实验二木马分析（控制分析）实验

备注可以到我的石墨分享看 https://shimo.im/doc/5tIpxHuWgjsiNqWY?r=JKZ3D8

1、伪装木马

木马的伪装方式主要有以下6种。

修改图标

现在，已经有木马服务端程序的图标改成HTML、TXT、ZIP等文件的图标，这具有相当大的迷惑性。

捆绑文件

这种伪装手段是将木马捆绑到一个安装程序上，当安装程序运行时，木马在用户毫无察觉的情况下，偷偷地入驻系统。至于被捆的文件，一般是可执行文件（即EXE、COM一类的文件）。

出错显示

当服务端用户打开木马程序时，为了迷惑用户，木马程序会弹出一个错误提示框。错误内容大多会定制成诸如“文件已破坏，无法打开！”之类的信息，如果服务端用户信以为真，木马会悄悄入驻系统。

定制端口

很多老式木马的端口都是固定的，这给判断是否感染了木马带来了方便，只要查一下特定的端口就知道感染了什么木马，所以现在很多新式木马都加入了定制端口的功能，控制端用户可以在1024-65535之间任选一个端口作为木马端口（一般不选1024以下的端口），这样就给判断木马的类型带来了麻烦。

自我销毁

木马的自我销毁功能是指安装完木马后，原木马文件将自动销毁。这样服务端用户就很难找到木马的来源，在没有查杀木马工具的帮助下很难删除木马。

木马更名

现在有很多木马都允许控制端用户自由定制安装后的木马文件名，这样很难根据文件名来判断所感染的木马类型。

2、感染过程嗅探分析

过程中我们使用的是两个虚拟机，win7作为控制机ip：192.168.19.131；windows xp 系统作为感染机ip：192.168.159.132.在感染中我捕获的报文利用(ip.src==192.168.159.131&&ip.dst==192.168.159.132)||(ip.dst==192.168.159.132 &&ip.src==192.168.159.131)筛选两台主机之间的通信。

我们能够看到，感染主机（131）向控制主机（132）发送报文，他们是通过tcp三次握手方式建立连接。我们也是可以看到会两台主机之间的通信会不断的增加（从xp不同时间段截获的报文可以看到），会不断发送TCP keep-Alive来保持两台机器的联系。

Windows7中截获的报文

Windowsxp中截获的报文

3、木马控制

当木马成功植入之后，会在控制端看到被控主机上线

在功能栏可以看到监控、监听、文件获取、命令行代码、操控主机等功能键

监视功能如果感染机器有摄像头可以打开摄像头经行监视对面的情况

监听功能见，可以调用对方的麦克风对对方实现有效的监听

在主界面的下方还有几个其他的功能，例如筛选、下载文件、打开网页、综合功能、ddos攻击发起、修改备注等等。

下图是向被控主机发送消息

下图展示了远程操作被控主机

打开网页功能可以让被控主机打开相应的网页

Ddos攻击，可以利用被控主机当作僵尸机器对某些网络发起ddos攻击

4、分析受控期间的网络通信数据

这里我们分析一个其中一种的控制方式控制期间的通信方式。

1）这是向被控主机发送消息的主机消息的通信方式。

2）截获的他们直接的通信

3）对其通信分析可以知道其中data就是我们发送的“你已经被我控制了”这里我们可以看到在两台主机之间传递信息是加密传送。

实验三木马植入方法实验

1、植入阶段

主要利用操作系统的漏洞进行攻击植入，造成缓冲区溢出。如堆栈型（Stack）缓冲区溢出、格式化字符串（Format String）漏洞、堆（Heap）和静态数据（BSS）的缓冲区溢出。以及利用应用软件的漏洞进行植入。

利用交互脚本植入：如通过Script、ActiveX及XML、ASP、CGI交互脚本植入。还有就是靠电子邮件植入和通过QQ或者MSN发送超链接。

2、安装阶段行为特征

木马被控制端程序在安装阶段存在显著的区别于一般合法程序的行为特征。表现出的具体行为特征如下：1）自动压缩或者解压缩文件。2）文件增大3）隐藏伪装安装木马控制端过程中产生的部分文件。4）将文件属性设置为系统隐蔽、只读。5）将文件图标更换进行伪装，冒充系统文件或者图片、文本等其他非可执行的文件。6）将文件的名字进行伪装，冒充系统文件或常用的应用程序文件名。7) 将文件自我删除等等。

3、网络通信阶段的行为特征分析

木马被控制端与控制端通常需要建立通信通道进行信息交流，在网络通信阶段，其行为特征表现如下：

利用1024以上的高端口进行网络通信。

利用端口复用技术或端口寄生技术进行网络通信。

利用反向连接技术进行网络通信。主要利用防火墙的漏洞、反弹端口、创建套接字连接客户端。

利用潜伏技术，使用ICMP协议进行网络通信。

利用电子邮件、IRC及ICQ等方式与控制端进行网络通信。

通过发送UDP以及FTP的方式进行网络通信。

在网络通信过程中，产生异常的通信流量变化。

利用“HTTP隧道技术”。将所要传送的数据全部封装到HTTP协议里进行传送，访问局域网里通过HTTP、SOCK S4/5代理上网的电脑，实现穿墙。

建立隐蔽通道。

利用Option域和传输数据时通常很少用到的域。

利用传输数据时必须强制填充的域。

木马被控制端处于监听状态，等待其他进程通信。

利用数据缓冲区暂存待发送的数据。

利用进程通信发许多SYN包。

4、植入冰河木马

1）在网上下载冰河木马程序，可能会被拦截删除，自己主动添加信任就好。最好关闭防火墙，要不然容易扫描不到主机。

2）VM虚拟机安全策略配置（被控制机器）

账户：使用空白密码的本地账户只允许进行控制台登陆”设置为禁用

本地账户的共享和安全模式调整为经典模式

3）上传冰河木马服务端（控制机向被控制机可以通过ipc管道漏洞进行传输）

（1）进行主机扫描

（2）利用net命令使用登陆目标主机

（3）查看目标主机当前时间

（4）设定触发事件

（5）在目标主机查看触发时间

（6）查看前后注册表的变化

（7）再次扫描可以看到已经可以控制目标机

（8）操控目标主机

5、总结

本实验通过利用Windows的IPC$漏洞，向目标主机中植入冰河木马，从而实现对目标主机的控制，能够进一步了解木马植入的原理与方法。