一、 实验目的
理解如何通过向对方发送伪造的 Microsoft Office Word 文档来植入木马程序的技术手段。
掌握利用 Unicode 反转字符特性来捆绑可执行木马构建恶意文档的方法。
了解使用 System Safety Monitor(SSM)分析恶意文档的攻击流程。
二、 实验原理
首先对该工具的使用方法作一下说明 :
1)在正常文档中选择本机上存在的并想让目标对象打开显示的Office Word文件,例如C:\test.doc。
2)在木马文件中选择让目标对象隐藏执行的代码程序,如"C:\Trojan.exe” 。
3)在保存文件中输入最终生成的伪装成Office Word文档捆绑有木马程序的恶意文档名称,例如"import" 。
4)最后点击确定按钮即可。
1.2在利用工具的界面上点击“正常文档”输入框右侧的文件浏览按钮,选择工具同一目录下的"test.doc"文档。这里的"test.doc"的文档为一个测试用word文档,内容为"This is a testWord document for exploit."。
1.3然后点击“木马文件”输入框右侧的文件浏览按钮,选择工具同一目录下的"Trojan.exe"可执行程序。这里的"Trojan.exe" 其实就是重命名的计算器程序(没有任何危害)。
1.4然后点击“保存文件”输入框右侧的按钮,选择保存目录为“桌面”, 输入我们要生成的最终文档名称,比如为"important" 。这里的保存文件处会显示"important.exe" , 不用进行任何修改。这是因为最终生成的文档其实就是个可执行的EXE程序,只不过利用下文件名Unicode反转字符的特性伪造了用户名,使得用户看起来像个Doc文档样。
1.5最后点击确定按钮,将会成功生成恶意文档。如下图所示:
从表面上来看,最终生成的文件不是"imprrtant.exe" , 而是"importantocd.doc" , 其实这个Doc文件是个伪造的"scr” 可执行文件(屏幕保护程序),其真实的名字是"importantocd.scr", 标记"” 的地方是一个Unicode控制字符一 “RLO",意思是 “Start ofright-to-left override"即从右往左覆盖。这样使得用户看起来就变成了"importantocd.doc”。
2.1在本地主机的“运行”编辑框中输入“mstsc”后回车,将打开远程桌面连接程序。
2.2点击“选项”下拉框,切换到本地资源
2.3点击"本地设备和资源”组合框中的“详细信息”按钮,勾选“驱动器”选项后点击“确定”按钮返回。
2.4切换回到“常规”选项卡,在“登录设置"组合框的“计算机”编辑框中输入目标机的IP地址(此处目标机示例ip为10.1.0.41), 点击最下方的"连接”按钮。
2.5在远程桌面连接窗口中出现验证计算机身份的信息点击“是"” 按钮,进入登录认证界面输入用户名: administrator密码: 123456
2.6登录成功之后,将这个伪造的"importantocd.doc" 上传至目标主机,文件复制到目标机桌面。
2.7进入到目标机。先安装Microsoft Office Word 2003,然后再双击运行之前上传的"important" 文档。 能够看到如下图所示的Word被打开显示出来了,被捆绑的木马程序(这里为有界面的无害计算机程序)也同时偷偷运行起来了。
2.8以同样的方法,将important文件复制到目标机2(Windows_7)的桌面
2.9运行important文件,查看运行后的状态。
五、实验总结 通过本次实验,了解和认识了Unicode反转字符文件名植入攻击,学会了理解如何通过向对方发送伪造的 Microsoft Office Word 文档来植入木马程序的技术手段。掌握利用 Unicode 反转字符特性来捆绑可执行木马构建恶意文档的方法以及使用 System Safety Monitor(SSM)分析恶意文档的攻击流程,收获很大。