[网络安全自学篇] 五十一.恶意样本分析及HGZ木马控制目标服务器

时间  2020-06-08 标签 网络 安全 自学 五十一 51 恶意 样本 分析 hgz 木马 控制 目标 服务器

这是做者的网络安全自学教程系列,主要是关于安全工具和实践操做的在线笔记,特分享出来与博友们学习,但愿您们喜欢,一块儿进步。前文讲解了虚拟机基础知识,包括XP操做系统安装、文件共享设置、网络快照及网络设置等,最后分享虚拟机中安装安全软件进行BBS密码抓取的实验。本文将讲解HGZ木马控制服务器的过程,并进行恶意样本分析,结合前两篇文章进行串讲。基础性文章,但愿对您有所帮助。php

做者做为网络安全的小白,分享一些自学基础教程给你们,主要是关于安全工具和实践操做的在线笔记,但愿您们喜欢。同时,更但愿您能与我一块儿操做和进步,后续将深刻学习网络安全和系统安全知识并分享相关实验。总之,但愿该系列文章对博友有所帮助,写文不易,大神们不喜勿喷,谢谢!若是文章对您有帮助,将是我创做的最大动力,点赞、评论、私聊都可,一块儿加油喔~html

PS:本文参考了安全网站和参考文献中的文章(详见参考文献),并结合本身的经验和实践进行撰写,也推荐你们阅读参考文献。git

下载地址:https://github.com/eastmountyxz/NetworkSecuritySelf-study
工具地址:https://github.com/eastmountyxz/Security-Software-Based
软件安全:https://github.com/eastmountyxz/Software-Security-Coursegithub


文章目录

声明:本人坚定反对利用教学方法进行犯罪的行为,一切犯罪行为必将受到严惩,绿色网络须要咱们共同维护,更推荐你们了解它们背后的原理,更好地进行防御。web

前文学习:
[网络安全自学篇] 一.入门笔记之看雪Web安全学习及异或解密示例
[网络安全自学篇] 二.Chrome浏览器保留密码功能渗透解析及登陆加密入门笔记
[网络安全自学篇] 三.Burp Suite工具安装配置、Proxy基础用法及暴库示例
[网络安全自学篇] 四.实验吧CTF实战之WEB渗透和隐写术解密
[网络安全自学篇] 五.IDA Pro反汇编工具初识及逆向工程解密实战
[网络安全自学篇] 六.OllyDbg动态分析工具基础用法及Crakeme逆向
[网络安全自学篇] 七.快手视频下载之Chrome浏览器Network分析及Python爬虫探讨
[网络安全自学篇] 八.Web漏洞及端口扫描之Nmap、ThreatScan和DirBuster工具
[网络安全自学篇] 九.社会工程学之基础概念、IP获取、IP物理定位、文件属性
[网络安全自学篇] 十.论文之基于机器学习算法的主机恶意代码
[网络安全自学篇] 十一.虚拟机VMware+Kali安装入门及Sqlmap基本用法
[网络安全自学篇] 十二.Wireshark安装入门及抓取网站用户名密码(一)
[网络安全自学篇] 十三.Wireshark抓包原理(ARP劫持、MAC泛洪)及数据流追踪和图像抓取(二)
[网络安全自学篇] 十四.Python攻防之基础常识、正则表达式、Web编程和套接字通讯(一)
[网络安全自学篇] 十五.Python攻防之多线程、C段扫描和数据库编程(二)
[网络安全自学篇] 十六.Python攻防之弱口令、自定义字典生成及网站暴库防御
[网络安全自学篇] 十七.Python攻防之构建Web目录扫描器及ip代理池(四)
[网络安全自学篇] 十八.XSS跨站脚本攻击原理及代码攻防演示(一)
[网络安全自学篇] 十九.Powershell基础入门及常见用法(一)
[网络安全自学篇] 二十.Powershell基础入门及常见用法(二)
[网络安全自学篇] 二十一.GeekPwn极客大赛之安全攻防技术总结及ShowTime
[网络安全自学篇] 二十二.Web渗透之网站信息、域名信息、端口信息、敏感信息及指纹信息收集
[网络安全自学篇] 二十三.基于机器学习的恶意请求识别及安全领域中的机器学习
[网络安全自学篇] 二十四.基于机器学习的恶意代码识别及人工智能中的恶意代码检测
[网络安全自学篇] 二十五.Web安全学习路线及木马、病毒和防护初探
[网络安全自学篇] 二十六.Shodan搜索引擎详解及Python命令行调用
[网络安全自学篇] 二十七.Sqlmap基础用法、CTF实战及请求参数设置(一)
[网络安全自学篇] 二十八.文件上传漏洞和Caidao入门及防护原理(一)
[网络安全自学篇] 二十九.文件上传漏洞和IIS6.0解析漏洞及防护原理(二)
[网络安全自学篇] 三十.文件上传漏洞、编辑器漏洞和IIS高版本漏洞及防护(三)
[网络安全自学篇] 三十一.文件上传漏洞之Upload-labs靶场及CTF题目01-10(四)
[网络安全自学篇] 三十二.文件上传漏洞之Upload-labs靶场及CTF题目11-20(五)
[网络安全自学篇] 三十三.文件上传漏洞之绕狗一句话原理和绕过安全狗(六)
[网络安全自学篇] 三十四.Windows系统漏洞之5次Shift漏洞启动计算机
[网络安全自学篇] 三十五.恶意代码攻击溯源及恶意样本分析
[网络安全自学篇] 三十六.WinRAR漏洞复现(CVE-2018-20250)及恶意软件自启动劫持
[网络安全自学篇] 三十七.Web渗透提升班之hack the box在线靶场注册及入门知识
[网络安全自学篇] 三十八.hack the box渗透之BurpSuite和Hydra密码爆破及Python加密Post请求(二)
[网络安全自学篇] 三十九.hack the box渗透之DirBuster扫描路径及Sqlmap高级注入用法(三)
[网络安全自学篇] 四十.phpMyAdmin 4.8.1后台文件包含漏洞复现及详解(CVE-2018-12613)
[网络安全自学篇] 四十一.中间人攻击和ARP欺骗原理详解及漏洞还原
[网络安全自学篇] 四十二.DNS欺骗和钓鱼网站原理详解及漏洞还原
[网络安全自学篇] 四十三.木马原理详解、远程服务器IPC$漏洞及木马植入实验
[网络安全自学篇] 四十四.Windows远程桌面服务漏洞(CVE-2019-0708)复现及详解
[网络安全自学篇] 四十五.病毒详解及批处理病毒制做(自启动、修改密码、定时关机、蓝屏、进程关闭)
[网络安全自学篇] 四十六.微软证书漏洞CVE-2020-0601 (上)Windows验证机制及可执行文件签名复现
[网络安全自学篇] 四十七.微软证书漏洞CVE-2020-0601 (下)Windows证书签名及HTTPS网站劫持
[网络安全自学篇] 四十八.Cracer第八期——(1)安全术语、Web渗透流程、Windows基础、注册表及黑客经常使用DOS命令
[网络安全自学篇] 四十九.Procmon软件基本用法及文件进程、注册表查看
[网络安全自学篇] 五十.虚拟机基础之安装XP系统、文件共享、网络快照设置及Wireshark抓取BBS密码正则表达式

前文欣赏:
[渗透&攻防] 一.从数据库原理学习网络攻防及防止SQL注入
[渗透&攻防] 二.SQL MAP工具从零解读数据库及基础用法
[渗透&攻防] 三.数据库之差别备份及Caidao利器
[渗透&攻防] 四.详解MySQL数据库攻防及Fiddler神器分析数据包算法

一.虚拟机安装Windows Server

前一篇文章详细讲解虚拟机及Windows XP系统安装,这篇文章将搭建Windows Server 2003服务器,并经过HGZ制做控制目标服务器的目录。这里仅简单讲解Windows Server 2003服务器的流程,若是虚拟机已经安装好的直接跳过shell


1.建立虚拟机

(1) 打开虚拟机,点击“文件”->“新建虚拟机”。数据库

在这里插入图片描述

(2) 默认选项你们常规选择便可,点击下一步,以下图所示。编程

在这里插入图片描述

(3) 此处选择稍后再安装系统,稍后咱们才会将已经下载的镜像文件进行安装。

在这里插入图片描述

(4) 选择Microsoft Windows(W),版本选择Windows Server 2003 Standard Edition,接着点击““下一步”。

在这里插入图片描述

(5) 设置虚拟机内存,这里设置为512MB。

在这里插入图片描述

(6) 网络类型设置“使用网络地址转换(NAT)”,接着其余选择推荐选项便可。

在这里插入图片描述

(7) 选择“使用现有虚拟磁盘”。

在这里插入图片描述

从本地选择“Windows 2003.vmdk”文件。

在这里插入图片描述

(8) 保持现有格式点击“完成”便可。

在这里插入图片描述

在这里插入图片描述


2.设置Windows Server服务器

接下来咱们安装Windows Server 2003操做系统。

(1) 当虚拟机设置完成以后,咱们点击“开启此虚拟机”,以下图所示。

在这里插入图片描述

(2) 设置完毕以后,开启虚拟机,以下图所示。

在这里插入图片描述

在这里插入图片描述

(3) 将Windows XP和Windows Server 2003设置为相同的链接方式,好比桥接或NAT模式。

在这里插入图片描述

(4) 若是设置第一步的时候没有进行ip设置,那么这两台虚拟机默认就在统一网段内,能够在虚拟机检查看是否在统一个网段中。在CMD中输入ipconfig查看网络链接状况。

  • Windows Server 2003:192.168.44.131

在这里插入图片描述

  • Windows XP系统:192.168.44.130

在这里插入图片描述

若是两台虚拟机的IP地址前三个相同,相似如图192.168.44.*,那么就在同一个网段内,若是不在同一个网段内,就须要分别设置ip地址在同一网段了。网上也有不少设置IP的教程,在这就不累赘了。


(5) 接着使用Ping命令保证虚拟机XP系统(攻击者)和Server 2003(受害者)能通讯。

在这里插入图片描述

在这里插入图片描述

(6) 建议恶意样本分析实验在虚拟机中,某些样本还须要断网、断共享等功能。

  • 关闭Windows XP防火墙

在这里插入图片描述

  • 关闭Windows Server 2003防火墙

在这里插入图片描述


二.虚拟机文件共享设置

若是咱们想从主机Windows 10系统传递资料给虚拟机Windows XP系统,或者Windows XP系统和Windows Server 2003系统传递文件,怎么办呢?
这就涉及到主机和虚拟机文件共享的功能。

(1) 首先,安装VMware Tool工具。

在这里插入图片描述

(2) 在安装向导中点击“下一步”进行安装。

在这里插入图片描述

(3) 选择“典型安装”。

在这里插入图片描述

(4) 点击“安装”便可,以下图所示:

在这里插入图片描述

在这里插入图片描述

安装成功以下图所示。

在这里插入图片描述

(5) 设置共享文件夹,先在主机Windows 10系统建立一个虚拟机与主机的共享文件夹,好比“ShareFiles”。

在这里插入图片描述

(6) 选择“虚拟机”->“设置”菜单。

在这里插入图片描述

(7) 弹出的对话框以下图所示,其中“共享文件夹”默认是禁用的,咱们设置为“老是启用”。咱们勾选“在Windows客户机中映射为网络驱动器”,并添加咱们的共享文件夹。

在这里插入图片描述

点击"浏览",选择主机中共享文件夹的路径。

在这里插入图片描述

(8) “启用此共享”必须选上。“只读”可根据须要选择,若是选择,则之后访问实体机的文件夹时,里边全部的内容都不可修改和移动,只能进行访问。这里做者仅选择“启用此共享”,点击完成。

在这里插入图片描述

写到这里,主机和虚拟机之间的共享文件夹就设置成功。咱们打开磁盘,能够看到虚拟机磁盘多了一个Z盘,它就是共享的文件夹。

在这里插入图片描述

而后打开Z盘里面的“ShareFiles”文件夹,能够看到主机复制过去的文件。

在这里插入图片描述


三.HGZ制做木马

接着咱们开始讲解木马制做过程,在Windows 10操做系统中将软件共享给虚拟机系统。

  • HGZ:木马制做
  • Procmon:进程和注册表分析
  • Wireshark:网络流量分析

推荐前文:
[网络安全自学篇] 十二.Wireshark安装入门及抓取网站用户名密码(一)
[网络安全自学篇] 十三.Wireshark抓包原理(ARP劫持、MAC泛洪)及数据流追踪和图像抓取(二)
[网络安全自学篇] 四十九.Procmon软件基本用法及文件进程、注册表查看
[网络安全自学篇] 五十.虚拟机基础之安装XP系统、文件共享、网络快照设置及Wireshark抓取BBS密码

在这里插入图片描述


HGZ软件是一款集多种控制方式于一体的木马程序,适用于公司和家庭渗透和管理,其功能十分强大,不但能监视摄像头、键盘记录、监控桌面、文件操做等。还提供了黑客专用功能,如:假装系统图标、随意更换启动项名称和表述、随意更换端口、运行后自删除、毫无提示安装等,并采用反弹连接这种缺陷设计,使得使用者拥有最高权限,一经破解即没法控制。最终致使被黑客恶意使用。

在这里插入图片描述

第一步,下载共享的软件并安装。

在这里插入图片描述

第二步,使用HGZ制做木马。
HGZ软件运行以下图所示。左边显示自动上线主机(肉鸡),凡是中木马的肉鸡都会自动上线,木马会主动链接控制方并请求被彻底控制。

在这里插入图片描述

第三步,咱们先要点击“配置服务程序”生成木马。

在这里插入图片描述

第四步,IP一般是黑客电脑的IP地址,由于生成的木马须要植入目标,它会自动链接黑客并发送信息,故填写“192.168.44.130”地址。

在这里插入图片描述

第五步,在“安装选项”中,一般会勾选“安装成功后自动删除安装文件”选项。而提示安装成功和运行显示图标会暴露恶意软件。

在这里插入图片描述

第六步,设置启动项,这里的显示名称设置为“hgz”。

在这里插入图片描述

注意,有的木马为何比较难找?由于咱们会将木马服务名称和描述修改,假装成正常程序所运行的服务。好比服务名称修改成“windows system”,描述信息修改成“system重要进程”。

在这里插入图片描述

本地服务查找以下图所示:

在这里插入图片描述

第七步,高级选项能够将木马假装成“IEXPLORE.EXE”进程,这里不加壳。

在这里插入图片描述

第八步,接着点击底部的方块,选择所制做木马的保存路径。这里设置为“eastmount_csdn.exe”。

在这里插入图片描述

第九步,最后点击“生成服务器”,成功制做木马。

在这里插入图片描述

此时,桌面产生了一个“eastmount_csdn.exe”程序,即为咱们的木马。

在这里插入图片描述


四.木马劫持远程主机实验

接下来咱们想办法将木马发送给目标主机Windows Server 2003。这里做者直接经过文件共享功能让Windows Server 2003服务器主动下载,但真实场景的木马如何发送给目标也是一个难点,好比以前咱们的是经过IPC$漏洞上传的,其余方法包括远程共享漏洞、网站钓鱼、社会工程学、0day漏洞等。

推荐前文:
[网络安全自学篇] 四十三.木马原理详解、远程服务器IPC$漏洞及木马植入实验


第一步,将生成的木马“eastmount_csdn”文件共享给Windows Server 2003。

  • 攻击机(黑客):Windows XP
  • 受害机(肉鸡):Windows Server 2003

在这里插入图片描述

第二步,双击木马运行以后,咱们的攻击机XP系统能够看到目标主机已经上线。

在这里插入图片描述

第三步,因为目标服务器只有C盘,咱们如今建立一个“hello.txt”文件,以下图所示。

在这里插入图片描述

攻击机XP系统能够下载目标主机的文件,好比“hello.txt”。

在这里插入图片描述

第四步,点击“屏幕截获”能够监控目标的屏幕。

在这里插入图片描述

点击“传送鼠标和键盘操做”按钮,能够操做目标肉鸡。

在这里插入图片描述

第五步,点击“视频语音”能够检测目标的视频和语音,因此你们的麦克风和摄像头必定作好保护措施。

在这里插入图片描述

第六步,点击“Telnet”能够进入控制台执行相关操做,好比输入“ipconfig”查看网络,“md xxx”建立文件夹。

在这里插入图片描述

在这里插入图片描述

再次强调:必定不能经过该方法去控制别人的机器,这是违法行为。本人坚定反对利用教学方法进行犯罪的行为,一切犯罪行为必将受到严惩,绿色网络须要咱们共同维护,更推荐你们了解它们背后的原理,虚拟机中测试,更好地进行防御。


五.Procmon解析恶意样本进程和注册表

Process Monitor是微软推荐的一款系统监视工具,可以实时显示文件系统、注册表(读写)、网络链接与进程活动的高级工具。它整合了旧的Sysinternals工具、Filemon与Regmon,其中Filemon专门用来监视系统中的任何文件操做过程,Regmon用来监视注册表的读写操做过程。

  • Filemon:文件监视器
  • Regmon:注册表监视器

推荐前文:
[网络安全自学篇] 四十九.Procmon软件基本用法及文件进程、注册表查看


第一步,打开Procmon软件并检测灰鸽子木马。

在这里插入图片描述

第二步,点击filter->filter,设置过滤器。进程名设置为包含“灰鸽子”。

在这里插入图片描述

在弹出的对话框中Architecture下拉框,选择Process Name填写要分析的应用程序名字,点击Add添加,最后点击右下角的Apply。

在这里插入图片描述

第三步,在灰鸽子远程控制软件点击刷新,而后查看灰鸽子软件相关信息。

在这里插入图片描述

输出结果中包括序号、时间点、进程名称、PID、操做、路径、结果、描述等,监控项一般包括文件系统、注册表、进程、剖析事件。

在这里插入图片描述

经过分析,咱们发现灰鸽子木马在“C:\Windows”目录下生成了一个临时程序,名称为“Hacker.com.cn.exe”。同时,读者能够尝试更深刻地分析,去了解该恶意样本究竟加载了哪些DLL、EXE文件,从而实现视频监控、键盘记录、远程链接等。

推荐文章:灰鸽子2008生成木马详细分析 - Ginkgo_Alkaid

在这里插入图片描述

因为做者能力有限,后续随着系统安全学习深刻,也会尝试逆向分析一些恶意样本。下面的代码是灰鸽子逆向的部分截图,其表示复制文件成“C:\Windows\Hacker.com.cn.exe”。

在这里插入图片描述

咱们在Procmon软件中选中文件,右键“Jump to”能够查看对应的源文件。

在这里插入图片描述

第四步,咱们在攻击机中使用Process Mointor监控相关行为。能够看到生成的服务是“IEXPLORE”,以下图所示。

在这里插入图片描述

在这里插入图片描述

最后,咱们经过分析注册表行为发现HGZ木马是经过服务启动的。

在这里插入图片描述

注册表中对应“Hacker.com.cn”的字段。

在这里插入图片描述

下面是隐藏的“hgz”服务,同时每次开机都会自启动。

在这里插入图片描述

思考:若是咱们中了灰鸽子木马,将怎么清除呢?
在Windows Server 2003系统进程中关闭“IEXPLORE.EXE”进程,则控制主机Windows XP会自动下线。
在这里插入图片描述

以下图所示,肉鸡已经消失。可是重启后又会自动上线,那么,如何才能成功清除了吗?咱们须要修改注册表、删除文件等一系列操做。

在这里插入图片描述


六.Wireshark解析恶意样本网络

流量分析也是恶意样本分析的重要手段。本文采用Wireshark监控灰鸽子木马与控制端的网络通讯,包括TCP三次握手链接、被控端与控制端之间的通讯过程、流量信息等。

推荐前文:
[网络安全自学篇] 十二.Wireshark安装入门及抓取网站用户名密码(一)


第一步,安装Wirkshark并选择本地网络进行流量监控。

在这里插入图片描述

第二步,因为灰鸽子是使用tcp通讯的,故将条件设置为tcp,此时能够看到不少抓到的tcp链接的包。

在这里插入图片描述

显示的流量信息以下图所示:

在这里插入图片描述

一样,咱们能够设置“ip.addr==192.168.44.131”查看相关流量信息。

在这里插入图片描述


七.防护及总结

写到这里,这篇文章就介绍完毕,主要包括三部份内容:

  • 虚拟机中制做HGZ木马
  • 控制目标服务器
  • 经过Procmon分析恶意样本的文件加载及注册表操做
  • 经过Wireshark分析恶意样本的流量

HGZ木马总体流程以下:

在这里插入图片描述
咱们能够采用下列方式进行防护:

  • 提升警戒性,别占小便宜,别点击垃圾连接或邮件
  • 从官网下载程序,密码设置复杂,防止弱口令(数字大小写符号)爆破
  • 设置防火墙、安装杀毒软件,按期杀毒并清理电脑
  • 防止社会工程学诱骗或攻击
  • 关于软件或系统漏洞,及时关闭远程服务或端口
  • 摄像头、麦克风、路由器、网关、服务器等系统漏洞及人为防护
  • 恶意样本库创建、黑白名单创建

但愿这系列文章对您有所帮助,真的感受本身技术好菜,要学的知识好多。这是第49篇原创的安全系列文章,从网络安全到系统安全,从木马病毒到后门劫持,从恶意代码到溯源分析,从渗透工具到二进制工具,还有Python安全、顶会论文、黑客比赛和漏洞分享。未知攻焉知防,人生漫漫其路远兮,做为初学者,本身真是爬着前行,感谢不少人的帮助,继续爬着,继续加油!

欢迎你们讨论,是否以为这系列文章帮助到您!若是存在不足之处,还请海涵。任何建议均可以评论告知读者,共勉~

武汉加油!湖北加油!中国加油!!!

(By:Eastmount 2020-02-26 晚上12点写于贵阳 http://blog.csdn.net/eastmount)

参考文献:
[1] 《软件安全》实验之恶意样本行为分析
[2] https://github.com/eastmountyxz/Security-Software-Based
[3] [网络安全自学篇] 十二.Wireshark安装入门及抓取网站用户名密码(一)
[4] [网络安全自学篇] 十三.Wireshark抓包原理(ARP劫持、MAC泛洪)及数据流追踪和图像抓取(二)
[5] [网络安全自学篇] 四十九.Procmon软件基本用法及文件进程、注册表查看
[6] [网络安全自学篇] 五十.虚拟机基础之安装XP系统、文件共享、网络快照设置及Wireshark抓取BBS密码
[7] 恶意软件样本行为分析——灰鸽子为例 - Gokou Ruri
[8] 灰鸽子2008生成木马详细分析 - Ginkgo_Alkaid

联系我们 沪ICP备2021010478号-7