對Lcass木馬攻擊特點進行分析與監(jiān)測發(fā)布者：本站     時間：2020-05-02 16:05:47

1 引言

在網(wǎng)絡(luò)安全保密風險評估中,筆者發(fā)現(xiàn)名為Lcass的程序具有運行無窗口、通過感染U盤傳播等木馬典型特點,具有一定代表性.為評估其安全保密危害,有必要對其攻擊特點進行分析與監(jiān)測,為此搭建了攻擊分析與演示實驗環(huán)境.

2 木馬程序分析過程

2.1 分析環(huán)境

為分析和驗證木馬程序功能,采用交換機搭建了網(wǎng)絡(luò)分析與驗證環(huán)境,配備4臺計算機,其中1臺用于提供DNS服務(wù),1臺用于監(jiān)測(安裝Snort入侵檢測系統(tǒng)),1臺用做被攻擊計算機,1臺用做攻擊計算機,網(wǎng)絡(luò)拓撲見圖1.

本分析實驗在獨立計算機Windows操作系統(tǒng)下進行,采用了WireShark、RegSnap、Cports等輔助監(jiān)控分析工具,結(jié)合網(wǎng)絡(luò)攻擊等特點進行驗證.

2.2 木馬組成

對比操作系統(tǒng)的服務(wù),發(fā)現(xiàn)木馬程序Lcass利用 "PnP plug On Service"服務(wù)啟動,以達到長期控制受害計算機的目的.木馬程序采用了容易混淆用戶為正常服務(wù)的描述信息,如圖2所示.

提取木馬可執(zhí)行程序Lcass,在實驗計算機上通過RegSnap工具監(jiān)測木馬執(zhí)行前后文件的差別,發(fā)現(xiàn)與木馬程序Lcass相關(guān)的組成文件包括Lcass.dll、Lcass.exe、Mswinsck.ocx、Ntsvc.ocx,均位于C:\WINDOWS\system32\目錄下.其中,Lcass.e x e 是主體文件,也是自身通過 U 盤傳播擴散的主文件,Mswinsck.ocx是提供網(wǎng)絡(luò)后門的程序.

2.3 網(wǎng)絡(luò)回連報信

從操作系統(tǒng)本地防火墻例外列表中,發(fā)現(xiàn)木馬程序Lcass主動避開本地防火墻,懷疑其具有外連通信能力,采用Wireshark監(jiān)測,發(fā)現(xiàn)木馬程序向*zhen.3322.org發(fā)起連接.

在實驗環(huán)境中通過DNS服務(wù)器轉(zhuǎn)化到監(jiān)測計算機后,監(jiān)測相應(yīng)的端口,利用Wireshark捕獲到被攻擊計算機主動向監(jiān)測計算機發(fā)送了系列規(guī)則信息,信息結(jié)構(gòu)如下:

被攻擊計算機/192.168.0.4/88/1.0.195/18分43秒被攻擊計算機/192.168.0.4/88/1.0.195/18分48秒被攻擊計算機/192.168.0.4/88/1.0.195/18分54秒被攻擊計算機/192.168.0.4/88/1.0.195/19分0秒回連信息包括被攻擊計算機名、IP地址、打開端口、程序版本、木馬啟動時間等,其中被控制計算機IP地址和打開端口是向攻擊者用于遠程控制的兩個重要信息,攻擊者可以通過收到的IP地址和打開端口信息,向被攻擊計算機發(fā)起遠程控制攻擊.

2.4 開啟遠程控制后門

通 過 C p o r t s 監(jiān)測 , 發(fā)現(xiàn)木馬程序利用mswinsck.ocx模塊文件開放TCP 88端口,等待攻擊者發(fā)起攻擊,如圖3所示.

木馬程序開放的后門是一個采用Web登錄的ZDC-WEB-SERVER后臺,利用瀏覽器嘗試登錄后門地址入口,需要注冊用戶身份認證才能進入后門控制臺.該后臺服務(wù)主要利用Driver.pl(驅(qū)動器選擇)、File.pl(文件管理)、Upload.pl(文件上傳)、UrlDown.pl(通過URL下載執(zhí)行文件)等多個pl腳本文件,實現(xiàn)遠程控制攻擊服務(wù).

經(jīng)過身份認證后進入遠程控制后臺,發(fā)現(xiàn)該后門具有驅(qū)動器選擇、文件上傳、文件下載、查看屏幕(監(jiān)視遠程桌面)等遠程控制功能,與分析木馬程序獲得的pl服務(wù)腳本構(gòu)成是基本一致的.通過瀏覽器遠程控制被攻擊計算機的界面如圖4所示.

2.5 利用U盤傳播

插入U盤到被攻擊計算機,木馬程序會自動在U盤生成autorun.inf和RECYCLER文件夾(文件夾內(nèi)為隱藏的Lcass.exe木馬程序),當U盤再次插入到其他計算機時會通過自動播放,或劫持"打開""瀏覽"誘導用戶激活木馬程序,實現(xiàn)木馬程序利用U盤擴大傳播的目的.

綜上所述,該B/S木馬程序能夠?qū)崿F(xiàn)隱藏無窗口,采用混淆服務(wù)加載木馬程序?qū)崿F(xiàn)自啟動,通過穿透防火墻開啟后門,等待攻擊者利用.木馬能夠悄悄潛入U盤,通過U盤傳播來擴大攻擊范圍,能夠通過網(wǎng)絡(luò)主動回連報信.攻擊者通過報信信息,不需要任何專用控制端程序,僅需要通過瀏覽器作為控制端就可以很方便實現(xiàn)文件管理、監(jiān)視屏幕等遠程控制攻擊,這是這款B/S木馬程序的最明顯特點.