<label id="2a06w"><tt id="2a06w"></tt></label><label id="2a06w"><tt id="2a06w"><em id="2a06w"></em></tt></label><menu id="2a06w"></menu>
  • <dfn id="2a06w"><var id="2a06w"><label id="2a06w"></label></var></dfn>
    <sup id="2a06w"><button id="2a06w"><em id="2a06w"></em></button></sup>
    <dfn id="2a06w"><var id="2a06w"></var></dfn>
    <dfn id="2a06w"></dfn>
  • <dfn id="2a06w"><code id="2a06w"><ins id="2a06w"></ins></code></dfn>
  • <small id="2a06w"><samp id="2a06w"></samp></small>
  • <dfn id="2a06w"><table id="2a06w"><center id="2a06w"></center></table></dfn>
    <label id="2a06w"><tt id="2a06w"><em id="2a06w"></em></tt></label>
    <strike id="2a06w"><form id="2a06w"></form></strike>
    <menu id="2a06w"><tt id="2a06w"></tt></menu>

    將想法與焦點和您一起共享

    對Lcass木馬攻擊特點進(jìn)行分析與監(jiān)測發(fā)布者:本站     時間:2020-05-02 16:05:47

    1 引言

    在網(wǎng)絡(luò)安全保密風(fēng)險評估中,筆者發(fā)現(xiàn)名為Lcass的程序具有運行無窗口、通過感染U盤傳播等木馬典型特點,具有一定代表性.為評估其安全保密危害,有必要對其攻擊特點進(jìn)行分析與監(jiān)測,為此搭建了攻擊分析與演示實驗環(huán)境.

    2 木馬程序分析過程

    2.1 分析環(huán)境

    為分析和驗證木馬程序功能,采用交換機搭建了網(wǎng)絡(luò)分析與驗證環(huán)境,配備4臺計算機,其中1臺用于提供DNS服務(wù),1臺用于監(jiān)測(安裝Snort入侵檢測系統(tǒng)),1臺用做被攻擊計算機,1臺用做攻擊計算機,網(wǎng)絡(luò)拓?fù)湟妶D1.

    本分析實驗在獨立計算機Windows操作系統(tǒng)下進(jìn)行,采用了WireShark、RegSnap、Cports等輔助監(jiān)控分析工具,結(jié)合網(wǎng)絡(luò)攻擊等特點進(jìn)行驗證.

    2.2 木馬組成

    對比操作系統(tǒng)的服務(wù),發(fā)現(xiàn)木馬程序Lcass利用 "PnP plug On Service"服務(wù)啟動,以達(dá)到長期控制受害計算機的目的.木馬程序采用了容易混淆用戶為正常服務(wù)的描述信息,如圖2所示.

    提取木馬可執(zhí)行程序Lcass,在實驗計算機上通過RegSnap工具監(jiān)測木馬執(zhí)行前后文件的差別,發(fā)現(xiàn)與木馬程序Lcass相關(guān)的組成文件包括Lcass.dll、Lcass.exe、Mswinsck.ocx、Ntsvc.ocx,均位于C:\WINDOWS\system32\目錄下.其中,Lcass.e x e 是主體文件,也是自身通過 U 盤傳播擴散的主文件,Mswinsck.ocx是提供網(wǎng)絡(luò)后門的程序.

    2.3 網(wǎng)絡(luò)回連報信

    從操作系統(tǒng)本地防火墻例外列表中,發(fā)現(xiàn)木馬程序Lcass主動避開本地防火墻,懷疑其具有外連通信能力,采用Wireshark監(jiān)測,發(fā)現(xiàn)木馬程序向*zhen.3322.org發(fā)起連接.

    在實驗環(huán)境中通過DNS服務(wù)器轉(zhuǎn)化到監(jiān)測計算機后,監(jiān)測相應(yīng)的端口,利用Wireshark捕獲到被攻擊計算機主動向監(jiān)測計算機發(fā)送了系列規(guī)則信息,信息結(jié)構(gòu)如下:

    被攻擊計算機/192.168.0.4/88/1.0.195/18分43秒被攻擊計算機/192.168.0.4/88/1.0.195/18分48秒被攻擊計算機/192.168.0.4/88/1.0.195/18分54秒被攻擊計算機/192.168.0.4/88/1.0.195/19分0秒回連信息包括被攻擊計算機名、IP地址、打開端口、程序版本、木馬啟動時間等,其中被控制計算機IP地址和打開端口是向攻擊者用于遠(yuǎn)程控制的兩個重要信息,攻擊者可以通過收到的IP地址和打開端口信息,向被攻擊計算機發(fā)起遠(yuǎn)程控制攻擊.

    2.4 開啟遠(yuǎn)程控制后門

    通 過 C p o r t s 監(jiān)測 , 發(fā)現(xiàn)木馬程序利用mswinsck.ocx模塊文件開放TCP 88端口,等待攻擊者發(fā)起攻擊,如圖3所示.

    木馬程序開放的后門是一個采用Web登錄的ZDC-WEB-SERVER后臺,利用瀏覽器嘗試登錄后門地址入口,需要注冊用戶身份認(rèn)證才能進(jìn)入后門控制臺.該后臺服務(wù)主要利用Driver.pl(驅(qū)動器選擇)、File.pl(文件管理)、Upload.pl(文件上傳)、UrlDown.pl(通過URL下載執(zhí)行文件)等多個pl腳本文件,實現(xiàn)遠(yuǎn)程控制攻擊服務(wù).

    經(jīng)過身份認(rèn)證后進(jìn)入遠(yuǎn)程控制后臺,發(fā)現(xiàn)該后門具有驅(qū)動器選擇、文件上傳、文件下載、查看屏幕(監(jiān)視遠(yuǎn)程桌面)等遠(yuǎn)程控制功能,與分析木馬程序獲得的pl服務(wù)腳本構(gòu)成是基本一致的.通過瀏覽器遠(yuǎn)程控制被攻擊計算機的界面如圖4所示.


    2.5 利用U盤傳播

    插入U盤到被攻擊計算機,木馬程序會自動在U盤生成autorun.inf和RECYCLER文件夾(文件夾內(nèi)為隱藏的Lcass.exe木馬程序),當(dāng)U盤再次插入到其他計算機時會通過自動播放,或劫持"打開""瀏覽"誘導(dǎo)用戶激活木馬程序,實現(xiàn)木馬程序利用U盤擴大傳播的目的.

    綜上所述,該B/S木馬程序能夠?qū)崿F(xiàn)隱藏?zé)o窗口,采用混淆服務(wù)加載木馬程序?qū)崿F(xiàn)自啟動,通過穿透防火墻開啟后門,等待攻擊者利用.木馬能夠悄悄潛入U盤,通過U盤傳播來擴大攻擊范圍,能夠通過網(wǎng)絡(luò)主動回連報信.攻擊者通過報信信息,不需要任何專用控制端程序,僅需要通過瀏覽器作為控制端就可以很方便實現(xiàn)文件管理、監(jiān)視屏幕等遠(yuǎn)程控制攻擊,這是這款B/S木馬程序的最明顯特點.



    選擇我們,優(yōu)質(zhì)服務(wù),不容錯過
    1. 優(yōu)秀的網(wǎng)絡(luò)資源,強大的網(wǎng)站優(yōu)化技術(shù),穩(wěn)定的網(wǎng)站和速度保證
    2. 15年上海網(wǎng)站建設(shè)經(jīng)驗,優(yōu)秀的技術(shù)和設(shè)計水平,更放心
    3. 全程省心服務(wù),不必?fù)?dān)心自己不懂網(wǎng)絡(luò),更省心。
    ------------------------------------------------------------
    24小時聯(lián)系電話:021-58370032
    99人妻中文字幕视频在,亚洲无码视频在线免费看,久久国产乱子伦免费精品,日本中文字幕色视频网站
    <label id="2a06w"><tt id="2a06w"></tt></label><label id="2a06w"><tt id="2a06w"><em id="2a06w"></em></tt></label><menu id="2a06w"></menu>
  • <dfn id="2a06w"><var id="2a06w"><label id="2a06w"></label></var></dfn>
    <sup id="2a06w"><button id="2a06w"><em id="2a06w"></em></button></sup>
    <dfn id="2a06w"><var id="2a06w"></var></dfn>
    <dfn id="2a06w"></dfn>
  • <dfn id="2a06w"><code id="2a06w"><ins id="2a06w"></ins></code></dfn>
  • <small id="2a06w"><samp id="2a06w"></samp></small>
  • <dfn id="2a06w"><table id="2a06w"><center id="2a06w"></center></table></dfn>
    <label id="2a06w"><tt id="2a06w"><em id="2a06w"></em></tt></label>
    <strike id="2a06w"><form id="2a06w"></form></strike>
    <menu id="2a06w"><tt id="2a06w"></tt></menu>