目的

1. 通过实验掌握远控程序(计算机木马)的基本原理与安装方法。

2. 掌握远控程序的操控方法,理解防范方法。

原理

1. 远控程序的结构和原理

计算机木马(又名间谍程序)是一种后门程序,常被黑客用作控制远程计算机的工具,很多木马都是基于远控程序开发的,只是增强了隐蔽性和进程保护功能,本实验利用远控程序来体验木马的主要功能。远控程序一般包括控制端和客户端两部分,控制端程序用于攻击者远程控制,客户端程序类似于木马程序,攻击者把客户端程序植入受害计算机里面,进而通过远程控制计算机系统。

进行攻击时,第一步要进行特洛伊木马的植入,这是攻击目标最关键的一步,也是后续攻击的基础。特洛伊木马的植入方法可以分为两大类:被动植入和主动植入。被动植入是指通过人工干预的方式将木马程序安装到目标系统中,植入过程必须依赖于受害用户的手工操作,被动植入主要通过社会工程学的方法将木马程序伪装成合法程序,以达到降低受害用户警觉性,诱骗用户的目的。常用的方法有文件捆绑法、邮件附件和WEB网页挂马。主动植入是指主动攻击方法,通过研究目标系统的脆弱性,利用其漏洞将木马程序通过程序自动安装到目标系统中,植入过程无须受害用户的操作。如“红色代码”就是利用IIS Server上Indexing Service的缓冲区溢出漏洞完成木马植入。无论采用哪种方式,植入木马需要获得计算机管理员权限进行木马程序的安装,所以用户提高防范意识,不随便安装可疑的应用程序,及时给操作系统和应用程序打上补丁,可以有效的防止木马的植入。

特洛伊木马自启动是指目标主机自动加载运行木马程序,而不被用户发现。当前,特洛伊木马自启动一般将木马程序放在系统的启动目录中。在系统中,木马的自启动设置在系统配置文件中,如win.ini、system.ini等,或修改注册表设置实现木马的自动启动,或把木马注册为系统服务,或把木马注入系统服务程序中。在UNIX系统中,木马的自启动设置在init、inted、cron等文件或目录中

2. 木马植入手段

利用木马攻击的第一步是把木马程序植入到目标系统里面。攻击者常用的木马植入手段包括:

(1)下载植入木马。木马程序通常伪装成优秀的工具或游戏,引诱他人下载并执行,由于一般的木马执行程序非常小,大都是几千字节或几十千字节,所以攻击者可以通过一定的方法把木马文件集成到上述文件中,一旦用户下载,在执行其他程序的同时木马也被植入系统。

(2)通过电子邮件来传播。木马程序作为电子邮件的附件发送到目标系统,一旦用户打开此附件(木马),木马就会植入到目标系统中。以此为植入方式的木马常常会以HTML、JPG、BMP、TXT、ZIP等各种非可执行文件的图标显示在附件中,以诱使用户打开附件。

(3)木马程序隐藏在一些具有恶意目的的网站中,目标系统用户在浏览这些网页时,木马通过Script、Active及XML等交互脚本植入。由于微软的IE浏览器在执行Script脚本上存在漏洞,攻击者把木马与含有这些交互脚本的网页联系在一起,利用这些漏洞通过交互脚本植入木马。

(4)利用系统的一些漏洞植入,如微软著名的IIS漏洞,通过相应的攻击程序使IIS服务器失效,同时攻击服务器执行木马执行文件。

(5)攻击者成功入侵目标系统后,把木马植入目标系统。此种情况下木马攻击作为对目标系统攻击的一个环节,以使下次随时进入和控制目标系统。

任务一:配置安装客户端

  1. 直接下载:https://github.com/quasar/QuasarRAT
  2. 解压文件后,运行“Quasar.exe”,

首先配置生成一个客户端程序,点击菜单上的“Builder”,看到如下界面:

3.这里面最主要的配置操作就是填写第一行的IP地址,这里填写控制端的IP地址(简称PC2),例如控制端计算机的IP地址10.166.10.146,就如图所示。我们这里使用默认4782端口。如果自己熟悉,也可以随意配置端口号,如更具有隐蔽性的80端口,记住同时在控制端更改监听端口。

然后点击“Add Host”按钮,将主机加入左边列表中。

点击“生成服务器”,保存文件,得到Client_Built,如图所示:

注:其它选项不用改,使用默认值即可,如想了解,可以参考帮助文件。下面列举一些选项说明:

  1. 可以更改默认的安装文件名,只要不和系统现有的安装名称冲突就可以
  2. 为了让防止服务端在一台主机中不与别的服务端冲突,最好改变一下服务名称、服务显示名称
  3. 如选插入system目录下系统文件,必须测试插入后能否运行、重启与功能能否正常使用;
  4. 隐藏进程选项

为了使用键盘记录功能,在“Surveillance Settings”里面添加键盘记录功能

4.将Client-built拷贝到另一台电脑(客户端,简称PC1),在PC1上双击运行Client-built

一定注意:生成木马文件的电脑是被攻击的对象,生成的木马像一个认领老大的请帖,谁收到,谁就可以打开形同的软件进行监听!!!务必找准定位,我花了五个小时才懂了这个道理!!!!

5.在控制端PC2上运行Quasar,点击Settings并选择开始监听端口(这一步非常重要,一定要点击“Start listening”),如果配置正确,很快就发现客户端上线

我和同学在实验室做的,他是71,我是72

可看到可疑端口:

在控制端PC2和客户端PC1分别查看网络连接情况。在“命令控制行”中使用“netstat –a”命令,查看可疑连接。

任务二:验证远控的主要功能

1.在PC2上,可以从右键菜单中“System”中运行Shell、查看TCP连接、打开注册表等

2.可以从右键菜单中“Surveillance”中运行远程桌面、远程摄像头(需要硬件支持)、键盘记录操作(Keylogger)。

键盘:

3.重点尝试键盘记录操作(Keylogger),从PC2上启动键盘记录后,在客户端PC1上分别打开下面窗口进行登录

打开‘记事本’,输入自己的学号

Dr.Com登录页面,输入用户名和密码并登录

163邮箱,输入用户名和密码并登录

登陆淘宝,输入用户名和密码并登录

网络银行登录,如建行个人网银(安全控件登录),先按照网站要求按照安全控件,再输入用户名和密码并登录

这里使用中信银行做实验:

总结键盘记录功能:木马的存在使键盘不再安全,普通的输入都会被记录下来。而规模大的银行会去做自己的控件,对安全进行防护。相比起来而大多数公司采取的措施是扫码登录,或者使用虚拟键盘技术,都能有效避免被键盘监听的风险。

使用Quasar进行木马植入相关推荐

  1. LInux系统木马植入排查分析 及 应用漏洞修复配置(隐藏bannner版本等)

    在日常繁琐的运维工作中,对linux服务器进行安全检查是一个非常重要的环节.今天,分享一下如何检查linux系统是否遭受了入侵? 一.是否入侵检查 1)检查系统日志 检查系统错误登陆日志,统计IP重试 ...

  2. 数秒植入木马,一击即破,你的DNN模型还安全吗?

    点击上方"AI遇见机器学习",选择"星标"公众号 重磅干货,第一时间送达 来自:机器之心 木马攻击是一种新兴的 DNN 安全问题,它的攻击方式更多也更隐蔽.最近 ...

  3. 蓝光光盘攻击:利用蓝光光盘植入恶意木马

    近日,英国安全研究人员Stephen Tomkinson发现两个基于蓝光光盘的攻击方法,通过将恶意文件存植入到蓝光光盘中,在光驱转动时读取光盘中的恶意代码发起感染电脑.网络攻击等恶意活动. 日前,NC ...

  4. 记录一次被植入木马处理

    1.阿里云电话通知有被木马植入风险 查看控制台有 mine这个程序疑似木马病毒 2.进入服务器 查看top前两个就是占用内存非常高 通过finalshell点击占用mine的文件位置在 /dev/sh ...

  5. 中招!330 万台老年机被植木马,背后黑幕细思极恐

    整理 | 王晓曼 出品 | 程序人生 (ID:coder _life) 近日,一条以侵犯老年人合法权益为犯罪手段的黑灰产业链70余名涉案人员被浙江省绍兴市新昌县法院判处刑罚. 这条黑灰产业链是以非法获 ...

  6. 挖矿木马的战略战术分析

    前言 比特币等虚拟货币在2019年迎来了久违的大幅上涨,从最低3000美元上涨至7月份的14000美元,涨幅达300%,巨大的金钱诱惑使得更多的黑产团伙加入了恶意挖矿的行列.阿里云安全团队通过对云上僵 ...

  7. 攻击 | 神奇的木马(虚拟机模拟木马入侵)

    攻击 | 神奇的木马(在虚拟机环境中模拟木马入侵) →木马渊源 →实验模拟 实验目的 实验设备 实验工具 →实验原理 →具体实验 1.在虚拟机中打开XP系统和2003系统,设置两者IP,保证两者在同一 ...

  8. 如何解决服务器挖矿木马

    服务器挖矿木马在17年初慢慢大规模流行,hack利用网络入侵控制了大量的计算机,在移植矿山计划后,利用计算机的CPU和GPU计算力完成了大量的计算,获得了一些木马远控资源.17年后,挖矿木马慢慢变成互 ...

  9. 木马核心技术剖析读书笔记之木马免杀

    免杀原理 基于特征码的检测 基于病毒特征码的检测方法,是目前反病毒软件最常用的检测技术.经过长时间的收集与积累,反病毒软件建立了庞大的已知病毒的特征数据库.在对可疑软件进行检测时,会从特征数据库中匹配 ...

最新文章

  1. pandas将dataframe中的年、月、日数据列合并成完整日期字符串、并使用to_datetime将字符串格式转化为日期格式
  2. python和java一样吗-Python与Java的区别与优劣?
  3. 2013 javaB1 世纪末的日期
  4. R软件的下载及安装(截图步骤详细)
  5. (HDU)1491-- Octorber 21st (校庆)
  6. ATL之深入浅出书评(转)
  7. 【最新】Oracle官网Java SE各个版本JDK下载位置
  8. Mybatis缓存实现原理
  9. Awesome Competitive Programming
  10. python爬取wifi密码完整代码_WIFIpass – Python获取本机保存的所有WIFI密码(附源代码)...
  11. Win10完美运行红色警戒2的安装包和补丁
  12. 蓝牙BLE协议分析【附代码实例】
  13. wifipumpkin3启动报No such file or directory: b‘liblibc.a‘
  14. 鸿蒙2000plus,天玑2000plus处理器相当于骁龙的多少
  15. 170323 PyQt5 ListWidget的删除
  16. 深入GetMessage,PeekMessage以及Windows消息机制
  17. Dubbo Admin 发布 v0.1;VMware 或与微软放下恩怨展开合作
  18. 可口可乐VS元气森林,谁的酒量更微醺
  19. 浏览器低延时播放监控摄像头RTSP海康大华硬盘录像机NVR视频(EasyNVR播放FLV视频流)
  20. 机器学习 | MATLAB实现MLP多层感知机newff参数设定(下)

热门文章

  1. mysql mmm write vip_MySQLHAbyusingMysql-mmm
  2. 虚拟服务器vps怎么扩展,vps虚拟服务器怎么用
  3. 剑灵南天国服务器位置,剑灵南天国实验室商城说明及FAQ
  4. 腾讯Hardcoder Android通讯框架简介
  5. 我的世界java版是免费,我的世界Java版
  6. iOS中检测硬件和传感器
  7. Spring Boot的shiro整合(下)
  8. 资源分享:嵌入式stm32项目开发 心率检测仪的设计与实现
  9. FX5U编程常用特殊软元
  10. 基于北斗导航定位系统的设计与实现(论文+程序设计源码+数据库文件)