当你的才华
还撑不起你的野心时
那你就应该静下心来学习
目录
远控木马
0x01 上兴远程控制使用测试
1.1 木马的生成
1.2 木马的控制
0x02 上兴远程控制分析
2.1服务器端的静态分析
0x03 穿透力极强的Byshell木马
0x04 上线速度超快的暗组远控木马
0x05 新兴的东南网安远程控制软件
0x06 黑客防线新一代远控pcshare
0x07 盗版灰鸽子——落学远程协助系统
网上摘抄了几篇文章介绍远控木马软件的,自己也顺便做个记录。
参考链接:
http://edu.qudong.com/2008/0411/6956.shtml
https://www.cnblogs.com/20179203li/p/7806650.html
远控木马 远控木马是一种恶意程序,其中包括在目标计算机上用于管理控制的后门。远程访问木马通常与用户请求的程序(如游戏程序)一起,是一种看不见的下载,或作为电子邮件附件发送。一旦主机系统被攻破,入侵者可以利用它来向其他易受感染的计算机分发远程访问木马,从而建立僵尸网络。
一般分为客户端和服务端,如:灰鸽子、上兴远控、梦想时代、QuasarRAT等。
0x01 上兴远程控制使用测试 本次实验是在win XP SP3的虚拟机上完成的。
1.1 木马的生成 这个软件的主要原理就是生成一个木马,并将这个木马伪装成一个正常的安装包,当有人点开它之后,它可以伪装成进程,服务避免杀毒软件的查杀,下图是它的生成界面。
可以看到几个特征:
1)需要输入本机的准确IP地址和上线端口号,确定控制信息的回传
2)可以选择木马的运行方式,以及生成程序是否加壳,加壳主要是为了应对破解而进行的
3)可以对文件的样式,服务类型等信息进行自定义
1.2 木马的控制 本小节介绍一下这个木马程序都可以实现什么样的远程控制。当有中了木马的主机开机之后,我们所在的客户端会提示有主机上线,可以对相应主机实现控制。
0x02 上兴远程控制分析 2.1服务器端的静态分析 1)分析是否有壳
在这里我使用的查壳工具是PEID进行查壳检验。
首先分析这个生成的服务器端木马程序是否有壳,下面这张图是无壳时的显示:
可以看到图中分析出了编写这个木马程序所用的语言:delphi语言
当我生成一个有壳的木马程序进行检测时,结果如下:
可以看到查壳的结果是Nothing found *,上网查询结果表示,当前的特征壳库中没有找到类似的壳,所以不知道这个壳是什么。
2)静态反汇编
接着使用IDA pro对木马程序进行静态反汇编,查看该木马的汇编代码。在这里我直接查看的是不加壳的木马程序,加壳的木马程序首先需要去壳破解才能成功的看到其汇编代码,去壳的破解方法还不怎么会,因此暂时跳过。
喜欢在网上浏览新闻的人,一定会经常看到某人隐私被黑客盗窃,或者以此来要挟受害人的事情。这里大家可能要问了,他们是如何做到的呢?其实答案很简单,只不过是利用了远程木马控制实现,下面笔者将会针对黑客圈子里,常见的远程木马进行详细讲解。
0x03 穿透力极强的Byshell木马 Byshell是一个无进程、无DLL、无启动项的、集多种Rootkit技术特征的独立功能远程控制后门程序(Backdoor)。其利用线程注射DLL到系统进程,解除DLL映射并删除自身文件和启动项,关机时恢复。它是内核级的木马程序,主要部分工作在Ring0,因此有很强的隐蔽性和杀伤力。
1.配置Byshell木马服务端
要想配置Byshell木马服务端,我们首先打开下载到本地的“Byshell客户端”程序,在所弹出的“监听端口”对话框内,输入其木马想要监听的端口,默认设置为2007(如图1)。
修改完毕后,进入到“Byshell木马客户端”界面,在顶端的工具栏内,单击“配置服务端”按钮,此时就会打开“配置服务端”的对话框(如图2)。
在“IP通知地址”标签处,输入自己空间的访问地址,“IP或者DNS域名”标签,则输入自己的本机IP,另外客户端口输入的数字,要与此前设置的监听端口一致,否则会出现肉鸡无法上线的情况。然后在单击“生成”按钮,在弹出的“另存为”对话框内,选择好所要生成的路径,单击“确定”按钮,就可使其服务端生成完毕。
2.让主动防御纷纷落马
0x00:使用原因 我们在做渗透测试的时候,经常会遇到这种情况,测试跨站可能有些功能插入恶意脚本后无法立即触发,例如提交反馈表单,需要等管理员打开查看提交信息时才会触发,或者是盲注跨站,盲打 XSS 这种。再例如 SSRF,如果程序不进行回显任何信息,而只提示你输入的是否合法,那么也无法直接判断程序存在 SSRF 漏洞,我们可以叫盲 SSRF。再例如 XXE,引入外部文件时,如果程序也不返回任何信息和引用文件的内容,而只提示输入的是否有误,那么也无法直接判断程序是否存在 XXE 漏洞,我们也可以叫盲 XXE。总之,程序不进行详细的回显信息,而只是返回对或者错时,我们都可以叫它盲。
解决办法是,我们需要一个外部的独立的服务器,可以通过域名 url 进行访问。然后在测试盲跨站插入恶意脚本时带上这个服务器的地址,在测试盲 SSRF 时读取的文件 url 写我们这个服务器的地址,在测试盲 XXE 时引入的外部实体地址也写我们这个服务器的地址。如果存在上述的这些问题,那么目标服务器就会去访问我们自己的服务器,我们自己服务器要做的就是记录别人访问自己的信息,记录其发送内容相应内容等,因为目标服务器不会给前台返回任何信息,而在和我们外部服务器交互时,我们外部服务器会记录其交互的过程和内容,从而有利于我们判断漏洞的存在。
明白原理后,Burp 给我们提供了这个外部服务器,叫 Collaborator,对于 Collaborator 服务器,我们有两种使用方式,第一个是使用 burp 官方提供的,第二个是自己搭建。本文章记录 burp 官方提供的使用方法,至于自己搭建如果大家感兴趣可以在网上搜索相关的教程内容。
0x01:Collaborator 介绍 对于 Collaborator 服务器,我们这里简单介绍下它应该拥有哪些功能。首先它要能捕捉到 burp 发出的 payload 触发目标与外部系统发生数据的交互行为,其次它自己与目标产生交互的数据要能够返回到 burp,也就是返回给攻击者,也就是我们。
对于 Collaborator 服务器,我们这里再简单的介绍下它应该有哪些服务,首先它是公网 ip,其次它要有自己的域名,并且这个服务器要注册为该域名的权威 dns 服务器。然后这个服务器要提供 dns 服务,并且可以相应任何对它的 dns 请求。最后它需要提供 http 和 https 服务,且需要使用一个有效的 ssl 证书。对于为什么要提供 dns 和 http、https 服务很好理解,payload 如果可以执行或者可以允许远程加载,那么就需要用 dns 来解析我们的域名,而产生的交互则需要 http 和 https 来提供。
0x02:Collaborator 原理 我们知道了使用原因和其具有的功能后,我们再来简单看下它的原理,首先,我们先来看下平时的测试过程,如下图。
最近又重新用了把 shodan 这个神器,shodan 这个网站提供了全网所有设备开放端口的各种信息,这也就给我们的攻击带来了遍历。如果某个软件存在漏洞,而这个软件是类似于 web 服务那种会监听某个端口提供服务的,那么我们就可以利用 shodan 的搜索功能大批量的找到互联网上那些存在漏洞的服务。
就拿弱密码来说吧,我们知道有很多路由器的 web 管理界面的默认密码人们是不会修改的,而一些路由器的 web 页面甚至暴露在了公网上。更加搞笑的是,有些品牌的路由器甚至把自己的默认密码写在了 http 响应的 header 中。
HTTP/1.0 401 Unauthorized Date: Sat, 30 Dec 2017 03:44:21 GMT Server: Boa/0.94.14rc21 Accept-Ranges: bytes Connection: Keep-Alive Keep-Alive: timeout=10, max=1000 WWW-Authenticate: Basic realm=" Default Name:admin Password:1234 " Content-Type: text/html 就比如上面这个,直接告诉你我是 basic 认证,默认的用户名和密码是 admin 和1234。可能有的安全意识较强的用户会修改掉默认用户名和密码,但是仍然有很多人是不会去改的。
研究了一发 shodan 的搜索语法,只要在搜索框内输入default name:admin password, 就可以列出所有这种类型的路由器了,接着就可以一个个去尝试了,基本尝试四五个就能发现一个能登陆进去的。如果嫌一个个尝试太过麻烦,还可以写一个 python 脚本,调用 shodan 的 API 来自动化测试。
import shodan import requests SHODAN_API_KEY = "your api key"
APT攻击
APT攻击是近几年来出现的一种高级攻击,具有难检测、持续时间长和攻击目标明确等特征。
本文中,整理了近年来比较典型的几个APT攻击,并其攻击过程做了分析
(为了加深自己对APT攻击的理解和学习)
Google极光攻击 2010年的Google Aurora(极光)攻击是一个十分著名的APT攻击。Google的一名雇员点击即时消息中的一条恶意链接,引发了一系列事件导致这个搜索引擎巨人的网络被渗入数月,并且造成各种系统的数据被窃取。这次攻击以Google和其它大约20家公司为目标,它是由一个有组织的网络犯罪团体精心策划的,目的是长时间地渗入这些企业的网络并窃取数据。
原理图如下:
该攻击过程大致如下: 1) 对Google的APT行动开始于刺探工作,特定的Google员工成为攻击者的目标。攻击者尽可能地收集信息,搜集该员工在Facebook、Twitter、LinkedIn和其它社交网站上发布的信息。
2) 接着攻击者利用一个动态DNS供应商来建立一个托管伪造照片网站的Web服务器。该Google员工收到来自信任的人发来的网络链接并且点击它,就进入了恶意网站。该恶意网站页面载入含有shellcode的JavaScript程序码造成IE浏览器溢出,进而执行FTP下载程序,并从远端进一步抓了更多新的程序来执行(由于其中部分程序的编译环境路径名称带有Aurora字样,该攻击故此得名)。
3) 接下来,攻击者通过SSL安全隧道与受害人机器建立了连接,持续监听并最终获得了该雇员访问Google服务器的帐号密码等信息。
4) 最后,攻击者就使用该雇员的凭证成功渗透进入Google的邮件服务器,进而不断的获取特定Gmail账户的邮件内容信息。 超级工厂病毒攻击(震网攻击) 著名的超级工厂病毒攻击为人所知主要源于2010年伊朗布什尔核电站遭到Stuxnet蠕虫的攻击的事件曝光。
遭遇超级工厂病毒攻击的核电站计算机系统实际上是与外界物理隔离的,理论上不会遭遇外界攻击。坚固的堡垒只有从内部才能被攻破,超级工厂病毒也正充分的利用了这一点。超级工厂病毒的攻击者并没有广泛的去传播病毒,而是针对核电站相关工作人员的家用电脑、个人电脑等能够接触到互联网的计算机发起感染攻击,以此为第一道攻击跳板,进一步感染相关人员的移动设备,病毒以移动设备为桥梁进入“堡垒”内部,随即潜伏下来。病毒很有耐心的逐步扩散,一点一点的进行破坏。这是一次十分成功的APT攻击,而其最为恐怖的地方就在于极为巧妙的控制了攻击范围,攻击十分精准。
在2011年,一种基于Stuxnet代码的新型的蠕虫Duqu又出现在欧洲,号称“震网二代”。 Duqu主要收集工业控制系统的情报数据和资产信息,为攻击者提供下一步攻击的必要信息。攻击者通过僵尸网络对其内置的RAT进行远程控制,并且采用私有协议与CC端进行通讯,传出的数据被包装成jpg文件和加密文件。 夜龙攻击
夜龙攻击是McAfee在2011年2月份发现并命名的针对全球主要能源公司的攻击行为。
该攻击的攻击过程是: 1) 外网主机如Web服务器遭攻击成功,多半是被SQL注入攻击;
2) 被黑的Web服务器被作为跳板,对内网的其他服务器或PC进行扫描;
3) 内网机器如AD服务器或开发人员电脑遭攻击成功,多半是被密码暴力破解;
4) 被黑机器被植入恶意代码,多半被安装远端控制工具(RAT),传回大量机敏文件(WORD、PPT、PDF等等),包括所有会议记录与组织人事架构图;
5) 更多内网机器遭入侵成功,多半为高阶主管点击了看似正常的邮件附件,却不知其中含有恶意代码。
RSA SecurID窃取攻击 2011年3月,EMC公司下属的RSA公司遭受入侵,部分SecurID技术及客户资料被窃取。其后果导致很多使用SecurID作为认证凭据建立VPN网络的公司——包括洛克希德马丁公司、诺斯罗普公司等美国国防外包商——受到攻击,重要资料被窃取。在RSA SecurID攻击事件中,攻击方没有使用大规模SQL注入,也没有使用网站挂马或钓鱼网站,而是以最原始的网路通讯方式,直接寄送电子邮件给特定人士,并附带防毒软体无法识别的恶意文件附件。
其攻击过程大体如下: 1) RSA有两组同仁们在两天之中分别收到标题为“2011 Recruitment Plan”的恶意邮件,附件是名为“2011 Recruitment plan.xls”的电子表格;
2) 很不幸,其中一位同仁对此邮件感到兴趣,并将其从垃圾邮件中取出来阅读,殊不知此电子表格其实含有当时最新的Adobe Flash的0day漏洞(CVE-2011-0609);
3) 该主机被植入臭名昭著的Poison Ivy远端控制工具,并开始自C&C中继站下载指令进行任务;
4) 首批受害的使用者并非“位高权重”人物,紧接着相关联的人士包括IT与非IT等服务器管理员相继被黑;
5) RSA发现开发用服务器(Staging server)遭入侵,攻击方随即进行撤离,加密并压缩所有资料(都是rar格式),并以FTP传送至远端主机,又迅速再次搬离该主机,清除任何踪迹。
暗鼠攻击 2011年8月份,McAfee/Symantec发现并报告了该攻击。该攻击在长达数年的持续攻击过程中,渗透并攻击了全球多达70个公司和组织的网络,包括美国政府、联合国、红十字会、武器制造商、能源公司、金融公司,等等。
其攻击过程如下: 1) 攻击者通过社会工程学的方法收集被攻击目标的信息。
2) 攻击者给目标公司的某个特定人发送一些极具诱惑性的、带有附件的邮件例如邀请他参见某个他所在行业的会议,以他同事或者HR部门的名义告知他更新通讯录,请他审阅某个真实存在的项目的预算,等等。
3) 当受害人打开这些邮件,查看附件(大部分形如:Participant_Contacts.xls、2011 project budget.xls、Contact List -Update.