計算機第5章 網(wǎng)絡(luò)后門與網(wǎng)絡(luò)隱身

第5章網(wǎng)絡(luò)后門與網(wǎng)絡(luò)隱身李劍北京郵電大學(xué)信息平安中心E-mail:：130－01936882概述本章來介紹網(wǎng)絡(luò)后門與網(wǎng)絡(luò)隱身技術(shù)，主要包括木馬、后門和去除攻擊痕跡等。這個技術(shù)與方法都是黑客攻擊常用的技術(shù)方法。目錄5.1木馬攻擊5.2網(wǎng)絡(luò)后門5.3去除攻擊痕跡5.1木馬攻擊5.1.1木馬的概述 特洛伊木馬簡稱木馬，英文叫做“Trojanhouse〞，其名稱取自希臘神話的特洛伊木馬記。其名稱取自希臘神話的特洛伊木馬記。古希臘傳說，特洛伊王子帕里斯訪問希臘，誘走了王后海倫，希臘人因此遠征特洛伊。圍攻9年后，到第10年，希臘將領(lǐng)奧德修斯獻了一計，就是把一批勇士埋伏在一匹巨大的木馬腹內(nèi)，放在城外后，佯作退兵，如圖5.1所示。特洛伊人以為敵兵已退，就把木馬作為戰(zhàn)利品搬入城中。到了夜間，埋伏在木馬中的勇士跳出來，翻開了城門，希臘將士一擁而入攻下了城池。5.1木馬攻擊5.1.1木馬的概述 特洛伊木馬簡稱木馬，英文叫做“Trojanhouse〞，其5.1木馬攻擊木馬一般有兩個程序，一個是客戶端，另一個是效勞器端。如果要給別人計算機上種木馬，那么受害者一方運行的是效勞器端程序，而自己使用的是客戶端來控制受害者機器的。5.1木馬攻擊木馬的傳播方式主要有兩種:一種是通過E-MAIL，控制端將木馬程序以附件的形式夾在郵件中發(fā)送出去，收信人只要翻開附件系統(tǒng)就會感染木馬；另一種是軟件下載，一些非正規(guī)的網(wǎng)站以提供軟件下載為名義，將木馬捆綁在軟件安裝程序上，下載后，只要一運行這些程序，木馬就會自動安裝。5.1木馬攻擊1.密碼發(fā)送型木馬密碼發(fā)送型木馬的目的是找到所有的隱藏密碼，并且在受害者不知道的情況下把它們發(fā)送到指定的信箱。大多數(shù)這類的木馬不會在每次的Windows重啟時重啟，而且它們大多數(shù)使用25端口發(fā)送E--mail。2.鍵盤記錄型木馬鍵盤記錄型木馬非常簡單的，它們只做一種事情，就是記錄受害者的鍵盤敲擊，并且在LOG文件里做完整的記錄。這種特洛伊木馬隨著Windows的啟動而啟動，知道受害者在線并且記錄每一件事。5.1木馬攻擊3.毀壞型木馬毀壞型木馬的唯一功能是毀壞并且刪除文件。這使它們非常簡單，并且很容易被使用。它們可以自動地刪除用戶計算機上的所有的.DLL、INI或EXE文件。4.FTP型木馬FTP型木馬翻開用戶計算機的21端口〔FTP所使用的默認端口〕，使每一個人都可以用一個FTP客戶端程序來不用密碼連接到該計算機，并且可以進行最高權(quán)限的上傳下載。5.1木馬攻擊木馬常用的欺騙方法如下：1.捆綁欺騙：如把木馬效勞端和某個游戲捆綁成一個文件在郵件中發(fā)給別人。2.危險下載點：攻破一些下載站點后，下載幾個下載量大的軟件，捆綁上木馬，再悄悄放回去讓別人下載；或直接將木馬改名上載到FTP網(wǎng)站上，等待別人下載。3.文件夾慣性點擊：把木馬文件偽裝成文件夾圖標后，放在一個文件夾中，然后在外面再套三四個空文件夾。5.1木馬攻擊木馬常用的欺騙方法如下：4.zip偽裝：將一個木馬和一個損壞的zip包捆綁在一起，然后指定捆綁后的文件為zip圖標。5.網(wǎng)頁木馬法：有的網(wǎng)頁是自帶木馬的，只要翻開該網(wǎng)頁，立刻就會安裝上木馬。 常見的木馬很多，Windows下有Netbus、subseven、BO、冰河、網(wǎng)絡(luò)神偷等。UNIX下有Rhost++、Login后門、rootkit等。5.1.3木馬例子下面以Windows下的冰河木馬為例子，介紹木馬的原理。冰河實際上是一個小小的效勞器程序〔安裝在要入侵的機器中〕，這個小小的效勞端程序功能十分強大，通過客戶端〔安裝在入侵者的機器中〕的各種命令來控制效勞端的機器，并可以輕松的獲得效勞端機器的各種系統(tǒng)信息。1999年上半年，一個名叫黃鑫的人寫出了冰河木馬軟件。冰河在國內(nèi)一直是不可動搖的領(lǐng)軍木馬，有人說在國內(nèi)沒用過冰河的人等于沒用過木馬，可見冰河木馬的重要性。5.1.3木馬例子冰河木馬的效勞器端程序名為G_Server.exe，客戶端程序名為G_Client.exe。冰河木馬目的是遠程訪問、控制。冰河的開放端口7626據(jù)傳為其生日號。2.2版本后均非黃鑫制作。如圖5.2所示為冰河不同版本的圖標。5.1.3木馬例子冰河木馬的功能如下：1．自動跟蹤目標機屏幕變化，同時可以完全模擬鍵盤及鼠標輸入,即在同步被控端屏幕變化的同時，監(jiān)控端的一切鍵盤及鼠標操作將反映在被控端屏幕(局域網(wǎng)適用)。

2．記錄各種口令信息：包括開機口令、屏保口令、各種共享資源口令及絕大多數(shù)在對話框中出現(xiàn)過的口令信息，且1.2以上的版本中允許用戶對該功能自行擴充，2.0以上版本還同時提供了擊鍵記錄功能。

3．獲取系統(tǒng)信息：包括計算機名、注冊公司、當(dāng)前用戶、系統(tǒng)路徑、操作系統(tǒng)版本、當(dāng)前顯示分辨率、物理及邏輯磁盤信息等多項系統(tǒng)數(shù)據(jù)。5.1.3木馬例子4．限制系統(tǒng)功能：包括遠程關(guān)機、遠程重啟計算機、鎖定鼠標、鎖定系統(tǒng)熱鍵及鎖定注冊表等多項功能限制。5．遠程文件操作：包括創(chuàng)立、上傳、下載、復(fù)制、刪除文件或目錄、文件壓縮、快速瀏覽文本文件、遠程翻開文件〔提供了四中不同的翻開方式——正常方式、最大化、最小化和隱藏方式〕等多項文件操作功能。6．注冊表操作：包括對主鍵的瀏覽、增刪、復(fù)制、重命名和對鍵值的讀寫等所有注冊表操作功能。7．發(fā)送信息：以四種常用圖標向被控端發(fā)送簡短信息。5.1.3木馬例子8．點對點通訊：以聊天室形式同被控端進行在線交談。 下面來看看冰河木馬的使用。首選可以采用一些端口掃描工具如X-way、Superscan、X-Scan等掃描一個網(wǎng)段內(nèi)的所有主機，看看這些主機有哪些7626端口是開放的。如圖5.3所示為使用X-way掃描一個網(wǎng)段中的7626端口。5.1.3木馬例子8．點對點通訊：以聊天室形式同被控端進行在線交談。

5.1.3木馬例子X-way的掃描結(jié)果如圖5.4所示。發(fā)現(xiàn)了6臺機器的7626端口是開放的，這說明這6臺機器可能都有冰河木馬。5.1.3木馬例子如圖5.5所示，為冰河的主界面，可以看到它可以完成屏幕抓圖、控制、修改效勞器配置、冰河信使等功能。5.1.3木馬例子如圖5.6所示為通過冰河可以得到對方機器的一些密碼。5.1.3木馬例子如圖5.7所示為受害者的一些信息可以通過郵件發(fā)送給控制方。5.1.3木馬例子如圖5.8所示，為受害者機器采用netstat–an命令看到的7626端口是開放的5.1.3木馬例子 如圖5.9所示為采用冰河信使給受害者計算機發(fā)信息。5.1.3木馬例子 如圖5.10所示為采用冰河控制對方計算機。5.1.3木馬例子5.1.4木馬的防范防治木馬的危害，應(yīng)該采取以下措施：第1，安裝殺毒軟件和個人防火墻，并及時升級。第2，把個人防火墻設(shè)置好平安等級，防止未知程序向外傳送數(shù)據(jù)。第3，可以考慮使用平安性比較好的瀏覽器和電子郵件客戶端工具。第4，如果使用IE瀏覽器，應(yīng)該安裝卡卡平安助手、360平安衛(wèi)士等防止惡意網(wǎng)站在自己電腦上安裝不明軟件和瀏覽器插件，以免被木馬趁機侵入。5.1.3木馬例子5.1.4木馬的防范5.1.3木馬例子5.1.4木馬的防范 選中“Internet協(xié)議(TCP/IP)〞點擊“屬性〞。出現(xiàn)如圖5.12所示的界面。5.1.3木馬例子5.1.4木馬的防范點擊“高級〞按鈕，出現(xiàn)如圖5.13所示的界面。5.1.3木馬例子5.1.4木馬的防范點擊“高級〞按鈕，出現(xiàn)如圖5.13所示的界面。5.1.3木馬例子5.1.4木馬的防范點擊“高級〞按鈕，出現(xiàn)如圖5.13所示的界面。5.2網(wǎng)絡(luò)后門1.后門介紹早期的電腦黑客，在成功獲得遠程系統(tǒng)的控制權(quán)后，希望能有一種技術(shù)使得他們在任意的時間都可以再次進入遠程系統(tǒng)，于是后門程序就出現(xiàn)了。 后門是指那些繞過平安性控制而獲取對程序或系統(tǒng)訪問權(quán)的程序方法。在軟件的開發(fā)階段，程序員常常會在軟件內(nèi)創(chuàng)立后門程序以便可以修改程序設(shè)計中的缺陷。但是，如果這些后門被其他人知道，或是在發(fā)布軟件之前沒有刪除后門程序，那么它就存在平安隱患，容易被黑客當(dāng)成漏洞進行攻擊。傳統(tǒng)意義上的后門程序往往只是能夠讓黑客獲得一個SHELL，通過這個SHELL進而進行一些遠程控制操作。5.2網(wǎng)絡(luò)后門2.后門實例全球著名黑客米特尼克在15歲的時候，闖入了“北美空中防務(wù)指揮系統(tǒng)〞的計算機主機內(nèi)，他和另外一些朋友翻遍了美國指向前蘇聯(lián)及其盟國的所有核彈頭的數(shù)據(jù)資料，然后又悄無聲息地溜了出來，這就是黑客歷史上利用“后門〞進行入侵的一次經(jīng)典之作。如圖5.16所示為黑客米特尼克。5.2網(wǎng)絡(luò)后門2.后門實例全球著名黑客米特尼克在15歲的時候，5.2網(wǎng)絡(luò)后門3.后門的防御方法后門的防范相對于木馬來說，更加的困難，因為系統(tǒng)本身就包括遠程桌面、遠程協(xié)助這些可以進行遠程維護的后門，所以對用戶來講更加的困難。(1)首先對使用的操作系統(tǒng)以及軟件要有充分的了解，確定它們之中是否存在后門。如果存在的話就需要及時關(guān)閉，以免這些后門被黑客所利用，比方系統(tǒng)的遠程桌面、遠程協(xié)助等。(2)關(guān)閉系統(tǒng)中不必要的效勞，這些效勞中有相當(dāng)一局部對于個人用戶來說不但沒有作用，而且平安方面也存在很大的隱患，比方RemoteRegistry、TerminalServices等，這樣同樣可以防范系統(tǒng)效勞被黑客利用。5.2網(wǎng)絡(luò)后門 (3)安裝網(wǎng)絡(luò)防火墻，這樣可以有效地對黑客發(fā)出的連接命令進行攔截。即使是自己的系統(tǒng)被黑客安裝了后門程序，也能阻止黑客的進一步控制操作。

(4)安裝最新版本的殺毒軟件，并且將病毒庫升級到最新的版本。另外再安裝一個注冊表監(jiān)控程序，可以隨時對注冊表的變化進行監(jiān)控，有效地防范后門的入侵。5.3去除攻擊痕跡 操作系統(tǒng)日志是對操作系統(tǒng)中的操作或活動進行的記錄，不管是用戶對計算機的操作還是應(yīng)用程序的運行情況都能全面記錄下來。黑客在非法入侵電腦以后所有行動的過程也會被日志記錄在案。所以黑客在攻擊之后，如果刪除這些日志記錄，就顯得很重要了。雖然一個日志的存在不能提供完全的可記錄性，但日志能使系統(tǒng)管理員和平安官員做到：1.發(fā)現(xiàn)試圖攻擊系統(tǒng)平安的重復(fù)舉動〔例如：一個攻擊者試圖冒充administrator或root登錄〕。2.跟蹤那些想要越權(quán)的用戶〔例如：那些使用sudo命令作為root執(zhí)行命令的用戶〕。3.跟蹤異常的使用模式〔例如：有人在工作時間以外的時間登錄計算機〕。4.實時跟蹤侵入者。5.3去除攻擊痕跡5.3.1Windows下去除攻擊痕跡 Windows下的日志信息可以在“控制面板〞->“管理工具〞->“事件查看器〞當(dāng)中找到。如圖5.17所示為事件查看器中的應(yīng)用程序日志。如圖5.18所示為事件查看器中的平安日志。如圖5.19所示為事件查看器中的系統(tǒng)日志。5.3去除攻擊痕跡5.3.1Windows下去除攻擊痕跡 Windows下的日志信息可以在“控制面板〞->“管理工具〞->“事件查看器〞當(dāng)中找到。如圖5.17所示為事件查看器中的應(yīng)用程序日志。如圖5.18所示為事件查看器中的平安日志。如圖5.19所示為事件查看器中的系統(tǒng)日志。5.3去除攻擊痕跡5.3.1Windows下去除攻擊痕跡 Windows下的日志信息可以在“控制面板〞->“管理工具〞->“事件查看器〞當(dāng)中找到。如圖5.17所示為事件查看器中的應(yīng)用程序日志。如圖5.18所示為事件查看器中的平安日志。如圖5.19所示為事件查看器中的系統(tǒng)日志。5.3去除攻擊痕跡這三種日志文件的存放位置分別如下：1.平安日志文件默認位置：%systemroot%\system32\config\SecEvent.EVT。2.系統(tǒng)日志文件默認位置：%systemroot%\system32\config\SysEvent.EVT。3.應(yīng)用程序日志文件：%systemroot%\system32\config\AppEvent.EVT。5.3去除攻擊痕跡這三種日志文件的存放位置分別如下：5.3去除攻擊痕跡5.3.2Unix下去除攻擊痕跡 不同版本的Unix日志文件的目錄是不同的，最常用的目錄如下：/usr/adm早期版本的Unix/var/adm較新版本的Unix/var/log用于Solaris,Linux,BSD等/etcUnixsystemV早期版本在這些目錄或其子目錄下，可以找到以下日志文件〔也許是其中的一局部〕：lastlog記錄用戶最后一次成功登錄時間loginlog不良的登陸嘗試記錄5.3去除攻擊痕跡messages記錄輸出到系統(tǒng)主控臺以及由syslog系統(tǒng)效勞程序產(chǎn)生的消息utmp記錄當(dāng)前登錄的每個用戶utmpx擴展的utmpwtmp記錄每一次用戶登錄和注銷的歷史信息wtmpx擴