查看: 249396|回复: 671

网络安全——防火墙

[复制链接]
  • TA的每日心情
    慵懒
    2016-12-14 12:39
  • 签到天数: 41 天

    [LV.5]常住居民I

    发表于 2015-10-23 09:17:32 | 显示全部楼层 |阅读模式
    这是之前自己制作的一个关于网络安全中的软件防火墙的介绍和演示:

    百度网盘:
    http://pan.baidu.com/s/1eQygKy2
    游客,如果您要查看本帖隐藏内容请回复



    内容节选:

            现在很多远程控制软件,外部DDOS,内网ARP攻击都对许多用户造成了许多的困扰,这里我就在网上随便download了一个远程控制软件来做演示。现在介绍下工具和环境

    控制软件:
    网络人远程控制软件(这里没有灰鸽子或者ghost所以用这个代理了,但是所有的远程控制软件效果和实现方法应该不会相差太多)
    客户端系统:windows xp sp3
    控制端系统:windows xp sp3
    网络防火墙产品:OUTPOST(这里大家可以选一款自己喜欢用的,比如说outpost,天网,小红山等等。)

    模拟环境:
            假设黑客入侵客户端后植入木马或其他远程控制软件(病毒)客户端的处理方法。

    模拟情况:
    在我们感觉机器慢,或者鼠标忽然间不正常移动,系统账号被修改,摄像头/麦克风无缘无故启动时,去检查电脑是否正常。

    模拟步骤:
    1.        客户端关闭所有网络联网项目(为了方便排查问题。)
    2.        关闭后,通过cmd命令简单查询客户端的进程和网络连接情况
    (1.netstat –an >a.txt 查看网络连接状况    2. Tasklist –svc >b.txt 查看进程项)这是为了将最终结果保存到A.TXT和B.TXT这个2个文件中,现在我们看下结果。
    A.txt文档中:
      TCP    0.0.0.0:135            0.0.0.0:0              LISTENING
      TCP    0.0.0.0:445            0.0.0.0:0              LISTENING
      TCP    127.0.0.1:1081         0.0.0.0:0              LISTENING
      TCP    192.168.203.130:139    0.0.0.0:0              LISTENING
      TCP    192.168.203.130:1271   222.216.30.119:9511    CLOSE_WAIT
      TCP    192.168.203.130:1313   222.216.30.119:9511    CLOSE_WAIT
      UDP    0.0.0.0:445            *:*                    
      UDP    0.0.0.0:500            *:*                    
      UDP    0.0.0.0:1029           *:*                    
      UDP    0.0.0.0:1030           *:*      
    可以看到,listening的状态是安全的,因为他们没有和外部机器进行连接。
    而CLOSE_WAIT是有问题的,因为我们关闭了所有的网络程序,怎么还会有程序在和外部服务器连接呢?   这里我们就重点排查9511端口和222.216.30.119这个IP。(注:CLOSE_WAIT状态是正在关闭会话。但是我一直观察了很久都没有关闭掉,就证明这个端口肯定是有后台程序正在使用,否则不可能关闭不了。)我们现在来看下B报告
    B.txt
    Eserver.exe                 1720 暂缺                                         
    cmd.exe                     3036 暂缺                                         
    tasklist.exe                2012 暂缺                                         
    wmiprvse.exe                3120 暂缺   
    svchost.exe                 1172 DcomLaunch, TermService                     
    svchost.exe                 1260 RpcSs                                       
    svchost.exe                 1396 AudioSrv, Browser, CryptSvc, Dhcp, dmserver,
                                     ERSvc, EventSystem,   
    首先分析svchost.exe。这个svchost.exe是最危险的,很多远程控制软件,病毒木马都会假装或者劫持这种进程,让用户无法分辨出来。现在分析下来,B报告中并没有给我们一些有效的信息,好像都是正常的。。这时候我们在来输入一个命令来查查这个连接看看。Netstat –anb >c.txt 这个进程是查看网络连接中的关联进程,也就是说我是什么程序来做连接的。虚拟机可能比较卡。我可以给大家看看我机器中的效果。很直观的可以看出来,那个连接是用什么进程连接的。果然好慢 - -!这里我就不等了,我直接告诉大家,我们看到的效果就是
      TCP    192.168.203.130:1271   222.216.30.119:9511    CLOSE_WAIT      1720
      [Eserver.exe]

      TCP    192.168.203.130:1313   222.216.30.119:9511    CLOSE_WAIT      1720
      [Eserver.exe]
    OK。找到了这个进程和端口就好办了。。我们现在要做的就是阻止他的连接,然后慢慢解剖他!!!
    我们看没有阻止前的效果。看到了吧,这是所有远程软件都能做的很简单的功能,其他我就不演示了比如说远程控制,盗取文件之类的。  
    OK,为了减少损失,我们就开始阻止他把。。
    使用outpost,将这个程序的出口给限制住,我不让它发数据包给控制端。。好像我们还没得到木马的位置。。这里我们来查查看。
    C:\PROGRAM FILES\ESERVER  这个位置中的ESERVER.EXE   很多防火墙中都可以直接看到应用程序的位置的,这里就靠大家自己找了,很容易的。。
    找到位置后,我们开始阻止他。
    *Allow Outbound UDP for ESERVER.EXE  这条策略的意思是:这个程序的udp出口包是被allow的。也就是说防火墙允许他的udp数据包发送出去,,直接改成block了,不让他发送了。。
    *Allow Outbound TCP for ESERVER.EXE 这条策略意思和UDP的一样的,但是这里给大家一个意见,如果发现了木马或者病毒最好是把他的UDP和TCP协议全部禁止掉,因为你不知道他到底是通过TCP或者是UDP连接的。这里就可以了。。我们现在看下效果。
    看到了吧,连接虽然还是有的,但是他的数据包已经被阻止掉了。这时候我们只要慢慢去解剖他就行了。我们看下防火墙的日志
    21:45:29        ESERVER.EXE        OUT        UDP        222.216.30.119        9511        *Block Outbound UDP for ESERVER.EXE        0        0

    ESERVER.EXE 这个程序和222.216这个ip的UDP 9511端口被阻止掉了。剩下的都是正常的,好像防火墙帮我阻挡了vmware里面的一些数据包,不过这都不是重点。 OK。阻断开链接后,我们现在解剖这个木马。。
    1.找他的注册表,常规木马喜欢待的地方:
    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce]
    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]
    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices]
    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce]
    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce]
    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx]
    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
    \Run]
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]中的shell值,正常的应该是explorer.exe。。查完这些位置后我并没有发现木马,我就比较奇怪了。。。可能不是通过注册表中的run启动的,,那就是服务项了,我们看看。查看服务项需要对windows服务有所了解,这里我就不详细介绍这些了,我们直接看木马的服务项。
    C:\Program Files\Eserver\Eserver.exe –server  他的启动路径是不是很熟悉。。仔细看看,就是控制端软件的服务项。所有的windows服务项都是写入注册表的。我们查查看,
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services 所有的服务项都是写在这里面的,我们来查查看刚刚那个服务项。NetOffice 看到了吧,删除他,不让他运行~~~
    结束伪装进程,然后删除文件。OK,基本上就可以了,没有启动项,没有运行程序,就可以了,剩下的可以使用360清除下刚刚留下的或者注册表中残留的文件。。。
    回复

    使用道具 举报

  • TA的每日心情

    2022-4-30 19:47
  • 签到天数: 66 天

    [LV.6]常住居民II

    发表于 2015-10-23 09:33:25 | 显示全部楼层
    多谢分享,谢谢了
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    无聊
    2017-1-31 15:59
  • 签到天数: 132 天

    [LV.7]常住居民III

    发表于 2015-10-23 10:11:16 | 显示全部楼层
    是不是直接讲的?:我来看看
    回复 支持 反对

    使用道具 举报

  • TA的每日心情

    2020-3-29 08:03
  • 签到天数: 255 天

    [LV.8]以坛为家I

    发表于 2015-10-23 10:27:14 来自手机 | 显示全部楼层
    看看分享,,,
    回复 支持 反对

    使用道具 举报

  • TA的每日心情

    2017-8-27 20:20
  • 签到天数: 184 天

    [LV.7]常住居民III

    发表于 2015-10-23 16:32:32 | 显示全部楼层
    感谢分享~~
    回复 支持 反对

    使用道具 举报

  • TA的每日心情

    2017-3-6 20:54
  • 签到天数: 123 天

    [LV.7]常住居民III

    发表于 2015-10-24 00:33:11 | 显示全部楼层
    拿来看看
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    开心
    2016-3-16 11:26
  • 签到天数: 24 天

    [LV.4]偶尔看看III

    发表于 2015-10-24 06:29:23 | 显示全部楼层
    谢谢  楼主教授
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    开心
    2015-6-21 22:12
  • 签到天数: 1 天

    [LV.1]初来乍到

    发表于 2015-10-24 22:50:26 | 显示全部楼层
    感谢楼主的分享~
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2015-10-25 20:49:08 | 显示全部楼层
    还是不错的哦,顶了
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2015-10-26 23:11:16 | 显示全部楼层
    还是不错的哦,顶了
    回复 支持 反对

    使用道具 举报

    您需要登录后才可以回帖 登录 | 注册

    本版积分规则

    指导单位

    江苏省公安厅

    江苏省通信管理局

    浙江省台州刑侦支队

    DEFCON GROUP 86025

    旗下站点

    邮箱系统

    应急响应中心

    红盟安全

    联系我们

    官方QQ群:112851260

    官方邮箱:security#ihonker.org(#改成@)

    官方核心成员

    Archiver|手机版|小黑屋| ( 苏ICP备2021031567号 )

    GMT+8, 2024-12-22 14:50 , Processed in 0.026796 second(s), 15 queries , Gzip On, MemCache On.

    Powered by ihonker.com

    Copyright © 2015-现在.

  • 返回顶部