對Lcass木馬攻擊特點(diǎn)進(jìn)行分析與監測發(fā)布者：本站     時(shí)間：2020-05-02 16:05:47

1 引言

在網(wǎng)絡(luò )安全保密風(fēng)險評估中,筆者發(fā)現名為L(cháng)cass的程序具有運行無(wú)窗口、通過(guò)感染U盤(pán)傳播等木馬典型特點(diǎn),具有一定代表性.為評估其安全保密危害,有必要對其攻擊特點(diǎn)進(jìn)行分析與監測,為此搭建了攻擊分析與演示實(shí)驗環(huán)境.

2 木馬程序分析過(guò)程

2.1 分析環(huán)境

為分析和驗證木馬程序功能,采用交換機搭建了網(wǎng)絡(luò )分析與驗證環(huán)境,配備4臺計算機,其中1臺用于提供DNS服務(wù),1臺用于監測(安裝Snort入侵檢測系統),1臺用做被攻擊計算機,1臺用做攻擊計算機,網(wǎng)絡(luò )拓撲見(jiàn)圖1.

本分析實(shí)驗在獨立計算機Windows操作系統下進(jìn)行,采用了WireShark、RegSnap、Cports等輔助監控分析工具,結合網(wǎng)絡(luò )攻擊等特點(diǎn)進(jìn)行驗證.

2.2 木馬組成

對比操作系統的服務(wù),發(fā)現木馬程序Lcass利用 "PnP plug On Service"服務(wù)啟動(dòng),以達到長(cháng)期控制受害計算機的目的.木馬程序采用了容易混淆用戶(hù)為正常服務(wù)的描述信息,如圖2所示.

提取木馬可執行程序Lcass,在實(shí)驗計算機上通過(guò)RegSnap工具監測木馬執行前后文件的差別,發(fā)現與木馬程序Lcass相關(guān)的組成文件包括Lcass.dll、Lcass.exe、Mswinsck.ocx、Ntsvc.ocx,均位于C:\WINDOWS\system32\目錄下.其中,Lcass.e x e 是主體文件,也是自身通過(guò) U 盤(pán)傳播擴散的主文件,Mswinsck.ocx是提供網(wǎng)絡(luò )后門(mén)的程序.

2.3 網(wǎng)絡(luò )回連報信

從操作系統本地防火墻例外列表中,發(fā)現木馬程序Lcass主動(dòng)避開(kāi)本地防火墻,懷疑其具有外連通信能力,采用Wireshark監測,發(fā)現木馬程序向*zhen.3322.org發(fā)起連接.

在實(shí)驗環(huán)境中通過(guò)DNS服務(wù)器轉化到監測計算機后,監測相應的端口,利用Wireshark捕獲到被攻擊計算機主動(dòng)向監測計算機發(fā)送了系列規則信息,信息結構如下:

被攻擊計算機/192.168.0.4/88/1.0.195/18分43秒被攻擊計算機/192.168.0.4/88/1.0.195/18分48秒被攻擊計算機/192.168.0.4/88/1.0.195/18分54秒被攻擊計算機/192.168.0.4/88/1.0.195/19分0秒回連信息包括被攻擊計算機名、IP地址、打開(kāi)端口、程序版本、木馬啟動(dòng)時(shí)間等,其中被控制計算機IP地址和打開(kāi)端口是向攻擊者用于遠程控制的兩個(gè)重要信息,攻擊者可以通過(guò)收到的IP地址和打開(kāi)端口信息,向被攻擊計算機發(fā)起遠程控制攻擊.

2.4 開(kāi)啟遠程控制后門(mén)

通 過(guò) C p o r t s 監測 , 發(fā)現木馬程序利用mswinsck.ocx模塊文件開(kāi)放TCP 88端口,等待攻擊者發(fā)起攻擊,如圖3所示.

木馬程序開(kāi)放的后門(mén)是一個(gè)采用Web登錄的ZDC-WEB-SERVER后臺,利用瀏覽器嘗試登錄后門(mén)地址入口,需要注冊用戶(hù)身份認證才能進(jìn)入后門(mén)控制臺.該后臺服務(wù)主要利用Driver.pl(驅動(dòng)器選擇)、File.pl(文件管理)、Upload.pl(文件上傳)、UrlDown.pl(通過(guò)URL下載執行文件)等多個(gè)pl腳本文件,實(shí)現遠程控制攻擊服務(wù).

經(jīng)過(guò)身份認證后進(jìn)入遠程控制后臺,發(fā)現該后門(mén)具有驅動(dòng)器選擇、文件上傳、文件下載、查看屏幕(監視遠程桌面)等遠程控制功能,與分析木馬程序獲得的pl服務(wù)腳本構成是基本一致的.通過(guò)瀏覽器遠程控制被攻擊計算機的界面如圖4所示.

2.5 利用U盤(pán)傳播

插入U盤(pán)到被攻擊計算機,木馬程序會(huì )自動(dòng)在U盤(pán)生成autorun.inf和RECYCLER文件夾(文件夾內為隱藏的Lcass.exe木馬程序),當U盤(pán)再次插入到其他計算機時(shí)會(huì )通過(guò)自動(dòng)播放,或劫持"打開(kāi)""瀏覽"誘導用戶(hù)激活木馬程序,實(shí)現木馬程序利用U盤(pán)擴大傳播的目的.

綜上所述,該B/S木馬程序能夠實(shí)現隱藏無(wú)窗口,采用混淆服務(wù)加載木馬程序實(shí)現自啟動(dòng),通過(guò)穿透防火墻開(kāi)啟后門(mén),等待攻擊者利用.木馬能夠悄悄潛入U盤(pán),通過(guò)U盤(pán)傳播來(lái)擴大攻擊范圍,能夠通過(guò)網(wǎng)絡(luò )主動(dòng)回連報信.攻擊者通過(guò)報信信息,不需要任何專(zhuān)用控制端程序,僅需要通過(guò)瀏覽器作為控制端就可以很方便實(shí)現文件管理、監視屏幕等遠程控制攻擊,這是這款B/S木馬程序的最明顯特點(diǎn).