前一篇文章详细讲解虚拟机及Windows XP系统安装,这篇文章将搭建Windows Server 2003服务器,并通过HGZ制作控制目标服务器的目录。这里仅简单讲解Windows Server 2003服务器的流程,如果虚拟机已经安装好的直接跳过。
(1) 打开虚拟机,点击“文件”->“新建虚拟机”。
(2) 默认选项大家常规选择即可,点击下一步,如下图所示。
(3) 此处选择稍后再安装系统,稍后我们才会将已经下载的镜像文件进行安装。
(4) 选择Microsoft Windows(W),版本选择Windows Server 2003 Standard Edition,接着点击““下一步”。
(5) 设置虚拟机内存,这里设置为512MB。
(6) 网络类型设置“使用网络地址转换(NAT)”,接着其他选择推荐选项即可。
(7) 选择“使用现有虚拟磁盘”。
从本地选择“Windows 2003.vmdk”文件。
(8) 保持现有格式点击“完成”即可。
接下来我们安装Windows Server 2003操作系统。
(1) 当虚拟机设置完成之后,我们点击“开启此虚拟机”,如下图所示。
(2) 设置完毕之后,开启虚拟机,如下图所示。
(3) 将Windows XP和Windows Server 2003设置为相同的连接方式,比如桥接或NAT模式。
(4) 如果设置第一步的时候没有进行ip设置,那么这两台虚拟机默认就在统一网段内,可以在虚拟机检查看是否在统一个网段中。在CMD中输入ipconfig查看网络连接情况。
Windows XP系统:192.168.44.130
如果两台虚拟机的IP地址前三个相同,类似如图192.168.44.*,那么就在同一个网段内,如果不在同一个网段内,就需要分别设置ip地址在同一网段了。网上也有很多设置IP的教程,在这就不累赘了。
(5) 接着使用Ping命令保证虚拟机XP系统(攻击者)和Server 2003(受害者)能通信。
(6) 建议恶意样本分析实验在虚拟机中,某些样本还需要断网、断共享等功能。
关闭Windows Server 2003防火墙
如果我们想从主机Windows 10系统传递资料给虚拟机Windows XP系统,或者Windows XP系统和Windows Server 2003系统传递文件,怎么办呢?
这就涉及到主机和虚拟机文件共享的功能。
(1) 首先,安装VMware Tool工具。
(2) 在安装向导中点击“下一步”进行安装。
(3) 选择“典型安装”。
(4) 点击“安装”即可,如下图所示:
安装成功如下图所示。
(5) 设置共享文件夹,先在主机Windows 10系统创建一个虚拟机与主机的共享文件夹,比如“ShareFiles”。
(6) 选择“虚拟机”->“设置”菜单。
(7) 弹出的对话框如下图所示,其中“共享文件夹”默认是禁用的,我们设置为“总是启用”。我们勾选“在Windows客户机中映射为网络驱动器”,并添加我们的共享文件夹。
点击"浏览",选择主机中共享文件夹的路径。
(8) “启用此共享”必须选上。“只读”可根据需要选择,如果选择,则以后访问实体机的文件夹时,里边所有的内容都不可修改和移动,只能进行访问。这里作者仅选择“启用此共享”,点击完成。
写到这里,主机和虚拟机之间的共享文件夹就设置成功。我们打开磁盘,可以看到虚拟机磁盘多了一个Z盘,它就是共享的文件夹。
然后打开Z盘里面的“ShareFiles”文件夹,可以看到主机复制过去的文件。
接着我们开始讲解木马制作过程,在Windows 10操作系统中将软件共享给虚拟机系统。
推荐前文:
十二.Wireshark安装入门及抓取网站用户名密码(一)
十三.Wireshark抓包原理(ARP劫持、MAC泛洪)及数据流追踪和图像抓取(二)
四十九.Procmon软件基本用法及文件进程、注册表查看
五十.虚拟机基础之安装XP系统、文件共享、网络快照设置及Wireshark抓取BBS密码
HGZ软件是一款集多种控制方式于一体的木马程序,适用于公司和家庭渗透和管理,其功能十分强大,不但能监视摄像头、键盘记录、监控桌面、文件操作等。还提供了黑客专用功能,如:伪装系统图标、随意更换启动项名称和表述、随意更换端口、运行后自删除、毫无提示安装等,并采用反弹链接这种缺陷设计,使得使用者拥有最高权限,一经破解即无法控制。最终导致被黑客恶意使用。
第一步,下载共享的软件并安装。
第二步,使用HGZ制作木马。HGZ软件运行如下图所示。左边显示自动上线主机(肉鸡),凡是中木马的肉鸡都会自动上线,木马会主动连接控制方并请求被完全控制。
第三步,我们先要点击“配置服务程序”生成木马。
第四步,IP通常是黑客电脑的IP地址,因为生成的木马需要植入目标,它会自动连接黑客并发送信息,故填写“192.168.44.130”地址。
第五步,在“安装选项”中,通常会勾选“安装成功后自动删除安装文件”选项。而提示安装成功和运行显示图标会暴露恶意软件。
第六步,设置启动项,这里的显示名称设置为“hgz”。
注意,有的木马为什么比较难找?因为我们会将木马服务名称和描述修改,伪装成正常程序所运行的服务。比如服务名称修改为“windows system”,描述信息修改为“system重要进程”。
本地服务查找如下图所示:
第七步,高级选项可以将木马伪装成“IEXPLORE.EXE”进程,这里不加壳。
第八步,接着点击底部的方块,选择所制作木马的保存路径。这里设置为“eastmount_csdn.exe”。
第九步,最后点击“生成服务器”,成功制作木马。
此时,桌面产生了一个“eastmount_csdn.exe”程序,即为我们的木马。
四.木马劫持远程主机实验
接下来我们想办法将木马发送给目标主机Windows Server 2003。这里作者直接通过文件共享功能让Windows Server 2003服务器主动下载,但真实场景的木马如何发送给目标也是一个难点,比如之前我们的是通过IPC$漏洞上传的,其他方法包括远程共享漏洞、网站钓鱼、社会工程学、0day漏洞等。
推荐前文:
四十三.木马原理详解、远程服务器IPC$漏洞及木马植入实验
第一步,将生成的木马“eastmount_csdn”文件共享给Windows Server 2003。
第二步,双击木马运行之后,我们的攻击机XP系统可以看到目标主机已经上线。
第三步,由于目标服务器只有C盘,我们现在创建一个“hello.txt”文件,如下图所示。
攻击机XP系统可以下载目标主机的文件,比如“hello.txt”。
第四步,点击“屏幕截获”可以监控目标的屏幕。
点击“传送鼠标和键盘操作”按钮,可以操作目标肉鸡。
第五步,点击“视频语音”可以检测目标的视频和语音,所以大家的麦克风和摄像头一定做好保护措施。
第六步,点击“Telnet”可以进入控制台执行相关操作,比如输入“ipconfig”查看网络,“md xxx”创建文件夹。
再次强调:一定不能通过该方法去控制别人的机器,这是违法行为。本人坚决反对利用教学方法进行犯罪的行为,一切犯罪行为必将受到严惩,绿色网络需要我们共同维护,更推荐大家了解它们背后的原理,虚拟机中测试,更好地进行防护。
五.Procmon解析恶意样本进程和注册表Process Monitor是微软推荐的一款系统监视工具,能够实时显示文件系统、注册表(读写)、网络连接与进程活动的高级工具。它整合了旧的Sysinternals工具、Filemon与Regmon,其中Filemon专门用来监视系统中的任何文件操作过程,Regmon用来监视注册表的读写操作过程。
Filemon:文件监视器
Regmon:注册表监视器
推荐前文: 四十九.Procmon软件基本用法及文件进程、注册表查看
第一步,打开Procmon软件并检测灰鸽子木马。
第二步,点击filter->filter,设置过滤器。进程名设置为包含“灰鸽子”。
在弹出的对话框中Architecture下拉框,选择Process Name填写要分析的应用程序名字,点击Add添加,最后点击右下角的Apply。
第三步,在灰鸽子远程控制软件点击刷新,然后查看灰鸽子软件相关信息。
输出结果中包括序号、时间点、进程名称、PID、操作、路径、结果、描述等,监控项通常包括文件系统、注册表、进程、剖析事件。
通过分析,我们发现灰鸽子木马在“C:\Windows”目录下生成了一个临时程序,名称为“Hacker.com.cn.exe”。同时,读者可以尝试更深入地分析,去了解该恶意样本究竟加载了哪些DLL、EXE文件,从而实现视频监控、键盘记录、远程连接等。
由于作者能力有限,后续随着系统安全学习深入,也会尝试逆向分析一些恶意样本。下面的代码是灰鸽子逆向的部分截图,其表示复制文件成“C:\Windows\Hacker.com.cn.exe”。
我们在Procmon软件中选中文件,右键“Jump to”可以查看对应的源文件。
第四步,我们在攻击机中使用Process Mointor监控相关行为。可以看到生成的服务是“IEXPLORE”,如下图所示。
最后,我们通过分析注册表行为发现HGZ木马是通过服务启动的。
注册表中对应“Hacker.com.cn”的字段。
下面是隐藏的“hgz”服务,同时每次开机都会自启动。
思考:如果我们中了灰鸽子木马,将怎么清除呢?在Windows Server 2003系统进程中关闭“IEXPLORE.EXE”进程,则控制主机Windows XP会自动下线。
如下图所示,肉鸡已经消失。但是重启后又会自动上线,那么,如何才能成功清除了吗?我们需要修改注册表、删除文件等一系列操作。
流量分析也是恶意样本分析的重要手段。本文采用Wireshark监控灰鸽子木马与控制端的网络通信,包括tcp三次握手连接、被控端与控制端之间的通信过程、流量信息等。
推荐前文:十二.Wireshark安装入门及抓取网站用户名密码(一)
第一步,安装Wirkshark并选择本地网络进行流量监控。
第二步,由于灰鸽子是使用tcp通信的,故将条件设置为tcp,此时可以看到很多抓到的tcp连接的包。
显示的流量信息如下图所示:
同样,我们可以设置“ip.addr==192.168.44.131”查看相关流量信息。
写到这里,这篇文章就介绍完毕,主要包括三部分内容:
HGZ木马整体流程如下:
我们可以采用下列方式进行防御:
提高警惕性,别占小便宜,别点击垃圾链接或邮件
从官网下载程序,密码设置复杂,防止弱口令(数字大小写符号)爆破
设置防火墙、安装杀毒软件,定期杀毒并清理电脑
防止社会工程学诱骗或攻击
关于软件或系统漏洞,及时关闭远程服务或端口
摄像头、麦克风、路由器、网关、服务器等系统漏洞及人为防御
恶意样本库建立、黑白名单建立
希望这系列文章对您有所帮助,真的感觉自己技术好菜,要学的知识好多。这是第49篇原创的安全系列文章,从网络安全到系统安全,从木马病毒到后门劫持,从恶意代码到溯源分析,从渗透工具到二进制工具,还有Python安全、顶会论文、黑客比赛和漏洞分享。未知攻焉知防,人生漫漫其路远兮,作为初学者,自己真是爬着前行,感谢很多人的帮助,继续爬着,继续加油!
,版权声明:xxxxxxxxx;
工作时间:8:00-18:00
客服电话
电子邮件
扫码二维码
获取最新动态
