资源描述:
《对lcass木马攻击特点进行分析与监测》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库。
1、对Lcass木马攻击特点进行分析与监测 1引言 在X络安全保密风险评估中,笔者发现名为Lcass的程序具有运行无窗口、通过感染U盘传播等木马典型特点,具有一定代表性.为评估其安全保密危害,有必要对其攻击特点进行分析与监测,为此搭建了攻击分析与演示实验环境. 2木马程序分析过程 2.1分析环境 为分析和验证木马程序功能,采用交换机搭建了X络分析与验证环境,配备4台计算机,其中1台用于提供DNS服务,1台用于监测(安装Snort入侵检测系统),1台用做被攻击计算机,1台用做攻击计算机,X络拓扑见图1. 本分析实验在独立计算机sswin
2、sck.ocx模块文件开放TCP88端口,等待攻击者发起攻击,如图3所示. 木马程序开放的后门是一个采用Web登录的ZDC-WEB-SERVER后台,利用浏览器尝试登录后门地址入口,需要注册用户身份认证才能进入后门控制台.该后台服务主要利用Driver.pl(驱动器选择)、File.pl(文件管理)、Upload.pl(文件上传)、UrlDown.pl(通过URL下载执行文件)等多个pl脚本文件,实现远程控制攻击服务. 经过身份认证后进入远程控制后台,发现该后门具有驱动器选择、文件上传、文件下载、查看屏幕(监视远程桌面)等远程控制功能,与
3、分析木马程序获得的pl服务脚本构成是基本一致的.通过浏览器远程控制被攻击计算机的界面如图4所示. 2.5利用U盘传播 插入U盘到被攻击计算机,木马程序会自动在U盘生成autorun.inf和RECYCLER文件夹(文件夹内为隐藏的Lcass.exe木马程序),当U盘再次插入到其他计算机时会通过自动播放,或劫持打开浏览诱导用户激活木马程序,实现木马程序利用U盘扩大传播的目的. 综上所述,该B/S木马程序能够实现隐藏无窗口,采用混淆服务加载木马程序实现自启动,通过穿透防火墙开启后门,等待攻击者利用.木马能够悄悄潜入U盘,通过U盘传播来扩
4、大攻击范围,能够通过X络主动回连报信.攻击者通过报信信息,不需要任何专用控制端程序,仅需要通过浏览器作为控制端就可以很方便实现文件管理、监视屏幕等远程控制攻击,这是这款B/S木马程序的最明显特点. 3检测方法 分析结果表明木马程序具有回连报信、远程控制等功能.为有效检测和发现该木马程序活动情况,根据其攻击的X络数据流特点,在检测计算机上部署了Snort入侵检测系统,Sonrt是一种开源的入侵检测系统,通过监测该木马不同阶段的X络攻击数据流特点,构造了三类入侵检测规则分别作为入侵检测方案进行测试. 3.1木马启动检测 木马程序启动时会向
5、指定域名进行解析,以此作为特征码设计检测规则如下: 经Snort入侵检测系统检测,成功得到黑名单域名请求报警信息如下: 入侵检测结果表明木马程序在每次开机时会申请特定域名解析一次,如成功,则停止域名解析请求,如解析不成功,则会不断发出域名解析请求,Snort入侵检测系统则会收到大量黑名单域名请求报警信息. 3.2发送信息检测 木马程序会向指定域名成功解析的计算机发送受害计算机信息,提取发送信息共有串作为特征码设计检测规则如下: 经Snort入侵检测系统进行检测,成功得到木马发送信息成功报警信息如下: 该部分检测实验
6、需要在攻击计算机构建木马接收信息程序,木马程序成功发送报信信息,Snort入侵检测系统才能够检测到木马程序发送信息成功的报警信息. 3.3入侵攻击成功检测 在攻击计算机上经身份认证后,进入被攻击计算机后台时,根据特征字符串设计两条检测规则如下: 经实验检测,Snort入侵检测系统能够得到进入被攻击计算机后台成功的报警信息. Snort入侵检测系统能够分阶段实现对该木马的活动进行检测,并发出报警信息,可以帮助管理员监测和发现感染木马程序的受害计算机. 4结语 通过分析木马程序的特点和功能,结合木马程序的各阶段攻击特征构建入侵检测
7、规则,经Snort入侵检测,能够实现对木马活动情况检测报警.在预防方面,应安装防病毒软件或X络入侵检测系统,启动实时监控进行预警.同时,鉴于B/S木马通过浏览器远程控制的便利性,通过划分较小安全域防止受害计算机被内部攻击利用,严格控制U盘的使用防止木马程序传播,加强对涉密信息系统的检查和风险评估,防范该类木马程序的攻击,避免对涉密信息带来泄密风险.