网络挂马入侵流程线索调查方法研究

网络挂马入侵流程线索调查方法研究

随着信息科学技术的快速发展，计算机网络已经深入到人们日常生活的每个角落。人们每天都会登陆不同的网站浏览信息。网络技术在给我们的生活带给极大便利的同时，也存在很多安全隐患。黑客人侵网站并实施挂马，受害者只要浏览了这些被挂马的网站，木马就会自动下载到受害者主机上运行。这些木马可以窃取用户在登陆窗口内输入的敏感信息，例如：用户名、密码，甚至完全控制受害者主机。可以说网页挂马对网络用户构成了严重的威胁。分析网页挂马案件的入侵流程，进而通过技术手段查找出黑客的线索（如lP地址、电子邮箱帐号、等等）对公安机关的侦查、取证工作有着重要的意义。1网页挂马案件入侵流程及相关网络安全技术分析网页挂马案件的入侵流程如图1所示。首先，黑客会利用网络攻击技术入侵某些存在安全漏洞的网站，从而获得这些网站的控制权。接下来，黑客会在被入侵网站的主页文件中植入_句挂马代码，从而实现网站挂马。最后，当网络中的用户浏览“被挂马”的网站时，如果用户使用的IE浏览器存在相应的安全漏洞，则木马会被植入用户主机并运行，用户主机成为受黑客控制的“肉鸡”。黑客可以盗取“肉鸡”上的敏感信息（如网银帐号），也可以控制“肉鸡”向其他主机发起DDOS攻击。1.1入侵网站由于大型的门户网站如“新浪”、“搜狐”等，通常具备比较严密的网络安全防御措施、难于攻破，因此黑客通常不会选择此类网站作为攻击对象。一些日访问量在3000—5000人次的中等规模网站成为黑客入侵的首选目标，例如游戏网站、政府机关、高校、公司机构的网站，等等。在入侵网站时，目前最流行的攻击技术是“SQL注入攻击”和“缓冲区溢出攻击”。“SQL注入攻击”是由于开发网站的技术人员缺乏足够的网络安全意识，未对用户提交的参数进行严格的检查，就将参数直接提交给后台的数据库运行，这些参数里面可能包含黑客提交的恶意指令，通过在被入侵网站上执行这些指令，黑客可以达到完全控制网站的目的。例如，在lP地址为的服务器上安装了[来自WwW.L]一台电子商务网站，该网站的网页文件lookpro.asp存在“SQL注入漏洞”，黑客使用下面这条URL链接访问lookpro.asp，即可在目标服务器上建立一个名为aaa、密码为bbb的用户。http：//192.168.O.l/shop-s/lookpro.asp?id=48;execmaster．.xp_cmdshell”netuseraaabbb/add”。黑客就是通过这样一系列的指令达到完全控制一台服务器的目的。“缓冲区溢出攻击”是由于应用程序未对通过网络接收到的参数的长度进行检查，就将接收到的参数直接存放到自己的缓冲区中。如果接收到的参数长度超过预留缓冲区的大小，就会导致“缓冲区溢出”。黑客通过精心构造溢出代码，可以实现完全控制一台主机的目的。目前，很多中等规模的网站选择“SQLServer2000+ASP”的网站架构。SQLServer2000数据库通过1433端口提供远程访问服务，如果SQLServer2000数据库未及时安装补丁´则1433端口存在“缓冲区溢出”漏洞。黑客可以“1433端口溢出攻击”完全控制一台Weh服务器。1.2为网站主页挂马用户在访问网站时[来自www.lw5u.CoM]，通常是先进入网站的主页，然后再通过主贞上的链接进入到自己感兴趣的页面。因此，主页是访问频率最高的页面，黑客为了达到快速传播木马的目的，通常选择主页作为挂马的对象。下面给If-个典型的挂马代码，将这句代码加入到被挂马网站的主页文件(例如lndex．asp)的任何一处位置，即可实现网站挂马。<iframesrc=”http://包含木马程序的服务器lP地址／l.html”;width=“0”height=”O”frarneborder=”O”><／iframe>。这是一种框架挂马方式，用户访问index．asp之后，会自动到包含木马程序的服务器上下载并浏览1．html，这个1．html会利用IE浏览器漏洞自动下载并运行木马程序（例如l.exe），由于这里将框架的高度、宽度和边框粗细均设置为O，因此受害者在浏览index.asp时不会察觉到任何变化。通过以上分析我们发现，黑客不需要将l.html和l.exe上传到被挂马网站，只须修改被挂马网站的主页文件(index.asp)，即可实现网站挂马，因而具备很强的隐蔽性。1.3植入并运行木马当网络中的用户浏览“被挂马”网站时，如果用户使用的IE浏览器存在相应的安全漏洞，则木马会被植入用户主机并运行，用户主机成为受黑客控制的‘肉鸡”。黑客可以盗取‘肉鸡”上的敏感信息（如网银帐号），也可以控制“肉鸡”向其他主机发起DDOS攻击。目前被黑客广泛采用的木马有“盗号木马”和“远程控制木马”。“盗号木马”可以窃取用户在登陆窗口内输入的敏感信息，例如：用户名、密码。这类木马可以造成网络用户的QQ密码丢失、网上银行帐号信息丢失、等等。例如“红蜘蛛键盘记录木马”记录到敏感信息（如电子邮箱帐户信息）之后，会将这些信息通过电子邮件发送到黑客指定的邮箱里。2利用网络监听技术在受害者主机上调查“盗号木马”线索在追查木马线索时办案人员通常使用网络数据监听软件（例如sniffer-pro）来捕获、分析网络数据报，进而从中发现黑客的线索。2.1监听软件的运行环境监听软件的运行环境如图2所示。受害者主机上运行的木马程序向外界发送的通信数据会被监听软件截获，办案人员可以以监听到的网络数据报中提取出线索（如lP地址、邮箱帐号、等等），我们可以从这些数据找到小马线索2.2分析包含木马线索的网络数据报“盗号木马”在受害者主机上悄悄地运行，密码等敏感信息之后，木马会将这些信息使用某种TCP/IP议封装起来、通过因特网发送给远程的黑客。只要截获这些通信数据，就可以从中分析出放马者的信息。键盘记录木马在发送敏感信息的时候通常使用的是SMTP、HTTP、ICMP协议下面通过几个实例来说明如何从截获的网络数据中提取木马的线索。2.2.1从HTTP数据中提取放马者使用的Web服务器的lP地址一些木马如“QQ金狐大盗”在记录到敏感信息之后，会将这些信息通过HTTP协议发送给放马者指定的Weh服务器，这台服务器上的某个ASP或JSP脚本文件会将这些敏感信息保存在一个文本文件中，放马者从这个文本文件中就可以获得记录到的敏感信息。图3是使用Sniffer-pro捕捉到的“QQ金狐大盗”发送敏感信息的通信报文。这是一个HTTP协议的CET请求报文，请求的是Web服务器上的log．asp这个脚本文件同时这个请求报文带有两个参数，第一个参数459536384是“QQ金狐大盗”记录到的受害者的QQ号码，第二个参数12345678是受害者的QQ密码。这组16进制报文的第31至34字节为放马者Weh服务器的lP地址，这四个16进制字节为c0、a8、27、02转换为10进制之后，得到Web服务器的lP地址为。2.2,2从SMTP数据中提取放马者的电子邮箱帐号一些木马如“红蜘蛛”在记录到敏感信息之后，会将这些信息通过电子邮件发送到放马者的邮箱里。在发送邮件的时候通常使用的是SMTP协议。图4是使用Sniffer-pro捕捉到的“红蜘蛛”发送敏感信息的通信报文。通过分析这个报文可以得知发信邮箱为xu_guo_tian888@163.com、收信邮箱为redspider119@163.com、邮件主题为红蜘蛛的礼物、木马监控的窗口是网易163邮箱的登陆窗口、记录到的163邮箱帐号是xu_guo_tian05、密码是86982481。放马者会定期到redspider119@163.com这个邮箱内查看木马记录到的敏感信息，应将邮箱帐号redspider119@163.com交给网监部门做进一步调查。2.2.3从ICMP数据中提取放马者使用的计算机的lP地址ICMP木马会将记录到的敏感信息通过ICMP协议发送到木马控制端所在的计算机上，木马控制端会将这些敏感信息搜集起来保存在一个文本文件中，放马者从这个文本文件中就可以获得木马记录到的敏感信息。图5是使用Sniffer-pro捕捉到的键盘记录木马发送敏感信息的通信报文。这是一个ICMP-ECHOREPLY报文，在32字节的附加数据字段中封装了受害者的qq号码和密码。qq号码是459536384、密码是xugt。这组16进制报文的第31至34字节是木马控制端计算机的IP地址，这四个16进制字节为d2、2f、82、17转换为10进制之后，得到放马者计算机的lP地址为3。3利用网络命令在受害者主机上调查“远程控制木马”线索“远程控制木马”通过网页挂马方式传播到受害者主机上后会自动与远程的黑客主机进行联系，接受黑客的控制。黑客可以完全控制受害者主机，例如监视屏幕、监听通话、甚至直接控制主机。当黑客进行远程控制时，在受害者主机上使用netstat-an命令可以查看到黑客主机的一些线索。图6是使用netstat-an命令查看到的远程控制木马“PcShare”的网络连接痕迹。用红色边框标识的就是“PcShare”的控制连接，可以得知远程控制主机的IP地址是．端口是8000（PcShare的默认端口）。办案人员可对这个IP地址对应的主机做进一步调查。4总结本文详