缺乏足夠的安全技能,根本發(fā)現(xiàn)不了。
1.安裝嗅探工具
攻擊者將相應(yīng)的嗅探工具上傳或者下載到對(duì)方電腦,然后安裝即可。需要說明的是,這些嗅探工具的體積一般很小,并且功能單一,但是往往被做成驅(qū)動(dòng)形式的,所以隱蔽性極高,很難發(fā)現(xiàn),也不易清除。
2.獲取管理員密碼
嗅探工具對(duì)系統(tǒng)進(jìn)行實(shí)時(shí)監(jiān)控。當(dāng)管理員登錄服務(wù)器時(shí),其密碼也就被竊取,然后嗅探工具會(huì)將管理員密碼保存到一個(gè)txt文件中。當(dāng)攻擊者下一次登錄服務(wù)器后,就可以打開該txt文件并獲取管理員密碼。此后如果登錄服務(wù)器,就不用重新創(chuàng)建帳戶,而是直接用合法的管理員帳戶登錄服務(wù)器。如果服務(wù)器是一個(gè)Web,攻擊者就會(huì)將該txt文件放置到某個(gè)Web目錄下,然后在本地就可以瀏覽查看該文件了。
3.防范措施:
嗅探后門攻擊者以正常的管理員帳戶登錄服務(wù)器,因此很難發(fā)現(xiàn)。不過,任何入侵都會(huì)留下蛛絲馬跡,可以啟用組策略中的"審核策略",對(duì)用戶的登錄情況進(jìn)行記錄,然后通過事件查看器查看是否有可疑的非法登錄。一個(gè)高明的攻擊者通常會(huì)刪除或者修改系統(tǒng)日志,因此最徹底的措施是:清除安裝在服務(wù)器上的嗅探工具,然后更改管理員密碼。
