频道栏目
首页 > 安全 > 网络安全 > 正文

如何让木马为我们工作之网络监控和管理的用途

2019-11-20 09:14:36           
收藏   我要投稿
现在,博客、社交网站、微博客等WEB2.0的应用,正在改变人们的生活和工作习惯,但与此同时却给企业带来了更多的安全风险。例如,员工可能将企业机密信息,通过手机发布到微博客中,或发送到自己的电子邮箱中;另外,员工在编写博客的过程中,可能将一些与自身工作相关的内容记录下来,但是他自己却认为这些信息并不属于机密,比如在博客中描写企业安装了什么新防火墙,以及防火墙部署在什么位置,主要用来;つ男┓衿骰蛲蔚刃畔。所有的这些,都会给企业带来严重的安全风险。

  因此,为了减少WEB2.0应用带来的安全风险,企业可能需要知道某些关键终端或服务器上运行了什么服务,发送了什么信息和文件,以及使用者上班时间到底在做些什么等方面。另外,如果监测到某台终端正在发送:ζ笠凳莅踩男形,为了得到证据,有时还需要完成抓取危险主机的屏幕状态,录制录像和声音等任务。

  而要完成这样的工作,人们通常想到就是用商业的安全管理软件或硬件来应对,但是,像屏幕和声音录制等任务却不容易实现。其实,除了这种常规的途径外,还可以使用特洛伊木马达到同样的目的。

  例如,Poison IVY就是WINDOWS系统下一个高级远程管理工具。它采用c/s结构,其客户端可以运行在Windows,linux或UNIX系统上,其服务端的内容依靠我们的设置来决定,不过只能运行在Widnows2000/XP/2003/Vista系统上。

  Poison IVY的服务端可以非常小,不过,如果需要添加所有的插件,其大小会增长很多,但即使是这样,它的服务端在压缩状态下最大不超过7KB的大小。

  虽然Poison IVY非常小,但是,它却具有下列所示的主要特性:

  (1)256位加密连接,可以减少远程管理过程中泄密的风险。

  (2)完整的文件管理功能。

  (3)远程注册表管理功能。

  (4)键盘记录功能。

  (5)服务管理功能。

  (6)进程管理功能。

  (7)远程视频和音频捕捉。

  (8)WEB摄像头捕捉。

  (9)密码管理

  (10)共享服务。

  (11)第三方插件支持。

  这些功能还只是Poison IVY所有功能中一部分。在上述这些功能中,像键盘记录功能和WEB摄像头捕捉等功能,通常是人们最担心的。主要是在使用木马为自己工作时,担心这些功能会对被控端带来同样的:。

  不过,这种担心是应该的,也是很有必要的。在使用木马为自己工作之前,我们一定要弄清楚它们本身具有的安全性,例如,它们的各种功能是不是可以自由控制,是否可以设置控制的用户及设置密码等。而这些功能,Poison IVY恰巧都具有。

  其实,具有这样功能的木马还有许多。除Poison IVY之外,还有Back Orifice XP、CIA

  、Nuclear RAT等木马都具有与它相似的功能,或者其它更多的特色功能,例如穿透防火墙或可加密加壳等。

  上述这些木马程序,在雪源梅香下载和试用时,都没有被检测到发现木马程序。只是在下载Poison IVY的WI-FI插件时,被迅雷检测到含有木马。但是,由于Poison IVY的这个插件同样是安全的,你完全不要理会这种警报,继续下载就可以。

  更加难能可贵的是Poison IVY的开发者一直在提供技术和升级服务,而且,开发者的本意,也是将这款软件作为一款优秀远程管理软件在进行开发和推广的。

  实际上,有许多被人们称为木马的软件,其开发者本意都是好的。只是恰巧这些软件具有许多特殊的功能,而这些功能又恰巧可以帮助攻击者实施攻击活动,由此,当这些工具软件被攻击者用来进行攻击活动后,就像变了一幅面孔一样,从自走向“犯罪”生涯了。

  就像上面所提到的这些被称为木马的软件,如果将它们用在企业的网络监控和管理上,那么,它们同样能够重新“变节”而成为我们真实的好工具,来为我们完成网络管理过程中一些特殊的任务。由于上面所示的木马程序,它们的功能大致相同,其使用方式也同样相似。因此,下面,雪源梅香只以Poison IVY为例,详细说明怎么去安全使用它们来为我们进行网络管理工作。

  1、 安装和运行

  上述的木马程序,大多免去了安装,在下载回来后,只需将压缩包解压后就可以直接使用它们。对于Poison IVY,我们可以去http://www.poisonivy-rat.com/网站下载它,解压后,

  通过双击解压目录下的“Poison Ivy 2.3.2.exe”就可以运行它,运行后的主界面如图1所示。

  \

  图1 Poison IVY运行后的主界面

  至于本文其它几个木马的下载地址,Back Orifice XP可以从http://boxp.sourceforge.net/网站下载,Nuclear RAT可以从http://www.nuclearwintercrew.com/下载。

  2、 生成服务端

  如其它木马程序一样,Poison IVY的服务器也是由我们自己来生成,这样,我们才能控制服务器的功能,以及它在运行后,怎么连接客户端,以及进行其它动作等功能。

  Poison IVY的服务器生成,可以通过如下的步骤来进行:

  (1) 在poison ivy的主界面,选择“File”——“New Server”菜单,打开如图2所示生成新服务端界面。

  \

  图2 poison ivy生成服务端界面

  (2) 在图2所示界面中,单击“create profile”按钮,在打开的对话框中输入一个名称。此时,左边项目栏中的原本灰色的按钮将被激活,接下来,按其排列顺序完成服务端的其它配置。

  (3) 单击图2所示界面中的“connection”按钮,将出现如图3所示的设置连接信息的界面。

  \

  图3 设置连接信息界面

  poison ivy是一个具有反向连接的木马程序,因此,我们必需在图3所示界面中的DNS/PORT文本框中,输入正确的客户端IP地址和监听服务器端的端口,然后单击“Add”按钮添加设置。

  为了poison ivy的服务器端只有我们自己能够进行控制和连接,还必需在图3所示界面中的ID文本框中输入建立的用户名,在“GROUP”中输入组名(可选),然后在“Password”文本框中输入连接密码。在这里,还可以选择“Hide Password”多项选择框,隐藏密码框中显示的内容,密码也以由软件自己随机产生!(4) 可以通过单击图3所示界面右下角的“NEXT”按钮,进入“Install”配置项,也可以直接单击“Install”按钮进入其配置界面。如图4所示。

  \

  图4 Install配置界面

  在Install配置界面,可以指定文件名、安装到系统中的什么位置,以及通过选择“key logger”多项选择框来决定是否记录键盘输入,或通过选择“persistence”来确保当poison ivy服务端进程被停止后,重新启动服务端进程,并防止服务端程序本身被删除。

  poison ivy的这些特性与其它恶性木马是相同的,在我们使用它的过程中,如果没有特殊要求,例如不想被被监控者看到,就可以使用这些功能,但是,通常情况下,这些功能是可选的。

  (5) 完成Install配置项的配置后,单击“Advanced”就可以打开如图5所示的高级配置界面。

  \

  图5 高级配置界面

  在高级配置界面,主要完成进程注入和注入格式的设置。同样,这些功能都是可选的,如果没有什么特殊的要求,可以在此保持默认设置。

  现在,poison ivy服务端的配置全部完成,只要再单击“Build”按钮,就可以按照上述的配置生成我们想要的客户端。

  完成poison ivy服务端的生成工作后,我们还必需为些服务端生成一个新的客户端,主要用来与些服务端配套使用,监听从服务端反向回来的连接。与此同时,为了确保poison ivy客户端能够监听到服务端的反向连接信息,必需确保防火墙开放了客户端监听的端口。

  要生成poison ivy的客户端,可以通过在其主界面中,选择“File”——“New Client”菜单,打开如图6所示的生成客户端界面。

  \

  图6 poison ivy生成客户端界面

  在生成客户端界面的“Listen on Port”下拉框中选择建立服务端时设置的端口号,在“Password”文本框中输入建立服务端时设置的密码,或直接导入软件产生的“KEY”文件,然后单击“Start”按钮就可以开始新的监听服务。

  当然,要想poison ivy的客户端能够监听到来自与此匹配服务端的连接信息,首长必需确保服务端已经在被监控和管理的系统上运行了。而完成这些工作,可以由我们直接安装,或者通过木马常用的手段进行安装,安装方式可以由你自由选择。至于poison ivy其它更多的功能,还是留给你自己慢慢去发现吧!

  通过我们的简单配置,一个

上一篇:如何破解无线路由器和WEP密码
下一篇:教您WEB服务被攻击后痕迹的检测
相关文章
图文推荐

关于我们 | 联系我们 | 广告服务 | 投资合作 | 版权申明 | 在线帮助 | 网站地图 | 作品发布 | Vip技术培训 | 举报中心

版权所有: 全峰安全联盟--致力于做实用的IT技术学习网站