木马概述

灰鸽子( Huigezi),原本该软件适用于公司和家庭管理,其功能十分强大,不但能监视摄像头、键盘记录、监控桌面、文件操作等。还提供了黑客专用功能,如:伪装系统图标、随意更换启动项名称和表述、随意更换端口、运行后自删除、毫无提示安装等,并采用反弹链接这种缺陷设计,使得使用者拥有最高权限,一经破解即无法控制。最终导致被黑客恶意使用。原作者的灰鸽子被定义为是一款集多种控制方式于一体的木马程序。

自2001年,灰鸽子诞生之日起,就被反病毒专业人士判定为最具危险性的后门程序,并引发了安全领域的高度关注。2004年、2005年、2006年,灰鸽子木马连续三年被国内各大杀毒厂商评选为年度十大病毒,灰鸽子也因此声名大噪,逐步成为媒体以及网民关注的焦点。

当用户电脑“中马”后,黑客就会拥有用户电脑的最高管理权限,包括随意修改、窃取用户电脑的文件,监控电脑的键盘和屏幕、摄像头等等。

2007年3月21日,灰鸽子工作室决定全面停止对灰鸽子远程管理软件的开发、更新和注册,以实际行动和坚定的态度来抵制这种非法利用灰鸽子远程管理软件的不法行为,并诚恳接受广大网民的监督。”此外,灰鸽子工作室还发布了灰鸽子服务端卸载程序。

木马构成

“灰鸽子”木马,由两部分组成,一是控制端(主程序),一是服务端(也叫受控端)。任一部分都会被主流的杀毒软件查杀,但随着其不断衍生新的变种和一些免杀技巧经常绕过一些主动防御软件,使得用户防不胜防。

黑客利用客户端程序配置出服务端程序。可配置的信息主要包括上线类型(如等待连接还是主动连接)、主动连接时使用的公网IP(域名)、连接密码、使用的端口、启动项名称、服务名称,进程隐藏方式,使用的壳,代理,图标等等。

配置出来的服务端文件文件名为G_Server.exe(这是默认的,当然也可以改变)。然后黑客利用一切办法诱骗用户运行G_Server.exe程序。

运行过程

G_Server.exe运行后将自己拷贝到Windows目录下(98/xp下为系统盘的windows目录,2k/NT下为系统盘的Winnt目录),然后再从体内释放G_Server.dll和G_Server_Hook.dll到windows目录下。G_Server.exe、G_Server.dll和G_Server_Hook.dll三个文件相互配合组成了灰鸽子服务端, G_Server_Hook.dll负责隐藏灰鸽子。通过截获进程的API调用隐藏灰鸽子的文件、服务的注册表项,甚至是进程中的模块名。截获的函数主要是用来遍历文件、遍历注册表项和遍历进程模块的一些函数。所以,有些时候用户感觉中了毒,但仔细检查却又发现不了什么异常。有些灰鸽子会多释放出一个名为G_ServerKey.dll的文件用来记录键盘操作。注意,G_Server.exe这个名称并不固定,它是可以定制的,比如当定制服务端文件名为A.exe时,生成的文件就是A.exe、A.dll和A_Hook.dll。

Windows目录下的G_Server.exe文件将自己注册成服务(9X系统写注册表启动项),每次开机都能自动运行,运行后启动G_Server.dll和G_Server_Hook.dll并自动退出。G_Server.dll文件实现后门功能,与控制端客户端进行通信;G_Server_Hook.dll则通过拦截API调用来隐藏病毒。因此,中毒后看不到病毒文件,也看不到病毒注册的服务项。随着灰鸽子服务端文件的设置不同,G_Server_Hook.dll有时候附在Explorer.exe的进程空间中,有时候则是附在所有进程中。

传播方式

灰鸽子自身并不具备传播性,一般通过捆绑的方式进行传播。灰鸽子传播的四大途径:网页传播、邮件传播、IM聊天工具传播、非法软件传播。

  1. 网页传播:病毒制作者将灰鸽子病毒植入网页中,用户浏览即感染。
  2. 邮件传播:灰鸽子被捆绑在邮件附件中进行传播。
  3. 聊天工具传播:通过即时聊天工具传播携带灰鸽子的网页链接或文件。
  4. 非法软件传播:病毒制作者将灰鸽子病毒捆绑进各种非法软件,用户下载解压安装即感染。

远控实验

实验环境

Windows 机器两台,网络拓扑见下图(主控端:10.1.1.228,被控端:10.1.1.40):

打开两台Windows 实验台,运行 Windows xp系统(请提前关闭防火墙,实验中IP以实验机中为准)。

控制端配置

(1)安装HTTP服务器

(2)运行HTTP服务器,点击“Start”按钮。

(3)配置FTP服务器
进行如下配置:侦听端口:21;最大连接:100;账户名称及密码:自行填写;访问目录:为HTTP服务器根目录;设置好后点击“启动服务”。

(4)生成被控端(即服务器程序)
点击“更新IP”进行设置——FTP服务器:填写本机地址,端口:默认;用户名及密码:填写FTP服务器设置的用户名及密码;存放IP的文件:默认;IP文件内容:默认;最后点击“更新IP到FTP空间”。

查看是否更新成功:

配置鸽子:点击“配置服务器”——IP:填写http://本地IP地址/ip.txt;安装路径:Windows目录;安装名称:H_Srver.exe;连接密码:1234;上线分组:在线主机。

点击“生成服务端”,将服务端程序放到指定目录,点击“保存”:

至此,成功生成服务端程序。

服务端配置

接下来需要将服务端程序从控制端主机拷贝至被控端主机(本实验中使用文件共享的方式)。

(1)在控制端主机桌面新建一个空文件夹True,将灰鸽子木马的服务端程序拷贝到该文件夹中,并将其设置为共享文件夹:

(2)在被控制主机上访问该共享文件夹,拷贝木马程序的服务端到本机桌面:
(3)双击运行R_Server.exe文件(注意不会弹出页面),然后启动Internet Explorer浏览器。
(4)关闭控制端主机的防火墙,输入连接密码1234,然后点击“应用改变”,主控端和被控端连接成功。

至此,主控端和被控端连接成功。

灰鸽子体验

主控端和被控端连接成功后,我们就可以在主机上借助灰鸽子客户端对被控主机进行远程控制了,下面来体验一下。

屏幕监控

在主控端右击当前在线主机,选择“屏幕监控”,点击“启动”,即可监控被控端屏幕,被控端屏幕如下:

设备监控

右键选择“设备监控”,可进行视频读取、语音监听等操作。

文件控制

右键选择“文件管理”,找到一个文件或文件夹,右键选择“文件(夹)下载至本地”,即可下载被控端文件。

CMD操作

右键选择“CMD操作”,输入cmd命令可显示结果。
灰鸽子木马的对被控制主机的其他控制功能,如注册表管理、服务管理、进程管理等,此处不再介绍。

渗透测试-灰鸽子远控木马相关推荐

  1. 灰鸽子远控软件使用及xuetr查杀

    灰鸽子远控软件 这里靶机是2003,别的不一定管用 重新配一个 壳的左右除了减小体积,还可以对其加密 假如这个木马做了免杀,我们怎么去发现他 按进程,启动项,服务,计划任务等一个一个找 手工删除

  2. 远程控制---实验十:灰鸽子远控软件使用实验

    目录 一.实验目的及要求 二.实验原理 三.实验环境 四.实验步骤及内容 实验步骤一 实验步骤二:灰鸽子体验 五.实验总结 六.分析与思考 一.实验目的及要求 1.掌握经典远控木马的原理 2.掌握&q ...

  3. 渗透测试快速稳定远控软件,高级渗透测试第八季-demo即是远控

    本季是<高级持续渗透-第七季demo的成长>的延续. 点击文末左下方"阅读原文"可阅读第七季正文. https://www.secpulse.com/archives/ ...

  4. 渗透测试快速稳定远控软件,2019-9-11:渗透测试,Kill远控软件,初接触

    初步使用Kill远控软件,使win7靶机被远控 该文章仅供学习,利用方法来自网络文章,仅供参考 1,打开运行Kill,选择系统设置,设置监听端口,通讯密码,点击保存设置 2,点击服务生成,上线参数,设 ...

  5. 灰鸽子远控软件使用实验

    "灰鸽子"是现在网络上非常流行的一种木马,由两部分组成,一是控制端(主程序),一是服务端(也叫受控端).任一部分都会被主流的杀毒软件查杀,但随着其不断衍生新的变种和一些免杀技巧经常 ...

  6. msf之msfvenom的使用—使用Kali渗透工具生成远控木马

    一.先解释一下 msfvenom取代了msfpayload和msfencode,常用于生成远控木马,在目标机器上执行后门,在本地机器kali中监听上线. (注意:msfvenom是在shell里使用的 ...

  7. 远控木马上演白利用偷天神技:揭秘假破解工具背后的盗刷暗流

    本文讲的是远控木马上演白利用偷天神技:揭秘假破解工具背后的盗刷暗流,如今,不少人为了省钱,会尝试各种免费的方法获取网盘或视频播放器的会员权限,网上也流传着不少"网盘不限速神器"或者 ...

  8. 一款远控木马分析,仅供学习思路用途

    最近一段时间在面试病毒相关岗位,有的公司会电话.远程面试询问相关知识,有的则会直接发送病毒样本要求分析,写出分析报告.下面要分析的就是面试过程中的某个样本,整理成文,发表出来,供大家参考学习,一起进步 ...

  9. 安全研究人员发现:Nanocore等多个远控木马滥用公有云服务传播

    前言 攻击者越来越多的采用云来构建自己的基础设施,这样不仅能够使攻击者以最少的时间或金钱部署攻击基础设施,也能让追踪攻击行动变得更困难. 从 2021 年 10 月 26 日开始,研究人员发现多个远控 ...

  10. [网络安全自学篇] 九十.远控木马详解及APT攻击中的远控和防御

    这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步.前文分享了软件来源分析,结合APT攻击中常见的判断方法,利用Python调用扩展包进 ...

最新文章

  1. 介绍使用 GNU Screen 的小技巧
  2. Python入门100题 | 第045题
  3. 《系统集成项目管理工程师》必背100个知识点-59项目总结会议
  4. Linux ps指令
  5. LeetCode 情侣牵手 (贪心)
  6. 解决org.apache.ibatis.binding.BindingException: Invalid bound statement (not found)错误
  7. Oracle优化 -- 关于Database Buffer Cache相关参数DB_CACHE_SIZE的优化设置
  8. 3种双集群系统方案设计模式详解
  9. 大数据时代激活数据管理新思路
  10. 智能虚拟代理改善了哪些行业?
  11. 4.RabbitMQ实战 --- 解决Rabbit相关问题:编码与模式,RPC
  12. 图形数据库 Neo4j(2) ----Java
  13. python批量创建txt文件
  14. WEB系统中集成控制扫描仪解决方案
  15. 控制算法简析3——LKA中PID控制的error选取
  16. python抽奖小程序_python实现简单的抽奖小程序,抽奖的内容从文件里面读取
  17. 无刷马达驱动方案之电动工具方案设计
  18. 移动端300ms延迟的由来及解决方案
  19. 特步公布全新战略定位世界级中国跑鞋;电通集团计划过渡到新的全球集成领导架构 | 美通企业日报...
  20. 揭秘经典案例炼成之道 微信开发者大会精华回顾

热门文章

  1. Orientation模块管理设备的方向信息,包括alpha、beta、gamma三个方向信息,通过plus.orientation可获取设备方向管理对象
  2. White Sheet(面积法)
  3. 软件工程师日语词汇表
  4. python实现报表的分组统计_Python 分组处理
  5. shopex服务器信息,ShopEx开放平台
  6. APP项目资源对接平台有那几家
  7. e900v21e 装第三方_创维e900v21e刷机包
  8. 清华梦的粉碎—写给清华大学的退学申请(by王垠)
  9. Raspberry Pi树莓派分类和其相似产品介绍
  10. element-ui表格合并数据相同行