&

對(duì)Lcass木馬攻擊特點(diǎn)進(jìn)行分析與監(jiān)測(cè)發(fā)布者：本站時(shí)間：2020-05-02 16:05:47

1 引言

在網(wǎng)絡(luò)安全保密風(fēng)險(xiǎn)評(píng)估中,筆者發(fā)現(xiàn)名為Lcass的程序具有運(yùn)行無窗口、通過感染U盤傳播等木馬典型特點(diǎn),具有一定代表性.為評(píng)估其安全保密危害,有必要對(duì)其攻擊特點(diǎn)進(jìn)行分析與監(jiān)測(cè),為此搭建了攻擊分析與演示實(shí)驗(yàn)環(huán)境.

2 木馬程序分析過程

2.1 分析環(huán)境

為分析和驗(yàn)證木馬程序功能,采用交換機(jī)搭建了網(wǎng)絡(luò)分析與驗(yàn)證環(huán)境,配備4臺(tái)計(jì)算機(jī),其中1臺(tái)用于提供DNS服務(wù),1臺(tái)用于監(jiān)測(cè)(安裝Snort入侵檢測(cè)系統(tǒng)),1臺(tái)用做被攻擊計(jì)算機(jī),1臺(tái)用做攻擊計(jì)算機(jī),網(wǎng)絡(luò)拓?fù)湟妶D1.

本分析實(shí)驗(yàn)在獨(dú)立計(jì)算機(jī)Windows操作系統(tǒng)下進(jìn)行,采用了WireShark、RegSnap、Cports等輔助監(jiān)控分析工具,結(jié)合網(wǎng)絡(luò)攻擊等特點(diǎn)進(jìn)行驗(yàn)證.

2.2 木馬組成

對(duì)比操作系統(tǒng)的服務(wù),發(fā)現(xiàn)木馬程序Lcass利用 "PnP plug On Service"服務(wù)啟動(dòng),以達(dá)到長期控制受害計(jì)算機(jī)的目的.木馬程序采用了容易混淆用戶為正常服務(wù)的描述信息,如圖2所示.

提取木馬可執(zhí)行程序Lcass,在實(shí)驗(yàn)計(jì)算機(jī)上通過RegSnap工具監(jiān)測(cè)木馬執(zhí)行前后文件的差別,發(fā)現(xiàn)與木馬程序Lcass相關(guān)的組成文件包括Lcass.dll、Lcass.exe、Mswinsck.ocx、Ntsvc.ocx,均位于C:\WINDOWS\system32\目錄下.其中,Lcass.e x e 是主體文件,也是自身通過 U 盤傳播擴(kuò)散的主文件,Mswinsck.ocx是提供網(wǎng)絡(luò)后門的程序.

2.3 網(wǎng)絡(luò)回連報(bào)信

從操作系統(tǒng)本地防火墻例外列表中,發(fā)現(xiàn)木馬程序Lcass主動(dòng)避開本地防火墻,懷疑其具有外連通信能力,采用Wireshark監(jiān)測(cè),發(fā)現(xiàn)木馬程序向*zhen.3322.org發(fā)起連接.

在實(shí)驗(yàn)環(huán)境中通過DNS服務(wù)器轉(zhuǎn)化到監(jiān)測(cè)計(jì)算機(jī)后,監(jiān)測(cè)相應(yīng)的端口,利用Wireshark捕獲到被攻擊計(jì)算機(jī)主動(dòng)向監(jiān)測(cè)計(jì)算機(jī)發(fā)送了系列規(guī)則信息,信息結(jié)構(gòu)如下:

被攻擊計(jì)算機(jī)/192.168.0.4/88/1.0.195/18分43秒被攻擊計(jì)算機(jī)/192.168.0.4/88/1.0.195/18分48秒被攻擊計(jì)算機(jī)/192.168.0.4/88/1.0.195/18分54秒被攻擊計(jì)算機(jī)/192.168.0.4/88/1.0.195/19分0秒回連信息包括被攻擊計(jì)算機(jī)名、IP地址、打開端口、程序版本、木馬啟動(dòng)時(shí)間等,其中被控制計(jì)算機(jī)IP地址和打開端口是向攻擊者用于遠(yuǎn)程控制的兩個(gè)重要信息,攻擊者可以通過收到的IP地址和打開端口信息,向被攻擊計(jì)算機(jī)發(fā)起遠(yuǎn)程控制攻擊.

2.4 開啟遠(yuǎn)程控制后門

通過 C p o r t s 監(jiān)測(cè) , 發(fā)現(xiàn)木馬程序利用mswinsck.ocx模塊文件開放TCP 88端口,等待攻擊者發(fā)起攻擊,如圖3所示.

木馬程序開放的后門是一個(gè)采用Web登錄的ZDC-WEB-SERVER后臺(tái),利用瀏覽器嘗試登錄后門地址入口,需要注冊(cè)用戶身份認(rèn)證才能進(jìn)入后門控制臺(tái).該后臺(tái)服務(wù)主要利用Driver.pl(驅(qū)動(dòng)器選擇)、File.pl(文件管理)、Upload.pl(文件上傳)、UrlDown.pl(通過URL下載執(zhí)行文件)等多個(gè)pl腳本文件,實(shí)現(xiàn)遠(yuǎn)程控制攻擊服務(wù).

經(jīng)過身份認(rèn)證后進(jìn)入遠(yuǎn)程控制后臺(tái),發(fā)現(xiàn)該后門具有驅(qū)動(dòng)器選擇、文件上傳、文件下載、查看屏幕(監(jiān)視遠(yuǎn)程桌面)等遠(yuǎn)程控制功能,與分析木馬程序獲得的pl服務(wù)腳本構(gòu)成是基本一致的.通過瀏覽器遠(yuǎn)程控制被攻擊計(jì)算機(jī)的界面如圖4所示.

2.5 利用U盤傳播

插入U(xiǎn)盤到被攻擊計(jì)算機(jī),木馬程序會(huì)自動(dòng)在U盤生成autorun.inf和RECYCLER文件夾(文件夾內(nèi)為隱藏的Lcass.exe木馬程序),當(dāng)U盤再次插入到其他計(jì)算機(jī)時(shí)會(huì)通過自動(dòng)播放,或劫持"打開""瀏覽"誘導(dǎo)用戶激活木馬程序,實(shí)現(xiàn)木馬程序利用U盤擴(kuò)大傳播的目的.

綜上所述,該B/S木馬程序能夠?qū)崿F(xiàn)隱藏?zé)o窗口,采用混淆服務(wù)加載木馬程序?qū)崿F(xiàn)自啟動(dòng),通過穿透防火墻開啟后門,等待攻擊者利用.木馬能夠悄悄潛入U(xiǎn)盤,通過U盤傳播來擴(kuò)大攻擊范圍,能夠通過網(wǎng)絡(luò)主動(dòng)回連報(bào)信.攻擊者通過報(bào)信信息,不需要任何專用控制端程序,僅需要通過瀏覽器作為控制端就可以很方便實(shí)現(xiàn)文件管理、監(jiān)視屏幕等遠(yuǎn)程控制攻擊,這是這款B/S木馬程序的最明顯特點(diǎn).

選擇我們，優(yōu)質(zhì)服務(wù)，不容錯(cuò)過
1. 優(yōu)秀的網(wǎng)絡(luò)資源，強(qiáng)大的網(wǎng)站優(yōu)化技術(shù)，穩(wěn)定的網(wǎng)站和速度保證
2. 15年上海網(wǎng)站建設(shè)經(jīng)驗(yàn)，優(yōu)秀的技術(shù)和設(shè)計(jì)水平，更放心
3. 全程省心服務(wù)，不必?fù)?dān)心自己不懂網(wǎng)絡(luò)，更省心。
------------------------------------------------------------
24小時(shí)聯(lián)系電話：021-58370032

上一篇：危及計(jì)算機(jī)信息安全的要素和應(yīng)對(duì)思路下一篇：企業(yè)局域網(wǎng)中數(shù)據(jù)存儲(chǔ)和轉(zhuǎn)發(fā)中的安全部署

對(duì)Lcass木馬攻擊特點(diǎn)進(jìn)行分析與監(jiān)測(cè)發(fā)布者：本站 時(shí)間：2020-05-02 16:05:47

對(duì)Lcass木馬攻擊特點(diǎn)進(jìn)行分析與監(jiān)測(cè)發(fā)布者：本站時(shí)間：2020-05-02 16:05:47