主題:將不同種類的正常小程式與木馬程式綑綁後執行同時植入木馬
VMWARE 模擬環境:
Hacker:IP:192.168.123.101
工具:綑綁器、第二代木馬、Process Explorer
Server:IP:192.168.123.100
工具:Process Explorer、TcpView
模擬過程:
示範中於Hacker端打開[Process Explorer],當使用者被植入第二代木馬(註一)時,該程式會出現明顯之[紫色]狀態來幫助判斷它可能為[惡意程式](註二)。
首先會先點選[正常的應用程式]的執行狀況,而在[Process Explorer]中不會出現明顯[異常]之變化,再改用[綑綁器]將[第二代木馬]與原本正常之應用程式綑綁在一起之後,再產生[看似正常的應用程式]。
再次點選[被捆綁之應用程式之後],木馬及原本的應用程式會一起被執行,造成使用者會在無意之間感染(被植入)木馬及後門程式。
而後半段則使用該木馬之[控制程式]嘗試掃描IP之後遠端連線進去[被植入後門之電腦](註三),結果發現可以順利看到該電腦之硬碟(C槽),也可按右鍵嘗試取得遠端文件,並且可執行[遠端觀看]使用者之行為。
註一:為方便示範時能清楚觀察到在Process中執行現象,故採用能明顯出現異狀之木馬程式,但絕大多數之木馬感染現象並非一定會在Process中出現,如果採用[Rootkit]之技術的木馬就需特殊方法與工具才能發現其存在。
註二:出現紫色並非一定是[木馬程式],紫色只代表其正在執行中,只是大多數之[木馬程式]是會出現紫色之現象,也有一些正常之常駐程式也是出現[紫色]所以管理應該要自行判斷不要誤刪。
註三:如果被植入之[木馬程式]具有[反向連結]功能的話,則會由使用者端主動回報至駭客端連線,而不需掃描IP。
防治手段:
- 提高防毒軟體病毒碼的更新頻率增加抓到被捆綁的木馬。
- 交叉使用不同防毒軟體確保文件本身沒有被綑綁。
- 在閘道端(Proxy、防毒牆)攔截網路上下載的[好東西]。
- 對於一些常見的木馬可使用[防火牆]嘗試阻擋遠端連線。
- 教育訓練使用者與遵守資安政策。
- 建置IDS/IDP等多層次資訊安全架構。
相關連結:
木馬的假面具:綑綁術
特別聲明:
本影片預設都沒有錄製聲音,只有在舉辦研討會中才會有錄製聲音。
此模擬過程為Demo常見之入侵手法,示範及被攻擊主機均為VMWARE模擬機器而非真實主機。
本示範檔並非[教授入侵技巧],相關[駭客工具]及[木馬程式]等檔案請勿詢問及索取。
