實驗06 監控與偵測特洛伊木馬 - 雲林科技大學計算機網路研究室
Download
Report
Transcript 實驗06 監控與偵測特洛伊木馬 - 雲林科技大學計算機網路研究室
教育部資通訊人才培育先導型計畫
寬頻有線教學推動聯盟中心
實驗六 監控與偵測特洛伊木馬
國立雲林科技大學
電腦與通訊工程系
實驗6 監控與偵測特洛伊木馬
前言
本實驗將學習如何建立木馬及隱匿通道,接著進行相關之防護操作與設定,以使了解木馬
程式之運作原理與防護方法。
本實驗用來分析攻擊的硬體設備為NUSOFT的NUS-MS2800,NUS-MS2800是網路型的整
合式威脅管理系統(Unified Threat Management),可有效防止電腦病毒、特洛依木馬...的威
脅,並能偵測及阻擋網路惡意攻擊程式 ( 蠕蟲、緩衝溢位... )以及產生警告及記錄。
本 實 驗 將 會 使 用 Spy-Net 軟 體 產 生 木 馬 程 式 , Spy-Net 是 一 個 Remote Administration
Tool(RAT)中文稱做“遠端存取特洛伊木馬程式”,可讓不法份子經由網際網路連線控制
受害者的電腦。RAT讓不法份子可檢視並變更電腦上的檔案與功能、監視並記錄受害者的
活動,並可能在受害者不知情的情況下利用受害者的電腦攻擊其他電腦。
下圖為本實驗的網路連結示意圖。
LAN:192.168.1.3
WAN:140.125.32.240
Hacker
MS-2800
IP:140.125.32.16
實驗場景
國立雲林科技大學電腦與通訊工程系
2
實驗6 監控與偵測特洛伊木馬
設定Spy-Net
下載名為Spy-Net[RAT]v1.5.rar的檔案之後解壓縮就可以看到資Spy-Net的資料夾(如下圖)。
各檔案夾與檔案之用途:
spynet.exe:為Spy-Net之主程式。
Language:為Spy-Net之語言檔案,內有英文、西班牙文、法文、葡萄牙文。
Icons:為Spy-Net產生木馬程式產生時時可以選擇的Icon檔案。
國立雲林科技大學電腦與通訊工程系
3
實驗6 監控與偵測特洛伊木馬
設定Spy-Net
開啟spynet.exe後可以看到Spy-Net的主視窗。
由於預設語言不是英文,因此必須先更改語言設定。
按下Spy-Net的主視窗最左下方的按鈕進入設定介面(如右圖)。
接著按下“Idioma”後選擇“English.ini”,選擇完畢後按下“Salavr”(如下圖)就可以完
成語言的變更,介面的語言也更換成英文。
國立雲林科技大學電腦與通訊工程系
4
實驗6 監控與偵測特洛伊木馬
設定Spy-Net
接著選擇“Connection”設定連線參數,在此視窗可以設定與受害主機連線時所
使用的通行密碼以及與受害者主機連線時所監聽的埠號。
“ Notification ”可以設定當受害者與駭客電腦連線時Spy-Net程式所發出的提醒
設定,在此視窗可以設定與受害者電腦連接時所發出的提醒音、提醒視窗的透明
度、受害電腦連線數的提醒出現時間(以秒為單位) 。
國立雲林科技大學電腦與通訊工程系
5
實驗6 監控與偵測特洛伊木馬
設定Spy-Net
“Columns visible”這個設定決定不法份子在主視窗可以看到哪些被害者電腦的資
訊。
當全部設定完成之後按下“Save”就可以將之前的設定全部記錄下來。
國立雲林科技大學電腦與通訊工程系
6
實驗6 監控與偵測特洛伊木馬
產生特洛伊木馬
接下來將介紹如何產生特洛伊木馬。
由於Spy-Net屬於逆向連接的RAT,因此必須產生Server檔案,讓受害者點擊。
按下主視窗左下方的“New”(如右下方圖),來設定即將產生的特洛伊木馬。
按下後會跳出設定視窗(如下圖) 。
首先我們必須設定特洛伊木馬執行時所連接的IP、傳送回的識別文字、與受害者電腦連接
的密碼、埠號以及嘗試連線的間隔時間。
國立雲林科技大學電腦與通訊工程系
7
實驗6 監控與偵測特洛伊木馬
產生特洛伊木馬
“Installation Server”設定當特洛伊木馬執行時,惡意程式安裝到受害者電腦中
的哪一個資料夾以及設定惡意程式的檔案類型與名稱。
“Install The Server”這個選項若是不選擇則惡意程式就會直接安裝在受害者執
行時的目錄位置。
國立雲林科技大學電腦與通訊工程系
8
實驗6 監控與偵測特洛伊木馬
產生特洛伊木馬
“Boot”設定當受害者安裝特洛伊木馬之後,在登錄檔中寫入的名稱,這個設定
可以確保每次受害者重新進入作業系統後,特洛伊木馬可以自動執行。
國立雲林科技大學電腦與通訊工程系
9
實驗6 監控與偵測特洛伊木馬
產生特洛伊木馬
“Add File”設定特洛伊木馬所夾帶的檔案、檔案所要存放的位置、如何處理檔
以及處理檔案的參數為何,透過這項設定,不法份子可以將一些惡意軟體一起安
裝在受害者的電腦中,造成更強大的破壞。
國立雲林科技大學電腦與通訊工程系
10
實驗6 監控與偵測特洛伊木馬
產生特洛伊木馬
“Anti Debugging”設定該木馬是否需要避免在虛擬機器中運作,或者避免載
“Sandbox”中運作。
Sandbox:“ Sandbox ”技術是國際反病毒業界近年來最新提出的反病毒新概念
, “Sandbox”技術與主動防禦技 術原理截然不同。主動防禦是發現程序有可疑
行為時立即攔截,終止運行;“Sandbox”技術是發現可疑行為讓程序繼續運行
,當發現的確是病毒時才終止。讓程序的可疑行為在電腦虛擬的“Sandbox”裡
充分表演,但是Sandbox會記下他的每一個動作。在病毒充分暴露了其病毒屬性
後,“Sandbox”則會執行roll back機制,將病毒的痕跡和動作抹去,恢復系統到
正常狀態。
國立雲林科技大學電腦與通訊工程系
11
實驗6 監控與偵測特洛伊木馬
產生特洛伊木馬
“Miscellaneous Options”設定是否在受害者電腦中啟用按鍵紀錄、更改或隱藏
特洛伊木馬程式、注入預設瀏覽器或處理程序。
國立雲林科技大學電腦與通訊工程系
12
實驗6 監控與偵測特洛伊木馬
產生特洛伊木馬
“Display messages”設定是否在特洛伊木馬執行是顯示訊息視窗,若要顯示時
的圖示、按鈕以及訊息內容。
國立雲林科技大學電腦與通訊工程系
13
實驗6 監控與偵測特洛伊木馬
產生特洛伊木馬
“Create New server”設定產生的特洛伊木馬檔案的檔案名稱與類型,是否使用
UPX軟體對特洛伊木馬檔案壓縮以及檔案所使用的圖示檔。
(UPX)Ultimate Packer for eXecutables:用於壓縮及解壓縮可執行檔案的工具。在
不影響程式原來的執行能力下,最高可達到 50~70% 的壓縮率。目前許多病毒、
木馬都是利用壓縮(減少檔案大小)或加密(阻擋反組譯)的方式做“加殼”的動作
,“加殼”目的是為了當執行這些木馬時這些程序會變更其「特徵值」使得防毒
軟體無法辨識,使木馬可以順利執行而不被發現。
最後按下“ Create server ”即可產生木馬檔案(如右圖)。
國立雲林科技大學電腦與通訊工程系
14
實驗6 監控與偵測特洛伊木馬
特洛伊木馬運作
若使用者在某處下載且執行了產生的特洛伊木馬程式,則特洛伊木馬程式就會根
據不法份子在產生特洛伊木馬時的設定安裝惡意程式,並且自動的逆向連結至指
定的網路位置。在Spy-Net主程式視窗就會跳出新的受害者電腦的資訊(如下圖)。
國立雲林科技大學電腦與通訊工程系
15
實驗6 監控與偵測特洛伊木馬
特洛伊木馬運作
接著不法份子就可以對受害者電腦進行檔案管理、剪貼簿管理、服務管理、視窗
管理、程序管理、系統紀錄檔管理、桌面監控、攝影機監控等功能,甚至可以重
新Create Sever後更新受害者電腦內的特洛伊木馬。
國立雲林科技大學電腦與通訊工程系
16
實驗6 監控與偵測特洛伊木馬
特洛伊木馬防護
不法份子將Spy-Net主程式所產生的特洛伊木馬檔案放在伺服器上,若是有在
MUS-MS2800管制條例中的“病毒偵測”內的選項勾選起來(如左下圖),若是使
用FTP或HTTP的方式下載特洛伊木馬,當下載的程式為特洛伊木馬時會出現警
告畫面並且無法下載該檔案(如右下圖)。
國立雲林科技大學電腦與通訊工程系
17
實驗6 監控與偵測特洛伊木馬
特洛伊木馬防護
另一種方式則是使用wireshark觀察特洛伊木馬在運作時的所傳送的封包,在本次
實驗中過程中,使用wireshark軟體發現受害者端每一次與不法份子的電腦進行
TCP 三向交握後就會馬上傳送一個資料內容為“hZGVPsqmMkI|”的封包,因此
可以用這樣的內容當作自訂特徵的依據,對特洛伊木馬軟體進行阻擋及記錄的動
作。
國立雲林科技大學電腦與通訊工程系
18
實驗6 監控與偵測特洛伊木馬
參考資料
「木馬入侵大揭秘第02集_精華版_講義.pdf」 。
「MS2800_Manual_v4.06_tw.pdf 」NUS-MS2800使用手冊。
「http://portable.easylife.idv.tw/1311」 Free UPX 1.1 - 強悍的執行檔壓縮器。
「http://upx.sourceforge.net/ 」 the Ultimate Packer for eXecutables - Homepage 。
「http://www.jiangmin.com.tw/」江民科技。
「 http://en.wikipedia.org/wiki/Main_Page」Wikipedia 。
「 http://www.microsoft.com/zh/tw/default.aspx」Microsoft 。
國立雲林科技大學電腦與通訊工程系
19