1 引言

在網絡安全保密風險評估中,筆者發現名為Lcass的程序具有運行無窗口、通過感染U盤傳播等木馬典型特點,具有一定代表性.為評估其安全保密危害,有必要對其攻擊特點進行分析與監測,為此搭建了攻擊分析與演示實驗環境.

2 木馬程序分析過程

2.1 分析環境

為分析和驗證木馬程序功能,采用交換機搭建了網絡分析與驗證環境,配備4臺計算機,其中1臺用于提供DNS服務,1臺用于監測\\(安裝Snort入侵檢測系統\\),1臺用做被攻擊計算機,1臺用做攻擊計算機,網絡拓撲見圖1.

本分析實驗在獨立計算機Windows操作系統下進行,采用了WireShark、RegSnap、Cports等輔助監控分析工具,結合網絡攻擊等特點進行驗證.

2.2 木馬組成

對比操作系統的服務,發現木馬程序Lcass利用 "PnP plug On Service"服務啟動,以達到長期控制受害計算機的目的.木馬程序采用了容易混淆用戶為正常服務的描述信息,如圖2所示.

提取木馬可執行程序Lcass,在實驗計算機上通過RegSnap工具監測木馬執行前后文件的差別,發現與木馬程序Lcass相關的組成文件包括Lcass.dll、Lcass.exe、Mswinsck.ocx、Ntsvc.ocx,均位于C:\\WINDOWS\\system32\\目錄下.其中,Lcass.e x e 是主體文件,也是自身通過 U 盤傳播擴散的主文件,Mswinsck.ocx是提供網絡后門的程序.

2.3 網絡回連報信

從操作系統本地防火墻例外列表中,發現木馬程序Lcass主動避開本地防火墻,懷疑其具有外連通信能力,采用Wireshark監測,發現木馬程序向*zhen.3322.org發起連接.

在實驗環境中通過DNS服務器轉化到監測計算機后,監測相應的端口,利用Wireshark捕獲到被攻擊計算機主動向監測計算機發送了系列規則信息,信息結構如下:

被攻擊計算機/192.168.0.4/88/1.0.195/18分43秒被攻擊計算機/192.168.0.4/88/1.0.195/18分48秒被攻擊計算機/192.168.0.4/88/1.0.195/18分54秒被攻擊計算機/192.168.0.4/88/1.0.195/19分0秒回連信息包括被攻擊計算機名、IP地址、打開端口、程序版本、木馬啟動時間等,其中被控制計算機IP地址和打開端口是向攻擊者用于遠程控制的兩個重要信息,攻擊者可以通過收到的IP地址和打開端口信息,向被攻擊計算機發起遠程控制攻擊.

2.4 開啟遠程控制后門

通 過 C p o r t s 監測 , 發現木馬程序利用mswinsck.ocx模塊文件開放TCP 88端口,等待攻擊者發起攻擊,如圖3所示.

木馬程序開放的后門是一個采用Web登錄的ZDC-WEB-SERVER后臺,利用瀏覽器嘗試登錄后門地址入口,需要注冊用戶身份認證才能進入后門控制臺.該后臺服務主要利用Driver.pl\\(驅動器選擇\\)、File.pl\\(文件管理\\)、Upload.pl\\(文件上傳\\)、UrlDown.pl\\(通過URL下載執行文件\\)等多個pl腳本文件,實現遠程控制攻擊服務.

經過身份認證后進入遠程控制后臺,發現該后門具有驅動器選擇、文件上傳、文件下載、查看屏幕\\(監視遠程桌面\\)等遠程控制功能,與分析木馬程序獲得的pl服務腳本構成是基本一致的.通過瀏覽器遠程控制被攻擊計算機的界面如圖4所示.

2.5 利用U盤傳播

插入U盤到被攻擊計算機,木馬程序會自動在U盤生成autorun.inf和RECYCLER文件夾\\(文件夾內為隱藏的Lcass.exe木馬程序\\),當U盤再次插入到其他計算機時會通過自動播放,或劫持"打開""瀏覽"誘導用戶激活木馬程序,實現木馬程序利用U盤擴大傳播的目的.

綜上所述,該B/S木馬程序能夠實現隱藏無窗口,采用混淆服務加載木馬程序實現自啟動,通過穿透防火墻開啟后門,等待攻擊者利用.木馬能夠悄悄潛入U盤,通過U盤傳播來擴大攻擊范圍,能夠通過網絡主動回連報信.攻擊者通過報信信息,不需要任何專用控制端程序,僅需要通過瀏覽器作為控制端就可以很方便實現文件管理、監視屏幕等遠程控制攻擊,這是這款B/S木馬程序的最明顯特點.

3 檢測方法

分析結果表明木馬程序具有回連報信、遠程控制等功能.為有效檢測和發現該木馬程序活動情況,根據其攻擊的網絡數據流特點,在檢測計算機上部署了Snort入侵檢測系統,Sonrt是一種開源的入侵檢測系統,通過監測該木馬不同階段的網絡攻擊數據流特點,構造了三類入侵檢測規則分別作為入侵檢測方案進行測試.

3.1 木馬啟動檢測

木馬程序啟動時會向指定域名進行解析,以此作為特征碼設計檢測規則如下:

經Snort入侵檢測系統檢測,成功得到黑名單域名請求報警信息如下:

入侵檢測結果表明木馬程序在每次開機時會申請特定域名解析一次,如成功,則停止域名解析請求,如解析不成功,則會不斷發出域名解析請求,Snort入侵檢測系統則會收到大量黑名單域名請求報警信息.

3.2 發送信息檢測

木馬程序會向指定域名成功解析的計算機發送受害計算機信息,提取發送信息共有串作為特征碼設計檢測規則如下:

經Snort入侵檢測系統進行檢測,成功得到木馬發送信息成功報警信息如下:

該部分檢測實驗需要在攻擊計算機構建木馬接收信息程序,木馬程序成功發送報信信息,Snort入侵檢測系統才能夠檢測到木馬程序發送信息成功的報警信息.

3.3 入侵攻擊成功檢測

在攻擊計算機上經身份認證后,進入被攻擊計算機后臺時,根據特征字符串設計兩條檢測規則如下:

經實驗檢測,Snort入侵檢測系統能夠得到進入被攻擊計算機后臺成功的報警信息.

Snort入侵檢測系統能夠分階段實現對該木馬的活動進行檢測,并發出報警信息,可以幫助管理員監測和發現感染木馬程序的受害計算機.

4 結語

通過分析木馬程序的特點和功能,結合木馬程序的各階段攻擊特征構建入侵檢測規則,經Snort入侵檢測,能夠實現對木馬活動情況檢測報警.在預防方面,應安裝防病毒軟件或網絡入侵檢測系統,啟動實時監控進行預警.同時,鑒于B/S木馬通過瀏覽器遠程控制的便利性,通過劃分較小安全域防止受害計算機被內部攻擊利用,嚴格控制U盤的使用防止木馬程序傳播,加強對涉密信息系統的檢查和風險評估,防范該類木馬程序的攻擊,避免對涉密信息帶來泄密風險.