Windows后门技术解析和防范

Windows 后门技术解析和防范后门技术解析和防范 从某种意义上说 服务器被攻击是不可避免的 甚至被控制也情有可原 但绝对不能容忍的是 服务器被植入后门 攻击者如入无人之境 而管理者去 浑然不觉 本文将对当前比较流行的后门技术进行解析 知己知彼方能杜绝后 门 1放大镜后门放大镜后门 放大镜 magnify exe 是 Windows2000 XP 2003 系统集成的一个小工具 它是为方便视力障碍用户而设计的 在用户登录系统前可以通过 Win U 组合 键调用该工具 因此攻击者就用精心构造的 magnify exe 同名文件替换放大镜程 序 从而达到控制服务器的目的 通常情况下 攻击者通过构造的 magnify exe 程序创建一个管理员用户 然 后登录系统 当然有的时候他们也会通过其直接调用命令提示符 cmd exe 或 者系统 shell explorer exe 需要说明的是 这样调用的程序都是 system 权限 即系统最高权限 不过 以防万一当管理员在运行放大镜程序时发现破绽 攻 击者一般通过该构造程序完成所需的操作后 最后会运行真正的放大镜程序 以蒙骗管理员 其利用的方法是 1 构造批处理脚本 echooff netusergslw test168 add netlocalgroupadministratorsgslw add Windir system32 nagnify exe exit 将上面的脚本保存为 magnify bat 其作用是创建一个密码为 test168 的管理 员用户 gslw 最后运行改名后的放大镜程序 nagnify exe 2 文件格式转换 因为批处理文件 magnify bat 的后缀是 bat 必须要将其转换为同名的 exe 文 件才可以通过组合键 Win U 调用 攻击者一般可以利用 WinRar 构造一个自动 解压的 exe 压缩文件 当然也可以利用 bat2com com2exe 进行文件格式的转换 我们就以后面的方法为例进行演示 打开命令行 进入 bat2com com2exe 工具所在的目录 然后运行命令 bat2commagnify bat 将 magnify bat 转换成 继续运行命令 将 转换成 magnify exe 这样就把批处理文 件转换成和放大镜程序同名的程序文件 3 放大镜文件替换 下面就需要用构造的 magnify exe 替换同名的放大镜程序文件 由于 Windows 对系统文件的自我保护 因此不能直接替换 不过 Windows 提供了一 个命令 replace exe 通过它我们可以替换系统文件 另外 由于系统文件在 Windir system32 dllcache 中有备份 为了防止文件替换后又重新还原 所有我 们首先要替换该目录下的 magnify exe 文件 假设构造的 magnify exe 文件在 Windir 目录下 我们可以通过一个批处理即可实现文件的替换 echooff copy Windir system32 dllcache magnify exenagnify exe copy Windir system32 magnify exenagnify exe replace exe Windir magnify exe Windir system32 dllcache replace exe Windir magnify exe Windir system32 exit 上面批处理的功能是 首先将放大镜程序备份为 nagnify exe 然后用同名 的构造程序将其替换 4 攻击利用 当完成上述操作后 一个放大镜后门就做成了 然后攻击者通过远程桌面 连接服务器 在登录界面窗口摁下本地键盘的 Win U 组合键 选择运行其中 的 放大镜 此刻就在服务器上创建了一个管理员用户 gslw 并打开了放大镜工 具 然后攻击者就开业通过该帐户登录服务器 当然 攻击者在断开登录前会 删除所有与该帐户相关的信息 以防被管理员发现 5 防范措施 进入 Windir system32 查看 magnify exe 的文件图标是否是原来的放大镜 的图标 如果不是的话极有可能被植入了放大镜后门 当然 有的时候攻击者 也会将其文件图标更改为和原放大镜程序的图标一样 此时我们可以查看 magnify exe 文件的大小和修改时间 如果这两样有一项不符就比较怀疑了 我 们也可以先运行 magnify exe 然后运行 lusrmgr msc 查看是否有可疑的用户 如果确定服务器被放置了放大镜后门 首先要删除该文件 然后恢复正常的放 大镜程序 当然 我们也可以做得更彻底一些 用一个无关紧要的程序替换放 大镜程序 补充 与放大镜后门类似的还有 粘滞键 后门 即按下 SHIEF 键五次可以 启动粘滞键功能 其利用和防范措施与放大镜后门类似 只是将 magnify exe 换 成了 sethc exe 2组策略后门组策略后门 相对来说 组策略后门更加隐蔽 往册表中添加相应键值实现随系统启动 而运行是木马常用的伎俩 也为大家所熟知 其实 在最策略中也可以实现该 功能 不仅如此它还可以实现在系统关机时进行某些操作 这就是通过最策略 的 脚本 启动 关机 项来说实现 具体位置在 计算机配置 Windows 设置 项下 因为其极具隐蔽性 因此常常被攻击者利用来做服务器后门 攻击者获得了服务器的控制权就可以通过这个后门实施对对主机的长期控 制 它可以通过这个后门运行某些程序或者脚本 最简单的比如创建一个管理 员用户 他可以这样做 1 创建脚本 创建一个批处理文件 add bat add bat 的内容是 echooff netusergslw test168 add netlocalgroupadministratorsgslw add exit 创建一个用户名为 gslw 密码为 test168 的管理员用户 2 后门利用 在 运行 对话框中输入 gpedit msc 定位到 计算机配置一 Windows 设置一 脚 本 启动 关机 双击右边窗口的 关机 在其中添加 add bat 就是说当系统 关机时创建 gslw 用户 对于一般的用户是根本不知道在系统中有一个隐藏用 户 就是他看见并且删除了该帐户 当系统关机时又会创建该帐户 所以说 如果用户不知道组策略中的这个地方那他一定会感到莫名其妙 其实 对于组策略中的这个 后门 还有很多利用法 攻击者通过它来运行 脚本或者程序 嗅探管理员密码等等 当他们获取了管理员的密码后 就不用 在系统中创建帐户了 直接利用管理员帐户远程登录系统 因此它也是 双刃剑 希望大家重视这个地方 当你为服务器被攻击而莫名其妙时 说不定攻击者 就是通过它实现的 3 后门防范 组策略后门是攻击者利用了管理员的疏忽心理 因为对于组策略中的 启 动 关机 脚本 项往往被大家忽略 有些管理员甚至不知道组策略中的这个选 项 防范这类服务器后门 也非常简单 只需打开组策略工具 定位到 脚本 启动 关机 项下进行查看 当然也可以进入 system32 GroupPolicy Machine Scripts Startup 和 system32 GroupPolicy Machine Scripts Shutdown 目录检查是否有可疑的脚 本 3Rookit 后门后门 Rootkit 是一个或者多个用于隐藏 控制系统的工具包 该技术被越来越多 地应用于一些恶意软件中 当然攻击者也往往通过它来制作服务器后门 下面 结合实例解析其利用方法 1 创建一般帐户 在命令提示符 cmd exe 下输入如下命令 netusergslw test168 add 通过上面的命令建立了一个用户名为 gslw 密码为 test168 的普通用户 为了达到初步的隐藏我们在用户名的后面加了 号 这样在命令提示符下通过 netuser 是看不到该用户的 当然在 本地用户和组 及其注册表的 SAM 项下还 可以看到 2 账户非常规提权 下面我们通过注册表对 gslw 帐户进行提权 使其成为一个比较隐蔽 在命 令行和 本地用户和组 中看不到 的管理员用户 第一步 打开注册表编辑器 定位到 HKEY LOCAL MACHINE SAM SAM 项 由于默认情况下管理员组对 SAM 项 是没有操作权限的 因此我们要赋权 右键点击该键值选择 权限 然后添加 administrators 组 赋予其 完全控制 权限 最后刷新注册表 就能够进入 SAM 项下的相关键值了 第二步 定位到注册表 HKEY LOCAL MACHINE SAM SAM Domains Account Users 项 点击 000001F4 注册表项 双击其右侧的 F 键值 复制其值 然后点击 00000404 注册表项 该项不一定相同 双击其右侧的 F 键值 用刚才复制键值进行替 换其值 第三步 分别导出 gslw 00000404 注册表项为 1 reg 和 2 reg 在命令行下 输入命令 netusergslw del 删除 gslw 用户 然后分别双击 1 reg 和 2 reg 导入注 册表 最后取消 administrators 对 SAM 注册表项的访问权限 这样就把 gslw 用 户提升为管理员 并且该用户非常隐蔽 除了注册表在命令下及 本地用户和组 是看不到的 这样的隐藏的超级管理员用户是入侵者经常使用的 对于一个水 平不是很高的管理员这样的用户他是很难发现的 这样的用户他不属于任何组 但却有管理员权限 是可以进行登录的 3 高级隐藏账户 综上所述 我们创建的 gslw 用户虽然比较隐蔽 但是通过注册表可以看见 下面我们利用 RootKit 工具进行高级隐藏 即在注册表中隐藏该用户 可被利用的 RootKit 工具是非常多的 我们就以 Hackerdefende 危机进行演 示 它是个工具包 其中包含了很多工具 我们隐藏注册表键值只需其中的两 个文件 hxdef100 exe 和 hxdef100 ini 其中 hxdef100 ini 是配置文件 hxdef100 exe 是程序文件 打开 hxdef100 ini 文件定位到 HiddenRegKeys 项下 添加我们要隐藏的注册表键值 gslw 和 00000404 即用户在注册表的项然后保存 退出 然后双击运行 hxdef100 exe 可以看到 gslw 用户在注册表中的键值 消失 了 同时这两个文件也 不见 了 这样我们就利用 RootKit 实现了高级管理员 用户的彻底隐藏 管理员是无从知晓在系统中存在一个管理员用户的 4 防范措施 通过 RootKit 创建的后门是及其隐蔽的 除非清除 RootKit 不然用其创建 的管理员用户永远不可能被管理员发现 我们就以清除上面的 Hackerdefende 为 例让后门现行 驱动级的扫描 RootKit 往往是驱动级别的 因此它比一般的应用程序更加 靠近底层 清除起来更加的棘手 清除请进程扫描是必要的 RootKitHookAnalyzer 是一款 Rookit 分析查询工具 利用它可以扫描分析出系统 中存在的 RooKit 程序 该工具是英文程序 安装并运行点击其界面中下方的 Analyze 按钮就可以进行扫描分析 列出系统中的 RooKit 程序 勾选 Showhookedservicesonly 就可以进行筛选值列出 RooKitervices 当然 类似这 样的工具还有很多 我们可以根据自己的需要进行选择 查看隐藏进程 RootKit 的程序进程往往是隐藏性或者嵌入型的 通过 Windows 的 任务管理器 是无法看到的 我们可以利用一款强大的进程工具 IceSword 冰刃 来查看 运行 IceSword 点击 进程 按钮 就可以列出当前系 统中的进程 其中红色显示的是可疑进程 我们可以看到 hxdef100 exe 进程赫 然其中 这真是我们刚才运行的 RootKit 在该进程上点击右键选择 结束 进程 这时 hxdef100 exe 和 hxdef100 ini 文件显身了 再刷新并查看注册表 刚才消失 的两个键值有重现了 专业工具查杀 利用 IceSword 进行 RooKit 的分析和并结束其进程不失为反 RooKit 的一种方法 但有的时候冰刃并不能分析出 RootKit 因此我们就要比 较专业的工具 比如卡巴斯基 超级巡警等都是不错的选择 下图就是通过超 级巡警检测到的 RootKit 病毒 4 Telnet 后门后门 telnet 是命令行下的远程登录工具 不过在服务器管理时使用不多也常为管 理员所忽视 攻击者如果在控制一台服务器后 开启 远程桌面 进行远程控制 非常容易被管理员察觉 但是启动 Telnet 进行远程控制却不容易被察觉 不过 telnet 的默认端口是 23 如果开启后 别人是很容易扫描到的 因此攻击者会 更改 telnet 的端口 从而独享该服务器的控制权 1 修改端口 本地修改 Windows2003 服务器的 telnet 端口的方法是 开始 运行 输入 cmd 打开命令提示符 然后运行命令 tlntadmnconfigport 800 800 是修改后的 telnet 端口 为了避免端口冲突不用设置成已知服务的端口 当然 我们也可 以远程修改服务器的 telnet 端口 在命令提示符下输入命令 tlntadmnconfig 192 168 1 9port 800 ugslw ptest168 192 168 1 9 对方 IP port 800 要修改为的 telnet 端口 u 指定对方的用户名 p 指定对方用户 的密码 2 远程登录 攻击者在本地运行命令提示符 cmd exe 输入命令 telnet192 168 1 9800 然 后输入用户名及其密码记录 telnet 到服务器 3 防范措施 对于 telnet 后门的方法非常简单 可以通过 tlntadmnconfigport n 命令更改 其端口 更彻底的运行 services msc 打开服务管理器 禁用 telnet 服务 5 嗅探后门嗅探后门 这类后门是攻击者在控制了服务器之后 并不创建新的帐户而是在服务器 上安装嗅探工具窃取管理员的密码 由于此类后门 并不创建新的帐户而是通 过嗅探获取