本站原创摘 要 :本文着重讲述恶意代码实现技术中的破坏技术和远程控制技术.
关 键 词 :拒绝服务攻击;信息窃取;数据破坏 ; 修改系统配置;
在实现恶意代码的过程中,主要涉及到攻击渗透技术、自动升级技术、随机启动技术、隐藏技术、远程控制技术、破坏技术等六大技术体系.实际存在的恶意代码总是这几个方面的组合.经典的蠕虫主要涉及攻击渗透技术、自动升级技术、随机启动技术和破坏技术;经典的木马主意涉及随机启动技术、远程控制技术、隐藏技术和破坏技术.经典的 bot 控制器主要涉及网络攻击渗透技术、自动升级技术、随机启动技术、远程控制技术和破坏技术,经典的病毒主要涉及攻击渗透技术、隐蔽技术和破坏技术等.
这些技术,在各类恶意代码中,破坏技术肯定会出现;而远程控制技术在网络中的恶意代码也会出现,故对这两类技术进行详细简述.
一、破坏技术
破坏技术是指一切试图跨越系统安全边界危害受害主机的可用性、可靠性、数据完整性、或者消耗受害主机的系统资源以及利用受害主机危害他人的所有行为.归纳起来,主要包括拒绝服务攻击、信息窃取、数据破坏、修改系统配置等四个方面.
(一)拒绝服务攻击
拒绝服务攻击的目的是使攻击对象超过它的服务负荷或停止服务,受攻击的目标经常包括 WEB 服务器和文件服务器等.拒绝服务攻击的唯一目的是使特定服务在一段时间内不可用,并不对服务系统造成其他程度的破坏.如果攻击者利用多个受害对象同时对目标发起拒绝服务攻击就形成了所谓的分布式拒绝服务 (DDoS),这种攻击的影响很可能会大于使用单个攻击计算机造成的影响.常见的拒绝服务攻击方式包括 syn flood、dear drop 等.
(二)信息获取
恶意代码在植入到受害主机系统后,可以搜集受害主机和受害主机所在网络的信息,并把收集到的信息通过前面提到的远处控制技术回传给控制者.最常用的信息搜集手段有网络、网络拓扑探测、键盘记录、桌面截取、文件查找、系统配置、用户名探测等.
(三)修改系统配置
修改系统配置的目的主要是留下后门或者隐蔽恶意代码的网络通讯特征.现在的网络用户大部分都安装了个人防火墙系统,这些个人防火墙可能会发现或者阻止恶意代码的网络通讯,恶意代码为了保证自己的通讯正确进行,可能会修改防火墙的规则设置,或者直接中止防火墙的运行.很多恶意代码通过 IE控制本地主机,或者通过 IE 进行网络通讯,IE 本身具有安全级别限制,不同的安全级别设置可能会影响到恶意代码的功能的完成,恶意代码为了保证控制通道的畅通,可能会修改 IE 的安全设置.远程控制者习惯于通过 TELNET 或者 3389 端口进行远程网络管理,而本地计算机可能没有开启这两个服务,恶意代码可以通过一定的方式开启本地的网络服务,为下一步进行网络控制做准备.
另外,恶意代码为了控制本地计算机,可能会在受害主机上添加新的用户甚至是不可见用户,通过新添加的用户控制网络.恶意代码也有可能修改系统安全审计规则,逃避系统安全检查达到隐蔽自身的目的.
二、远程控制技术
恶意代码远程控制的实质就是在恶意代码控制的主机和控制端之间传送控制命令和命令执行结果.远程控制技术的任务是负责在恶意代码的服务端和客户端之间建立起一条数交换的通道,从而使得控制端可以向服务端发送指令,操纵服务端完成某些特定的工作.实现远程控制技术需要一定的条件,也就是要求控制主机和被控主机之间存在一条实际的物理通讯通路,这个要求比较高.
远程控制技术总是通过客户服务器模式来实现的,一个控制系统可以分成两个部分:一部分是客户端程序(Client),另一部分是服务器端程序(Server).这里的服务端和客户端是一个逻辑概念,并非 socket 定义的服务端和客户端,服务端是按照一定的请求提供服务的部分,客户端是发送请求,接收服务返回结果的部分.服务端总是安装在受害主机上,它接收客户端传送来的命令,执行完命令后把执行结果回传给客户端.远程控制技术包括以下几种方式:
(一)直接使用套接字(socket)进行通讯控制socket 通讯是建立在 TCP 协议基础上,通讯的可靠性可以得到保证,Windows 操作系统提供了完善的 socket 通讯支持,只需要简单的几个操作就可以建立网络连接并收发数据.因此,直接使用套接字(socket)进行通讯控制的方法也是最早、最广泛使用的通讯控制方案.
使用 socket 通讯具有两种方式,一种方式是服务端客户端连接,另一种方式是客户端,服务端连接.第一种方式和 socket 本身的概念相吻合,也最早被恶意代码使用,比如木马“冰河”就是使用的这种技术,但是,这种远程控制方案有很多缺点.首先,受害者使用像 FPort,TcpView 这样的工具可以很容易的发现在某一端口上的进程,以及进程对应的可执行文件.
(二)用协议隧道技术通讯
构建在 IP 协议基础上的除了 TCP、UDP 外还有 ICMP 协议,由于 ICMP协议具有一些特别的功能,所有的防火墙都必须允许部分 ICMP 协议通过网络传输,恶意代码完全可以在 ICMP 基础上建立一个自己的可靠数据报通讯协议,甚至可以建立一个 TCP over ICMP.除了 ICMP 隧道外,恶意代码还可以使用HTML 隧道技术,也就是通过 HTTP 协议传送命令和执行结果.使用协议隧道的通讯控制技术的好处是可以穿透大部分防火墙,并且在服务端没有全局 IP 的情况下很容易找到,因为只要上网的计算机,都会使用浏览器来访问 WEB站点获取信息.如果没有全局 IP 必然会使用 HTTP 来访问网络,恶意代码可以直接获取 WEB 浏览器的 HTTP 作为自己的服务器,穿透防火墙.
三、总结
本文深入分析恶意代码的远程控制技术及破坏技术几种方式,只有采取极具针对性的防范策略,才能为我们构建一个安全、实用的远程控制服务器.