这是作者的网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您们喜欢,一起进步。前文讲解了虚拟机基础知识,包括XP操作系统安装、文件共享设置、网络快照及网络设置等,最后分享虚拟机中安装安全软件进行BBS密码抓取的实验。本文将讲解HGZ木马控制服务器的过程,并进行恶意样本分析,结合前两篇文章进行串讲。基础性文章,希望对您有所帮助。
作者作为网络安全的小白,分享一些自学基础教程给大家,主要是关于安全工具和实践操作的在线笔记,希望您们喜欢。同时,更希望您能与我一起操作和进步,后续将深入学习网络安全和系统安全知识并分享相关实验。总之,希望该系列文章对博友有所帮助,写文不易,大神们不喜勿喷,谢谢!如果文章对您有帮助,将是我创作的最大动力,点赞、评论、私聊均可,一起加油喔~
PS:本文参考了安全网站和参考文献中的文章(详见参考文献),并结合自己的经验和实践进行撰写,也推荐大家阅读参考文献。
下载地址:https://github.com/eastmountyxz/NetworkSecuritySelf-study
工具地址:https://github.com/eastmountyxz/Security-Software-Based
软件安全:https://github.com/eastmountyxz/Software-Security-Course
文章目录
声明:本人坚决反对利用教学方法进行犯罪的行为,一切犯罪行为必将受到严惩,绿色网络需要我们共同维护,更推荐大家了解它们背后的原理,更好地进行防护。
前文学习:
[网络安全自学篇] 一.入门笔记之看雪Web安全学习及异或解密示例
[网络安全自学篇] 二.Chrome浏览器保留密码功能渗透解析及登录加密入门笔记
[网络安全自学篇] 三.Burp Suite工具安装配置、Proxy基础用法及暴库示例
[网络安全自学篇] 四.实验吧CTF实战之WEB渗透和隐写术解密
[网络安全自学篇] 五.IDA Pro反汇编工具初识及逆向工程解密实战
[网络安全自学篇] 六.OllyDbg动态分析工具基础用法及Crakeme逆向
[网络安全自学篇] 七.快手视频下载之Chrome浏览器Network分析及Python爬虫探讨
[网络安全自学篇] 八.Web漏洞及端口扫描之Nmap、ThreatScan和DirBuster工具
[网络安全自学篇] 九.社会工程学之基础概念、IP获取、IP物理定位、文件属性
[网络安全自学篇] 十.论文之基于机器学习算法的主机恶意代码
[网络安全自学篇] 十一.虚拟机VMware+Kali安装入门及Sqlmap基本用法
[网络安全自学篇] 十二.Wireshark安装入门及抓取网站用户名密码(一)
[网络安全自学篇] 十三.Wireshark抓包原理(ARP劫持、MAC泛洪)及数据流追踪和图像抓取(二)
[网络安全自学篇] 十四.Python攻防之基础常识、正则表达式、Web编程和套接字通信(一)
[网络安全自学篇] 十五.Python攻防之多线程、C段扫描和数据库编程(二)
[网络安全自学篇] 十六.Python攻防之弱口令、自定义字典生成及网站暴库防护
[网络安全自学篇] 十七.Python攻防之构建Web目录扫描器及ip代理池(四)
[网络安全自学篇] 十八.XSS跨站脚本攻击原理及代码攻防演示(一)
[网络安全自学篇] 十九.Powershell基础入门及常见用法(一)
[网络安全自学篇] 二十.Powershell基础入门及常见用法(二)
[网络安全自学篇] 二十一.GeekPwn极客大赛之安全攻防技术总结及ShowTime
[网络安全自学篇] 二十二.Web渗透之网站信息、域名信息、端口信息、敏感信息及指纹信息收集
[网络安全自学篇] 二十三.基于机器学习的恶意请求识别及安全领域中的机器学习
[网络安全自学篇] 二十四.基于机器学习的恶意代码识别及人工智能中的恶意代码检测
[网络安全自学篇] 二十五.Web安全学习路线及木马、病毒和防御初探
[网络安全自学篇] 二十六.Shodan搜索引擎详解及Python命令行调用
[网络安全自学篇] 二十七.Sqlmap基础用法、CTF实战及请求参数设置(一)
[网络安全自学篇] 二十八.文件上传漏洞和Caidao入门及防御原理(一)
[网络安全自学篇] 二十九.文件上传漏洞和IIS6.0解析漏洞及防御原理(二)
[网络安全自学篇] 三十.文件上传漏洞、编辑器漏洞和IIS高版本漏洞及防御(三)
[网络安全自学篇] 三十一.文件上传漏洞之Upload-labs靶场及CTF题目01-10(四)
[网络安全自学篇] 三十二.文件上传漏洞之Upload-labs靶场及CTF题目11-20(五)
[网络安全自学篇] 三十三.文件上传漏洞之绕狗一句话原理和绕过安全狗(六)
[网络安全自学篇] 三十四.Windows系统漏洞之5次Shift漏洞启动计算机
[网络安全自学篇] 三十五.恶意代码攻击溯源及恶意样本分析
[网络安全自学篇] 三十六.WinRAR漏洞复现(CVE-2018-20250)及恶意软件自启动劫持
[网络安全自学篇] 三十七.Web渗透提高班之hack the box在线靶场注册及入门知识
[网络安全自学篇] 三十八.hack the box渗透之BurpSuite和Hydra密码爆破及Python加密Post请求(二)
[网络安全自学篇] 三十九.hack the box渗透之DirBuster扫描路径及Sqlmap高级注入用法(三)
[网络安全自学篇] 四十.phpMyAdmin 4.8.1后台文件包含漏洞复现及详解(CVE-2018-12613)
[网络安全自学篇] 四十一.中间人攻击和ARP欺骗原理详解及漏洞还原
[网络安全自学篇] 四十二.DNS欺骗和钓鱼网站原理详解及漏洞还原
[网络安全自学篇] 四十三.木马原理详解、远程服务器IPC$漏洞及木马植入实验
[网络安全自学篇] 四十四.Windows远程桌面服务漏洞(CVE-2019-0708)复现及详解
[网络安全自学篇] 四十五.病毒详解及批处理病毒制作(自启动、修改密码、定时关机、蓝屏、进程关闭)
[网络安全自学篇] 四十六.微软证书漏洞CVE-2020-0601 (上)Windows验证机制及可执行文件签名复现
[网络安全自学篇] 四十七.微软证书漏洞CVE-2020-0601 (下)Windows证书签名及HTTPS网站劫持
[网络安全自学篇] 四十八.Cracer第八期——(1)安全术语、Web渗透流程、Windows基础、注册表及黑客常用DOS命令
[网络安全自学篇] 四十九.Procmon软件基本用法及文件进程、注册表查看
[网络安全自学篇] 五十.虚拟机基础之安装XP系统、文件共享、网络快照设置及Wireshark抓取BBS密码
前文欣赏:
[渗透&攻防] 一.从数据库原理学习网络攻防及防止SQL注入
[渗透&攻防] 二.SQL MAP工具从零解读数据库及基础用法
[渗透&攻防] 三.数据库之差异备份及Caidao利器
[渗透&攻防] 四.详解MySQL数据库攻防及Fiddler神器分析数据包
一.虚拟机安装Windows Server
前一篇文章详细讲解虚拟机及Windows XP系统安装,这篇文章将搭建Windows Server 2003服务器,并通过HGZ制作控制目标服务器的目录。这里仅简单讲解Windows Server 2003服务器的流程,如果虚拟机已经安装好的直接跳过。
1.创建虚拟机
(1) 打开虚拟机,点击“文件”->“新建虚拟机”。
(2) 默认选项大家常规选择即可,点击下一步,如下图所示。
(3) 此处选择稍后再安装系统,稍后我们才会将已经下载的镜像文件进行安装。
(4) 选择Microsoft Windows(W),版本选择Windows Server 2003 Standard Edition,接着点击““下一步”。
(5) 设置虚拟机内存,这里设置为512MB。
(6) 网络类型设置“使用网络地址转换(NAT)”,接着其他选择推荐选项即可。
(7) 选择“使用现有虚拟磁盘”。
从本地选择“Windows 2003.vmdk”文件。
(8) 保持现有格式点击“完成”即可。
2.设置Windows Server服务器
接下来我们安装Windows Server 2003操作系统。
(1) 当虚拟机设置完成之后,我们点击“开启此虚拟机”,如下图所示。
(2) 设置完毕之后,开启虚拟机,如下图所示。
(3) 将Windows XP和Windows Server 2003设置为相同的连接方式,比如桥接或NAT模式。
(4) 如果设置第一步的时候没有进行ip设置,那么这两台虚拟机默认就在统一网段内,可以在虚拟机检查看是否在统一个网段中。在CMD中输入ipconfig查看网络连接情况。
- Windows Server 2003:192.168.44.131
- Windows XP系统:192.168.44.130
如果两台虚拟机的IP地址前三个相同,类似如图192.168.44.*,那么就在同一个网段内,如果不在同一个网段内,就需要分别设置ip地址在同一网段了。网上也有很多设置IP的教程,在这就不累赘了。
(5) 接着使用Ping命令保证虚拟机XP系统(攻击者)和Server 2003(受害者)能通信。
(6) 建议恶意样本分析实验在虚拟机中,某些样本还需要断网、断共享等功能。
- 关闭Windows XP防火墙
- 关闭Windows Server 2003防火墙
二.虚拟机文件共享设置
如果我们想从主机Windows 10系统传递资料给虚拟机Windows XP系统,或者Windows XP系统和Windows Server 2003系统传递文件,怎么办呢?
这就涉及到主机和虚拟机文件共享的功能。
(1) 首先,安装VMware Tool工具。
(2) 在安装向导中点击“下一步”进行安装。
(3) 选择“典型安装”。
(4) 点击“安装”即可,如下图所示:
安装成功如下图所示。
(5) 设置共享文件夹,先在主机Windows 10系统创建一个虚拟机与主机的共享文件夹,比如“ShareFiles”。
(6) 选择“虚拟机”->“设置”菜单。
(7) 弹出的对话框如下图所示,其中“共享文件夹”默认是禁用的,我们设置为“总是启用”。我们勾选“在Windows客户机中映射为网络驱动器”,并添加我们的共享文件夹。
点击"浏览",选择主机中共享文件夹的路径。
(8) “启用此共享”必须选上。“只读”可根据需要选择,如果选择,则以后访问实体机的文件夹时,里边所有的内容都不可修改和移动,只能进行访问。这里作者仅选择“启用此共享”,点击完成。
写到这里,主机和虚拟机之间的共享文件夹就设置成功。我们打开磁盘,可以看到虚拟机磁盘多了一个Z盘,它就是共享的文件夹。
然后打开Z盘里面的“ShareFiles”文件夹,可以看到主机复制过去的文件。
三.HGZ制作木马
接着我们开始讲解木马制作过程,在Windows 10操作系统中将软件共享给虚拟机系统。
- HGZ:木马制作
- Procmon:进程和注册表分析
- Wireshark:网络流量分析
推荐前文:
[网络安全自学篇] 十二.Wireshark安装入门及抓取网站用户名密码(一)
[网络安全自学篇] 十三.Wireshark抓包原理(ARP劫持、MAC泛洪)及数据流追踪和图像抓取(二)
[网络安全自学篇] 四十九.Procmon软件基本用法及文件进程、注册表查看
[网络安全自学篇] 五十.虚拟机基础之安装XP系统、文件共享、网络快照设置及Wireshark抓取BBS密码
HGZ软件是一款集多种控制方式于一体的木马程序,适用于公司和家庭渗透和管理,其功能十分强大,不但能监视摄像头、键盘记录、监控桌面、文件操作等。还提供了黑客专用功能,如:伪装系统图标、随意更换启动项名称和表述、随意更换端口、运行后自删除、毫无提示安装等,并采用反弹链接这种缺陷设计,使得使用者拥有最高权限,一经破解即无法控制。最终导致被黑客恶意使用。
第一步,下载共享的软件并安装。
第二步,使用HGZ制作木马。
HGZ软件运行如下图所示。左边显示自动上线主机(肉鸡),凡是中木马的肉鸡都会自动上线,木马会主动连接控制方并请求被完全控制。
第三步,我们先要点击“配置服务程序”生成木马。
第四步,IP通常是黑客电脑的IP地址,因为生成的木马需要植入目标,它会自动连接黑客并发送信息,故填写“192.168.44.130”地址。
第五步,在“安装选项”中,通常会勾选“安装成功后自动删除安装文件”选项。而提示安装成功和运行显示图标会暴露恶意软件。
第六步,设置启动项,这里的显示名称设置为“hgz”。
注意,有的木马为什么比较难找?因为我们会将木马服务名称和描述修改,伪装成正常程序所运行的服务。比如服务名称修改为“windows system”,描述信息修改为“system重要进程”。
本地服务查找如下图所示:
第七步,高级选项可以将木马伪装成“IEXPLORE.EXE”进程,这里不加壳。
第八步,接着点击底部的方块,选择所制作木马的保存路径。这里设置为“eastmount_csdn.exe”。
第九步,最后点击“生成服务器”,成功制作木马。
此时,桌面产生了一个“eastmount_csdn.exe”程序,即为我们的木马。
四.木马劫持远程主机实验
接下来我们想办法将木马发送给目标主机Windows Server 2003。这里作者直接通过文件共享功能让Windows Server 2003服务器主动下载,但真实场景的木马如何发送给目标也是一个难点,比如之前我们的是通过IPC$漏洞上传的,其他方法包括远程共享漏洞、网站钓鱼、社会工程学、0day漏洞等。
第一步,将生成的木马“eastmount_csdn”文件共享给Windows Server 2003。
- 攻击机(黑客):Windows XP
- 受害机(肉鸡):Windows Server 2003
第二步,双击木马运行之后,我们的攻击机XP系统可以看到目标主机已经上线。
第三步,由于目标服务器只有C盘,我们现在创建一个“hello.txt”文件,如下图所示。
攻击机XP系统可以下载目标主机的文件,比如“hello.txt”。
第四步,点击“屏幕截获”可以监控目标的屏幕。
点击“传送鼠标和键盘操作”按钮,可以操作目标肉鸡。
第五步,点击“视频语音”可以检测目标的视频和语音,所以大家的麦克风和摄像头一定做好保护措施。
第六步,点击“Telnet”可以进入控制台执行相关操作,比如输入“ipconfig”查看网络,“md xxx”创建文件夹。
再次强调:一定不能通过该方法去控制别人的机器,这是违法行为。本人坚决反对利用教学方法进行犯罪的行为,一切犯罪行为必将受到严惩,绿色网络需要我们共同维护,更推荐大家了解它们背后的原理,虚拟机中测试,更好地进行防护。
五.Procmon解析恶意样本进程和注册表
Process Monitor是微软推荐的一款系统监视工具,能够实时显示文件系统、注册表(读写)、网络连接与进程活动的高级工具。它整合了旧的Sysinternals工具、Filemon与Regmon,其中Filemon专门用来监视系统中的任何文件操作过程,Regmon用来监视注册表的读写操作过程。
- Filemon:文件监视器
- Regmon:注册表监视器
第一步,打开Procmon软件并检测灰鸽子木马。
第二步,点击filter->filter,设置过滤器。进程名设置为包含“灰鸽子”。
在弹出的对话框中Architecture下拉框,选择Process Name填写要分析的应用程序名字,点击Add添加,最后点击右下角的Apply。
第三步,在灰鸽子远程控制软件点击刷新,然后查看灰鸽子软件相关信息。
输出结果中包括序号、时间点、进程名称、PID、操作、路径、结果、描述等,监控项通常包括文件系统、注册表、进程、剖析事件。
通过分析,我们发现灰鸽子木马在“C:\Windows”目录下生成了一个临时程序,名称为“Hacker.com.cn.exe”。同时,读者可以尝试更深入地分析,去了解该恶意样本究竟加载了哪些DLL、EXE文件,从而实现视频监控、键盘记录、远程连接等。
推荐文章:灰鸽子2008生成木马详细分析 - Ginkgo_Alkaid
由于作者能力有限,后续随着系统安全学习深入,也会尝试逆向分析一些恶意样本。下面的代码是灰鸽子逆向的部分截图,其表示复制文件成“C:\Windows\Hacker.com.cn.exe”。
我们在Procmon软件中选中文件,右键“Jump to”可以查看对应的源文件。
第四步,我们在攻击机中使用Process Mointor监控相关行为。可以看到生成的服务是“IEXPLORE”,如下图所示。
最后,我们通过分析注册表行为发现HGZ木马是通过服务启动的。
注册表中对应“Hacker.com.cn”的字段。
下面是隐藏的“hgz”服务,同时每次开机都会自启动。
思考:如果我们中了灰鸽子木马,将怎么清除呢?
在Windows Server 2003系统进程中关闭“IEXPLORE.EXE”进程,则控制主机Windows XP会自动下线。
如下图所示,肉鸡已经消失。但是重启后又会自动上线,那么,如何才能成功清除了吗?我们需要修改注册表、删除文件等一系列操作。
六.Wireshark解析恶意样本网络
流量分析也是恶意样本分析的重要手段。本文采用Wireshark监控灰鸽子木马与控制端的网络通信,包括TCP三次握手连接、被控端与控制端之间的通信过程、流量信息等。
第一步,安装Wirkshark并选择本地网络进行流量监控。
第二步,由于灰鸽子是使用tcp通信的,故将条件设置为tcp,此时可以看到很多抓到的tcp连接的包。
显示的流量信息如下图所示:
同样,我们可以设置“ip.addr==192.168.44.131”查看相关流量信息。
七.防御及总结
写到这里,这篇文章就介绍完毕,主要包括三部分内容:
- 虚拟机中制作HGZ木马
- 控制目标服务器
- 通过Procmon分析恶意样本的文件加载及注册表操作
- 通过Wireshark分析恶意样本的流量
HGZ木马整体流程如下:
我们可以采用下列方式进行防御:
- 提高警惕性,别占小便宜,别点击垃圾链接或邮件
- 从官网下载程序,密码设置复杂,防止弱口令(数字大小写符号)爆破
- 设置防火墙、安装杀毒软件,定期杀毒并清理电脑
- 防止社会工程学诱骗或攻击
- 关于软件或系统漏洞,及时关闭远程服务或端口
- 摄像头、麦克风、路由器、网关、服务器等系统漏洞及人为防御
- 恶意样本库建立、黑白名单建立
希望这系列文章对您有所帮助,真的感觉自己技术好菜,要学的知识好多。这是第49篇原创的安全系列文章,从网络安全到系统安全,从木马病毒到后门劫持,从恶意代码到溯源分析,从渗透工具到二进制工具,还有Python安全、顶会论文、黑客比赛和漏洞分享。未知攻焉知防,人生漫漫其路远兮,作为初学者,自己真是爬着前行,感谢很多人的帮助,继续爬着,继续加油!
欢迎大家讨论,是否觉得这系列文章帮助到您!如果存在不足之处,还请海涵。任何建议都可以评论告知读者,共勉~
武汉加油!湖北加油!中国加油!!!
(By:Eastmount 2020-02-26 晚上12点写于贵阳 http://blog.csdn.net/eastmount)
参考文献:
[1] 《软件安全》实验之恶意样本行为分析
[2] https://github.com/eastmountyxz/Security-Software-Based
[3] [网络安全自学篇] 十二.Wireshark安装入门及抓取网站用户名密码(一)
[4] [网络安全自学篇] 十三.Wireshark抓包原理(ARP劫持、MAC泛洪)及数据流追踪和图像抓取(二)
[5] [网络安全自学篇] 四十九.Procmon软件基本用法及文件进程、注册表查看
[6] [网络安全自学篇] 五十.虚拟机基础之安装XP系统、文件共享、网络快照设置及Wireshark抓取BBS密码
[7] 恶意软件样本行为分析——灰鸽子为例 - Gokou Ruri
[8] 灰鸽子2008生成木马详细分析 - Ginkgo_Alkaid
