Unicode反转字符文件名植入攻击实验

Unicode反转字符文件名植入攻击实验

一、 实验目的
 理解如何通过向对方发送伪造的 Microsoft Office Word 文档来植入木马程序的技术手段。
 掌握利用 Unicode 反转字符特性来捆绑可执行木马构建恶意文档的方法。
 了解使用 System Safety Monitor（SSM）分析恶意文档的攻击流程。
二、 实验原理

1. Unicode反转字符串概述
   利用工具生成的“反转字符串”类型的后门程序，所利用的工具可以自动生成任意伪装后缀名的文件，例如：.txt、.jpg 、.mp3、常见类型文件。 “反转字符串”技术虽然在很久之前就被恶意代码作者利用过，但此技术的伪装性极高，一不小心点击了就有可能沦为肉鸡。
2. Unicode反转字符文件名植入攻击原理
   通过查看文件类型，可以发现该文件的实际文件格式是应用程序或者可执行的屏幕保护程序，正常的图片显示为“JPEG图像”，而恶意程序则显示它真正的格式，例如EXE文件显示应用程序，SCR程序显示屏幕保护程序，如果细心的用户可以通过扩展名“.”前面的字符进行识别，因为这种反转一定在“.”前面有它真正的扩展名例如“exe”反转后依然为exe，而“src”反转后为rsc。 而真实的图片却没有发现可疑字符。
3. Unicode反转字符文件名植入攻击防范。
   　　1、在文件夹中显示文件的“详细信息”，Win7系统在文件中按下“ALT”键，显示菜单栏，然后点击“查看”菜单的详细信息选项即可；2、隐藏文件扩展名；3、通过CMD命令显示文件名。
   三、实验环境
4. 操作系统
   　　操作机：Windows_7
   　　目标机1：Windwos_Xp
   　　目标机2：Windows_7
   　　操作机默认用户名：administrator，密码：123456，IP地址：10.1.0.41
   　　目标机1默认用户名：administrator，密码：123456，IP地址：10.1.0.45
   　　目标机2默认用户名：administrator，密码：123456，IP地址：10.1.0.48
   2） 实验工具
   　　(1)WordReverseExp
   　　一款可以利用Unicode 反转字符特性来捆绑可执行木马构建恶意文档的工具
   　　(2)System Safety Monitor（SSM）
   System Safety Monitor (SSM)是一款对系统进行全方位监测的防火墙工具，它不同于传统意义上的防火墙，系针对操作系统内部的存取管理，因此与任何网络/病毒防火墙都是不相冲突的。
   四、实验步骤和内容
   1.1进入到实验工具目录，运行文件名反转字符利用工具（Exploit）WordReverseExp.exe

首先对该工具的使用方法作一下说明 :
1)在正常文档中选择本机上存在的并想让目标对象打开显示的Office Word文件，例如C:\test.doc。
2)在木马文件中选择让目标对象隐藏执行的代码程序，如"C:\Trojan.exe” 。
3)在保存文件中输入最终生成的伪装成Office Word文档捆绑有木马程序的恶意文档名称，例如"import" 。
4)最后点击确定按钮即可。
1.2在利用工具的界面上点击“正常文档”输入框右侧的文件浏览按钮，选择工具同一目录下的"test.doc"文档。这里的"test.doc"的文档为一个测试用word文档,内容为"This is a testWord document for exploit."。
1.3然后点击“木马文件”输入框右侧的文件浏览按钮,选择工具同一目录下的"Trojan.exe"可执行程序。这里的"Trojan.exe" 其实就是重命名的计算器程序(没有任何危害)。
1.4然后点击“保存文件”输入框右侧的按钮，选择保存目录为“桌面”， 输入我们要生成的最终文档名称，比如为"important" 。这里的保存文件处会显示"important.exe" ， 不用进行任何修改。这是因为最终生成的文档其实就是个可执行的EXE程序,只不过利用下文件名Unicode反转字符的特性伪造了用户名，使得用户看起来像个Doc文档样。
1.5最后点击确定按钮，将会成功生成恶意文档。如下图所示:

从表面上来看,最终生成的文件不是"imprrtant.exe" , 而是"importantocd.doc" ， 其实这个Doc文件是个伪造的"scr” 可执行文件(屏幕保护程序)，其真实的名字是"importantocd.scr"， 标记"” 的地方是一个Unicode控制字符一 “RLO",意思是 “Start ofright-to-left override"即从右往左覆盖。这样使得用户看起来就变成了"importantocd.doc”。
2.1在本地主机的“运行”编辑框中输入“mstsc”后回车，将打开远程桌面连接程序。
2.2点击“选项”下拉框，切换到本地资源

2.3点击"本地设备和资源”组合框中的“详细信息”按钮,勾选“驱动器”选项后点击“确定”按钮返回。

2.4切换回到“常规”选项卡，在“登录设置"组合框的“计算机”编辑框中输入目标机的IP地址(此处目标机示例ip为10.1.0.41)， 点击最下方的"连接”按钮。

2.5在远程桌面连接窗口中出现验证计算机身份的信息点击“是"” 按钮，进入登录认证界面输入用户名: administrator密码: 123456

2.6登录成功之后，将这个伪造的"importantocd.doc" 上传至目标主机，文件复制到目标机桌面。

2.7进入到目标机。先安装Microsoft Office Word 2003,然后再双击运行之前上传的"important" 文档。 能够看到如下图所示的Word被打开显示出来了，被捆绑的木马程序(这里为有界面的无害计算机程序)也同时偷偷运行起来了。

2.8以同样的方法，将important文件复制到目标机2(Windows_7)的桌面

2.9运行important文件,查看运行后的状态。

五、实验总结 通过本次实验，了解和认识了Unicode反转字符文件名植入攻击，学会了理解如何通过向对方发送伪造的 Microsoft Office Word 文档来植入木马程序的技术手段。掌握利用 Unicode 反转字符特性来捆绑可执行木马构建恶意文档的方法以及使用 System Safety Monitor（SSM）分析恶意文档的攻击流程，收获很大。