TA的每日心情 | 慵懒 2016-12-14 12:39 |
---|
签到天数: 41 天 [LV.5]常住居民I
|
这是之前自己制作的一个关于网络安全中的软件防火墙的介绍和演示:
百度网盘:
http://pan.baidu.com/s/1eQygKy2
内容节选:
现在很多远程控制软件,外部DDOS,内网ARP攻击都对许多用户造成了许多的困扰,这里我就在网上随便download了一个远程控制软件来做演示。现在介绍下工具和环境
控制软件:
网络人远程控制软件(这里没有灰鸽子或者ghost所以用这个代理了,但是所有的远程控制软件效果和实现方法应该不会相差太多)
客户端系统:windows xp sp3
控制端系统:windows xp sp3
网络防火墙产品:OUTPOST(这里大家可以选一款自己喜欢用的,比如说outpost,天网,小红山等等。)
模拟环境:
假设黑客入侵客户端后植入木马或其他远程控制软件(病毒)客户端的处理方法。
模拟情况:
在我们感觉机器慢,或者鼠标忽然间不正常移动,系统账号被修改,摄像头/麦克风无缘无故启动时,去检查电脑是否正常。
模拟步骤:
1. 客户端关闭所有网络联网项目(为了方便排查问题。)
2. 关闭后,通过cmd命令简单查询客户端的进程和网络连接情况
(1.netstat –an >a.txt 查看网络连接状况 2. Tasklist –svc >b.txt 查看进程项)这是为了将最终结果保存到A.TXT和B.TXT这个2个文件中,现在我们看下结果。
A.txt文档中:
TCP 0.0.0.0:135 0.0.0.0:0 LISTENING
TCP 0.0.0.0:445 0.0.0.0:0 LISTENING
TCP 127.0.0.1:1081 0.0.0.0:0 LISTENING
TCP 192.168.203.130:139 0.0.0.0:0 LISTENING
TCP 192.168.203.130:1271 222.216.30.119:9511 CLOSE_WAIT
TCP 192.168.203.130:1313 222.216.30.119:9511 CLOSE_WAIT
UDP 0.0.0.0:445 *:*
UDP 0.0.0.0:500 *:*
UDP 0.0.0.0:1029 *:*
UDP 0.0.0.0:1030 *:*
可以看到,listening的状态是安全的,因为他们没有和外部机器进行连接。
而CLOSE_WAIT是有问题的,因为我们关闭了所有的网络程序,怎么还会有程序在和外部服务器连接呢? 这里我们就重点排查9511端口和222.216.30.119这个IP。(注:CLOSE_WAIT状态是正在关闭会话。但是我一直观察了很久都没有关闭掉,就证明这个端口肯定是有后台程序正在使用,否则不可能关闭不了。)我们现在来看下B报告
B.txt
Eserver.exe 1720 暂缺
cmd.exe 3036 暂缺
tasklist.exe 2012 暂缺
wmiprvse.exe 3120 暂缺
svchost.exe 1172 DcomLaunch, TermService
svchost.exe 1260 RpcSs
svchost.exe 1396 AudioSrv, Browser, CryptSvc, Dhcp, dmserver,
ERSvc, EventSystem,
首先分析svchost.exe。这个svchost.exe是最危险的,很多远程控制软件,病毒木马都会假装或者劫持这种进程,让用户无法分辨出来。现在分析下来,B报告中并没有给我们一些有效的信息,好像都是正常的。。这时候我们在来输入一个命令来查查这个连接看看。Netstat –anb >c.txt 这个进程是查看网络连接中的关联进程,也就是说我是什么程序来做连接的。虚拟机可能比较卡。我可以给大家看看我机器中的效果。很直观的可以看出来,那个连接是用什么进程连接的。果然好慢 - -!这里我就不等了,我直接告诉大家,我们看到的效果就是
TCP 192.168.203.130:1271 222.216.30.119:9511 CLOSE_WAIT 1720
[Eserver.exe]
TCP 192.168.203.130:1313 222.216.30.119:9511 CLOSE_WAIT 1720
[Eserver.exe]
OK。找到了这个进程和端口就好办了。。我们现在要做的就是阻止他的连接,然后慢慢解剖他!!!
我们看没有阻止前的效果。看到了吧,这是所有远程软件都能做的很简单的功能,其他我就不演示了比如说远程控制,盗取文件之类的。
OK,为了减少损失,我们就开始阻止他把。。
使用outpost,将这个程序的出口给限制住,我不让它发数据包给控制端。。好像我们还没得到木马的位置。。这里我们来查查看。
C:\PROGRAM FILES\ESERVER 这个位置中的ESERVER.EXE 很多防火墙中都可以直接看到应用程序的位置的,这里就靠大家自己找了,很容易的。。
找到位置后,我们开始阻止他。
*Allow Outbound UDP for ESERVER.EXE 这条策略的意思是:这个程序的udp出口包是被allow的。也就是说防火墙允许他的udp数据包发送出去,,直接改成block了,不让他发送了。。
*Allow Outbound TCP for ESERVER.EXE 这条策略意思和UDP的一样的,但是这里给大家一个意见,如果发现了木马或者病毒最好是把他的UDP和TCP协议全部禁止掉,因为你不知道他到底是通过TCP或者是UDP连接的。这里就可以了。。我们现在看下效果。
看到了吧,连接虽然还是有的,但是他的数据包已经被阻止掉了。这时候我们只要慢慢去解剖他就行了。我们看下防火墙的日志
21:45:29 ESERVER.EXE OUT UDP 222.216.30.119 9511 *Block Outbound UDP for ESERVER.EXE 0 0
ESERVER.EXE 这个程序和222.216这个ip的UDP 9511端口被阻止掉了。剩下的都是正常的,好像防火墙帮我阻挡了vmware里面的一些数据包,不过这都不是重点。 OK。阻断开链接后,我们现在解剖这个木马。。
1.找他的注册表,常规木马喜欢待的地方:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
\Run]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]中的shell值,正常的应该是explorer.exe。。查完这些位置后我并没有发现木马,我就比较奇怪了。。。可能不是通过注册表中的run启动的,,那就是服务项了,我们看看。查看服务项需要对windows服务有所了解,这里我就不详细介绍这些了,我们直接看木马的服务项。
C:\Program Files\Eserver\Eserver.exe –server 他的启动路径是不是很熟悉。。仔细看看,就是控制端软件的服务项。所有的windows服务项都是写入注册表的。我们查查看,
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services 所有的服务项都是写在这里面的,我们来查查看刚刚那个服务项。NetOffice 看到了吧,删除他,不让他运行~~~
结束伪装进程,然后删除文件。OK,基本上就可以了,没有启动项,没有运行程序,就可以了,剩下的可以使用360清除下刚刚留下的或者注册表中残留的文件。。。
|
|