網(wǎng)絡掛馬入侵流程線索調(diào)查方法研究

網(wǎng)絡掛馬入侵流程線索調(diào)查方法研究

隨著信息科學技術(shù)的快速發(fā)展，計算機網(wǎng)絡已經(jīng)深入到人們?nèi)粘Ｉ畹拿總€角落。人們每天都會登陸不同的網(wǎng)站瀏覽信息。網(wǎng)絡技術(shù)在給我們的生活帶給極大便利的同時，也存在很多安全隱患。黑客人侵網(wǎng)站并實施掛馬，受害者只要瀏覽了這些被掛馬的網(wǎng)站，木馬就會自動下載到受害者主機上運行。這些木馬可以竊取用戶在登陸窗口內(nèi)輸入的敏感信息，例如：用戶名、密碼，甚至完全控制受害者主機?？梢哉f網(wǎng)頁掛馬對網(wǎng)絡用戶構(gòu)成了嚴重的威脅。分析網(wǎng)頁掛馬案件的入侵流程，進而通過技術(shù)手段查找出黑客的線索（如lP地址、電子郵箱帳號、等等）對公安機關(guān)的偵查、取證工作有著重要的意義。1網(wǎng)頁掛馬案件入侵流程及相關(guān)網(wǎng)絡安全技術(shù)分析網(wǎng)頁掛馬案件的入侵流程如圖1所示。首先，黑客會利用網(wǎng)絡攻擊技術(shù)入侵某些存在安全漏洞的網(wǎng)站，從而獲得這些網(wǎng)站的控制權(quán)。接下來，黑客會在被入侵網(wǎng)站的主頁文件中植入_句掛馬代碼，從而實現(xiàn)網(wǎng)站掛馬。最后，當網(wǎng)絡中的用戶瀏覽“被掛馬”的網(wǎng)站時，如果用戶使用的IE瀏覽器存在相應的安全漏洞，則木馬會被植入用戶主機并運行，用戶主機成為受黑客控制的“肉雞”。黑客可以盜取“肉雞”上的敏感信息（如網(wǎng)銀帳號），也可以控制“肉雞”向其他主機發(fā)起DDOS攻擊。1.1入侵網(wǎng)站由于大型的門戶網(wǎng)站如“新浪”、“搜狐”等，通常具備比較嚴密的網(wǎng)絡安全防御措施、難于攻破，因此黑客通常不會選擇此類網(wǎng)站作為攻擊對象。一些日訪問量在3000—5000人次的中等規(guī)模網(wǎng)站成為黑客入侵的首選目標，例如游戲網(wǎng)站、政府機關(guān)、高校、公司機構(gòu)的網(wǎng)站，等等。在入侵網(wǎng)站時，目前最流行的攻擊技術(shù)是“SQL注入攻擊”和“緩沖區(qū)溢出攻擊”?！癝QL注入攻擊”是由于開發(fā)網(wǎng)站的技術(shù)人員缺乏足夠的網(wǎng)絡安全意識，未對用戶提交的參數(shù)進行嚴格的檢查，就將參數(shù)直接提交給后臺的數(shù)據(jù)庫運行，這些參數(shù)里面可能包含黑客提交的惡意指令，通過在被入侵網(wǎng)站上執(zhí)行這些指令，黑客可以達到完全控制網(wǎng)站的目的。例如，在lP地址為的服務器上安裝了[來自WwW.L]一臺電子商務網(wǎng)站，該網(wǎng)站的網(wǎng)頁文件lookpro.asp存在“SQL注入漏洞”，黑客使用下面這條URL鏈接訪問lookpro.asp，即可在目標服務器上建立一個名為aaa、密碼為bbb的用戶。http：//192.168.O.l/shop-s/lookpro.asp?id=48;execmaster．.xp_cmdshell”netuseraaabbb/add”。黑客就是通過這樣一系列的指令達到完全控制一臺服務器的目的?！熬彌_區(qū)溢出攻擊”是由于應用程序未對通過網(wǎng)絡接收到的參數(shù)的長度進行檢查，就將接收到的參數(shù)直接存放到自己的緩沖區(qū)中。如果接收到的參數(shù)長度超過預留緩沖區(qū)的大小，就會導致“緩沖區(qū)溢出”。黑客通過精心構(gòu)造溢出代碼，可以實現(xiàn)完全控制一臺主機的目的。目前，很多中等規(guī)模的網(wǎng)站選擇“SQLServer2000+ASP”的網(wǎng)站架構(gòu)。SQLServer2000數(shù)據(jù)庫通過1433端口提供遠程訪問服務，如果SQLServer2000數(shù)據(jù)庫未及時安裝補丁´則1433端口存在“緩沖區(qū)溢出”漏洞。黑客可以“1433端口溢出攻擊”完全控制一臺Weh服務器。1.2為網(wǎng)站主頁掛馬用戶在訪問網(wǎng)站時[來自www.lw5u.CoM]，通常是先進入網(wǎng)站的主頁，然后再通過主貞上的鏈接進入到自己感興趣的頁面。因此，主頁是訪問頻率最高的頁面，黑客為了達到快速傳播木馬的目的，通常選擇主頁作為掛馬的對象。下面給If-個典型的掛馬代碼，將這句代碼加入到被掛馬網(wǎng)站的主頁文件(例如lndex．a(chǎn)sp)的任何一處位置，即可實現(xiàn)網(wǎng)站掛馬。<iframesrc=”http://包含木馬程序的服務器lP地址／l.html”;width=“0”height=”O(jiān)”frarneborder=”O(jiān)”><／iframe>。這是一種框架掛馬方式，用戶訪問index．a(chǎn)sp之后，會自動到包含木馬程序的服務器上下載并瀏覽1．html，這個1．html會利用IE瀏覽器漏洞自動下載并運行木馬程序（例如l.exe），由于這里將框架的高度、寬度和邊框粗細均設置為O，因此受害者在瀏覽index.asp時不會察覺到任何變化。通過以上分析我們發(fā)現(xiàn)，黑客不需要將l.html和l.exe上傳到被掛馬網(wǎng)站，只須修改被掛馬網(wǎng)站的主頁文件(index.asp)，即可實現(xiàn)網(wǎng)站掛馬，因而具備很強的隱蔽性。1.3植入并運行木馬當網(wǎng)絡中的用戶瀏覽“被掛馬”網(wǎng)站時，如果用戶使用的IE瀏覽器存在相應的安全漏洞，則木馬會被植入用戶主機并運行，用戶主機成為受黑客控制的‘肉雞”。黑客可以盜取‘肉雞”上的敏感信息（如網(wǎng)銀帳號），也可以控制“肉雞”向其他主機發(fā)起DDOS攻擊。目前被黑客廣泛采用的木馬有“盜號木馬”和“遠程控制木馬”?！氨I號木馬”可以竊取用戶在登陸窗口內(nèi)輸入的敏感信息，例如：用戶名、密碼。這類木馬可以造成網(wǎng)絡用戶的QQ密碼丟失、網(wǎng)上銀行帳號信息丟失、等等。例如“紅蜘蛛鍵盤記錄木馬”記錄到敏感信息（如電子郵箱帳戶信息）之后，會將這些信息通過電子郵件發(fā)送到黑客指定的郵箱里。2利用網(wǎng)絡監(jiān)聽技術(shù)在受害者主機上調(diào)查“盜號木馬”線索在追查木馬線索時辦案人員通常使用網(wǎng)絡數(shù)據(jù)監(jiān)聽軟件（例如sniffer-pro）來捕獲、分析網(wǎng)絡數(shù)據(jù)報，進而從中發(fā)現(xiàn)黑客的線索。2.1監(jiān)聽軟件的運行環(huán)境監(jiān)聽軟件的運行環(huán)境如圖2所示。受害者主機上運行的木馬程序向外界發(fā)送的通信數(shù)據(jù)會被監(jiān)聽軟件截獲，辦案人員可以以監(jiān)聽到的網(wǎng)絡數(shù)據(jù)報中提取出線索（如lP地址、郵箱帳號、等等），我們可以從這些數(shù)據(jù)找到小馬線索2.2分析包含木馬線索的網(wǎng)絡數(shù)據(jù)報“盜號木馬”在受害者主機上悄悄地運行，密碼等敏感信息之后，木馬會將這些信息使用某種TCP/IP議封裝起來、通過因特網(wǎng)發(fā)送給遠程的黑客。只要截獲這些通信數(shù)據(jù)，就可以從中分析出放馬者的信息。鍵盤記錄木馬在發(fā)送敏感信息的時候通常使用的是SMTP、HTTP、ICMP協(xié)議下面通過幾個實例來說明如何從截獲的網(wǎng)絡數(shù)據(jù)中提取木馬的線索。2.2.1從HTTP數(shù)據(jù)中提取放馬者使用的Web服務器的lP地址一些木馬如“QQ金狐大盜”在記錄到敏感信息之后，會將這些信息通過HTTP協(xié)議發(fā)送給放馬者指定的Weh服務器，這臺服務器上的某個ASP或JSP腳本文件會將這些敏感信息保存在一個文本文件中，放馬者從這個文本文件中就可以獲得記錄到的敏感信息。圖3是使用Sniffer-pro捕捉到的“QQ金狐大盜”發(fā)送敏感信息的通信報文。這是一個HTTP協(xié)議的CET請求報文，請求的是Web服務器上的log．a(chǎn)sp這個腳本文件同時這個請求報文帶有兩個參數(shù)，第一個參數(shù)459536384是“QQ金狐大盜”記錄到的受害者的QQ號碼，第二個參數(shù)12345678是受害者的QQ密碼。這組16進制報文的第31至34字節(jié)為放馬者Weh服務器的lP地址，這四個16進制字節(jié)為c0、a8、27、02轉(zhuǎn)換為10進制之后，得到Web服務器的lP地址為。2.2,2從SMTP數(shù)據(jù)中提取放馬者的電子郵箱帳號一些木馬如“紅蜘蛛”在記錄到敏感信息之后，會將這些信息通過電子郵件發(fā)送到放馬者的郵箱里。在發(fā)送郵件的時候通常使用的是SMTP協(xié)議。圖4是使用Sniffer-pro捕捉到的“紅蜘蛛”發(fā)送敏感信息的通信報文。通過分析這個報文可以得知發(fā)信郵箱為xu_guo_tian888@163.com、收信郵箱為redspider119@163.com、郵件主題為紅蜘蛛的禮物、木馬監(jiān)控的窗口是網(wǎng)易163郵箱的登陸窗口、記錄到的163郵箱帳號是xu_guo_tian05、密碼是86982481。放馬者會定期到redspider119@163.com這個郵箱內(nèi)查看木馬記錄到的敏感信息，應將郵箱帳號redspider119@163.com交給網(wǎng)監(jiān)部門做進一步調(diào)查。2.2.3從ICMP數(shù)據(jù)中提取放馬者使用的計算機的lP地址ICMP木馬會將記錄到的敏感信息通過ICMP協(xié)議發(fā)送到木馬控制端所在的計算機上，木馬控制端會將這些敏感信息搜集起來保存在一個文本文件中，放馬者從這個文本文件中就可以獲得木馬記錄到的敏感信息。圖5是使用Sniffer-pro捕捉到的鍵盤記錄木馬發(fā)送敏感信息的通信報文。這是一個ICMP-ECHOREPLY報文，在32字節(jié)的附加數(shù)據(jù)字段中封裝了受害者的qq號碼和密碼。qq號碼是459536384、密碼是xugt。這組16進制報文的第31至34字節(jié)是木馬控制端計算機的IP地址，這四個16進制字節(jié)為d2、2f、82、17轉(zhuǎn)換為10進制之后，得到放馬者計算機的lP地址為3。3利用網(wǎng)絡命令在受害者主機上調(diào)查“遠程控制木馬”線索“遠程控制木馬”通過網(wǎng)頁掛馬方式傳播到受害者主機上后會自動與遠程的黑客主機進行聯(lián)系，接受黑客的控制。黑客可以完全控制受害者主機，例如監(jiān)視屏幕、監(jiān)聽通話、甚至直接控制主機。當黑客進行遠程控制時，在受害者主機上使用netstat-an命令可以查看到黑客主機的一些線索。圖6是使用netstat-an命令查看到的遠程控制木馬“PcShare”的網(wǎng)絡連接痕跡。用紅色邊框標識的就是“PcShare”的控制連接，可以得知遠程控制主機的IP地址是．端口是8000（PcShare的默認端口）。辦案人員可對這個IP地址對應的主機做進一步調(diào)查。4總結(jié)本文詳