目的
1. 通过实验掌握远控程序(计算机木马)的基本原理与安装方法。
2. 掌握远控程序的操控方法,理解防范方法。
原理
1. 远控程序的结构和原理
计算机木马(又名间谍程序)是一种后门程序,常被黑客用作控制远程计算机的工具,很多木马都是基于远控程序开发的,只是增强了隐蔽性和进程保护功能,本实验利用远控程序来体验木马的主要功能。远控程序一般包括控制端和客户端两部分,控制端程序用于攻击者远程控制,客户端程序类似于木马程序,攻击者把客户端程序植入受害计算机里面,进而通过远程控制计算机系统。
进行攻击时,第一步要进行特洛伊木马的植入,这是攻击目标最关键的一步,也是后续攻击的基础。特洛伊木马的植入方法可以分为两大类:被动植入和主动植入。被动植入是指通过人工干预的方式将木马程序安装到目标系统中,植入过程必须依赖于受害用户的手工操作,被动植入主要通过社会工程学的方法将木马程序伪装成合法程序,以达到降低受害用户警觉性,诱骗用户的目的。常用的方法有文件捆绑法、邮件附件和WEB网页挂马。主动植入是指主动攻击方法,通过研究目标系统的脆弱性,利用其漏洞将木马程序通过程序自动安装到目标系统中,植入过程无须受害用户的操作。如“红色代码”就是利用IIS Server上Indexing Service的缓冲区溢出漏洞完成木马植入。无论采用哪种方式,植入木马需要获得计算机管理员权限进行木马程序的安装,所以用户提高防范意识,不随便安装可疑的应用程序,及时给操作系统和应用程序打上补丁,可以有效的防止木马的植入。
特洛伊木马自启动是指目标主机自动加载运行木马程序,而不被用户发现。当前,特洛伊木马自启动一般将木马程序放在系统的启动目录中。在系统中,木马的自启动设置在系统配置文件中,如win.ini、system.ini等,或修改注册表设置实现木马的自动启动,或把木马注册为系统服务,或把木马注入系统服务程序中。在UNIX系统中,木马的自启动设置在init、inted、cron等文件或目录中
2. 木马植入手段
利用木马攻击的第一步是把木马程序植入到目标系统里面。攻击者常用的木马植入手段包括:
(1)下载植入木马。木马程序通常伪装成优秀的工具或游戏,引诱他人下载并执行,由于一般的木马执行程序非常小,大都是几千字节或几十千字节,所以攻击者可以通过一定的方法把木马文件集成到上述文件中,一旦用户下载,在执行其他程序的同时木马也被植入系统。
(2)通过电子邮件来传播。木马程序作为电子邮件的附件发送到目标系统,一旦用户打开此附件(木马),木马就会植入到目标系统中。以此为植入方式的木马常常会以HTML、JPG、BMP、TXT、ZIP等各种非可执行文件的图标显示在附件中,以诱使用户打开附件。
(3)木马程序隐藏在一些具有恶意目的的网站中,目标系统用户在浏览这些网页时,木马通过Script、Active及XML等交互脚本植入。由于微软的IE浏览器在执行Script脚本上存在漏洞,攻击者把木马与含有这些交互脚本的网页联系在一起,利用这些漏洞通过交互脚本植入木马。
(4)利用系统的一些漏洞植入,如微软著名的IIS漏洞,通过相应的攻击程序使IIS服务器失效,同时攻击服务器执行木马执行文件。
(5)攻击者成功入侵目标系统后,把木马植入目标系统。此种情况下木马攻击作为对目标系统攻击的一个环节,以使下次随时进入和控制目标系统。
任务一:配置安装客户端
- 直接下载:https://github.com/quasar/QuasarRAT
- 解压文件后,运行“Quasar.exe”,
首先配置生成一个客户端程序,点击菜单上的“Builder”,看到如下界面:
3.这里面最主要的配置操作就是填写第一行的IP地址,这里填写控制端的IP地址(简称PC2),例如控制端计算机的IP地址10.166.10.146,就如图所示。我们这里使用默认4782端口。如果自己熟悉,也可以随意配置端口号,如更具有隐蔽性的80端口,记住同时在控制端更改监听端口。
然后点击“Add Host”按钮,将主机加入左边列表中。
点击“生成服务器”,保存文件,得到Client_Built,如图所示:
注:其它选项不用改,使用默认值即可,如想了解,可以参考帮助文件。下面列举一些选项说明:
- 可以更改默认的安装文件名,只要不和系统现有的安装名称冲突就可以
- 为了让防止服务端在一台主机中不与别的服务端冲突,最好改变一下服务名称、服务显示名称
- 如选插入system目录下系统文件,必须测试插入后能否运行、重启与功能能否正常使用;
- 隐藏进程选项
为了使用键盘记录功能,在“Surveillance Settings”里面添加键盘记录功能
4.将Client-built拷贝到另一台电脑(客户端,简称PC1),在PC1上双击运行Client-built
一定注意:生成木马文件的电脑是被攻击的对象,生成的木马像一个认领老大的请帖,谁收到,谁就可以打开形同的软件进行监听!!!务必找准定位,我花了五个小时才懂了这个道理!!!!
5.在控制端PC2上运行Quasar,点击Settings并选择开始监听端口(这一步非常重要,一定要点击“Start listening”),如果配置正确,很快就发现客户端上线
我和同学在实验室做的,他是71,我是72
可看到可疑端口:
在控制端PC2和客户端PC1分别查看网络连接情况。在“命令控制行”中使用“netstat –a”命令,查看可疑连接。
任务二:验证远控的主要功能
1.在PC2上,可以从右键菜单中“System”中运行Shell、查看TCP连接、打开注册表等
2.可以从右键菜单中“Surveillance”中运行远程桌面、远程摄像头(需要硬件支持)、键盘记录操作(Keylogger)。
键盘:
3.重点尝试键盘记录操作(Keylogger),从PC2上启动键盘记录后,在客户端PC1上分别打开下面窗口进行登录
打开‘记事本’,输入自己的学号
Dr.Com登录页面,输入用户名和密码并登录
163邮箱,输入用户名和密码并登录
登陆淘宝,输入用户名和密码并登录
网络银行登录,如建行个人网银(安全控件登录),先按照网站要求按照安全控件,再输入用户名和密码并登录
这里使用中信银行做实验:
总结键盘记录功能:木马的存在使键盘不再安全,普通的输入都会被记录下来。而规模大的银行会去做自己的控件,对安全进行防护。相比起来而大多数公司采取的措施是扫码登录,或者使用虚拟键盘技术,都能有效避免被键盘监听的风险。
1013
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
