图1网络神偷设置向导
揭密反弹木马
木马这种黑客技术,一出现就引起了人们的关注。除了从不同的角度防范木马行为的发生,防火墙技术上的发展也有效地遏止了木马的泛滥。但是有些用户还是发现,即使将自己的防火墙设置为禁止外来主动连接,防范了理论上的木马,也无法排除信息泄露的可能。网络利用率常常居高不下,不正常的连接还是会频繁出现。
这是为什么呢?原因就在于我们要介绍的木马新技术——反弹式木马。
反弹式木马是什么
我们都知道,所谓的“特洛伊木马”,就是一种基于“客户机/服务器”模式的远程控制程序,它让用户的计算机运行服务器端的程序,这个服务器端的程序会在用户的计算机上打开监听的端口。这就给黑客入侵用户计算机打开了一扇进出的门,然后黑客就可以利用木马的客户端入侵用户的计算机系统。
随着防火墙技术的提高和发展,基于IP包过滤规则来拦截木马程序可以很有效地防止外部连接,因此黑客在无法取得连接的情况下,也无所作为。
但是“道高一尺,魔高一丈”这个安全领域里的“规律”无时不在起作用。聪明的木马程序员又发明了所谓的“反弹式木马”——它利用防火墙对内部发起的连接请求无条件信任的特点,假冒是系统的合法网络请求来取得对外的端口,再通过某些方式连接到木马的客户端,从而窃取用户计算机的资料,同时遥控计算机本身。
反弹式木马的原理
常见的普通木马,是驻留在用户计算机里的一段服务程序,而攻击者控制的则是相应的客户端程序。服务程序通过特定的端口,打开用户计算机的连接资源。一旦攻击者所掌握的客户端程序发出请求,木马便和他连接起来,将用户的信息窃取出去。
可见,此类木马的最大弱点,在于攻击者必须和用户主机建立连接,木马才能起作用。所以在对外部连接审查严格的防火墙下,这样的木马很难得逞。而反弹式木马的工作原理上就与常见的木马不一样,它是由内部向外部发起连接的。由于反弹式木马使用的是系统信任的端口,系统会认为木马是普通应用程序,而不对其连接进行检查。防火墙在处理内部发出的连接时,也就信任了反弹木马。
反弹端口型木马——网络神偷
网络神偷是一个专业级远程文件访问工具,利用它可实现对本地及远程驱动器进行包括文件删除、复制、移动、修改在内的各种操作,而且可以任意修改驱动器属性、修改文件属性。并且由于它利用了“反弹端口原理”与“HTTP隧道技术”,它的服务端(被控制端)会主动连接客户端(控制端)。
在互联网上可以访问到局域网里通过NAT代理(透明代理)上网的电脑;可以穿过防火墙(包括过滤型及代理型防火墙),并支持所有上网方式,只要能浏览网页的电脑,都能访问。
反弹端口原理简介
如果对方装有防火墙,客户端发往服务端的连接首先会被服务端主机上的防火墙拦截,使服务端程序不能收到连接,软件不能正常工作。
同样局域网内通过代理上网的电脑,因为是多台共用代理服务端的IP地址,而本机没有独立的互联网IP地址(只有局域网的IP地址),所以也不能正常使用,就是说传统型的同类软件不能访问装有防火墙和在局域网内部的服务端主机。
与一般的软件相反,反弹端口型软件的服务端(被控制端)主动连接客户端(控制端),为了隐蔽起见,客户端的监听端口一般开在80(提供HTTP服务的端口),这样,即使用户使用端口扫描软件检查自己的端口,发现的也是类似TCPUserIP:1026ControllerIP:80EST ABLISHED的情况,稍微疏忽一点就会以为是自己在浏览网页(防火墙也会这么认为的)。
提示:HTTP隧道技术:把所有要传送的数据全部封装到HTTP协议里进行传送,因此在互联网上可以访问到局域网里通过HTTP、SOCKS 4/5代理上网的电脑,而且不会有什么防火墙拦截。
木马服务端的配置
首先使用者必须申请一个支持FTP方式登录的主页空间。现在网上有很多提供免费个人主页空间的网站,大多也都支持FTP方式登录维护,申请一个即可。
提示:在搜狐、新浪等搜索引擎中,查询“免费主页”、“主页空间”等关键字就可以找到很多。
下载并解压缩“网络神偷”文件后,运行程序只有一个Nethief.exe文件,该文件是网络神偷的客户端,而服务端需要由客户端产生。网络神偷的服务端只有生成它的客户端才能访问,所以即使你不小心运行了服务端也是很安全的。运行Nethief.exe程序启动网络神偷设置向导,如图1所示。
图1网络神偷设置向导
根据向导的提示输入相关信息,一路单击“下一步”按钮,即可完成设置,大部分设置内容都可以从主页空间提供商的网站查到,如果该项设置提供了默认值,可直接采用默认值。执行“网络→生成服务端”命令,如图2所示,弹出“生成服务端程序”对话框,如图3所示。
图2“生成服务端”命令
图3生成服务端程序
在此可以自定义服务端的一些设置,服务端默认的文件名为Nethief_Server.exe,可以在生成时或生成后任意改名。设置完成后,单击“生成”按钮,系统弹出“询问是否确认无误”对话框,单击“是”后即可生成服务端。
服务端设置完成后,就可以将这个新配置好的程序即Nethief_server.exe参照前面介绍的方法植入对方主机,并诱骗对方运行,黑客就可以实施自己远程文件访问计划。对方只要运行了服务端,就能在客户端里的“服务端在线列表”看到。
提示:由于服务端程序在运行后不会显示任何界面,因此,看上去好像没有什么反应,其实它已经将自己复制到系统里面了,并且会在对方每次开机时自动运行。这里还需要提醒大家的是,如果对方的系统中原来就有服务端,那么,新的服务端程序会自动判断与旧服务端程序是否相同(包括设置内容),如果相同则不作反应,如若不同,则会先清除掉旧的服务端程序,然后再把自己复制到系统中去。
客户端的远程控制
当服务端出现在“服务端在线列表”时,先选中服务端,单击右键,选中“添加主机”命令,即可把它添加到文件管理器中,接着切换到“文件管理器”界面,如图4所示。
图4“文件管理器”界面
双击此服务端节点(或单击左边的“+”号)就会开始等待服务端的连接,如果一切正常,即可连接成功。
提示:进度条走完,还没有收到服务端的连接,可能是对方已经下线,或是由于其它各种未知原因不能连接。
接下来再来看一下文件工具栏,如图5所示。从左至右分别是:新建文件、新建文件夹、向上一级、刷新、查找、剪切、复制、粘贴、高级运行、删除、查看、属性。
图5工具栏
这样便可以轻松对在远程安装了木马服务端程序的计算机进行自由操作了。
提示:客户端如果在没有互联网IP地址的电脑上使用(例如局域网内的电脑),就只能访问本局域网内的服务端,而不能访问互联网上的服务端(注:一些ADSL宽带用户是没有互联网IP地址的,如同局域网内的电脑。一般虚拟拨号的ADSL用户是有互联网IP地址的,而通过路由器上ADSL,开机就上网的那种是没有互联网IP地址的。)而且在使用客户端时请务必关闭本机上所有的防火墙软件,否则数据会被防火墙拦截,软件不能正常工作。
利用网络神偷,即可进行远程局域网访问了,在以前可是想都不敢想的事情。而且作为木马,它升级速度极快,一般的防火墙都可能拦截不了它。但是利用它只能访问肉机的文件,不能窃取肉机的密码,截取屏幕等。可能需要配合其它软件来实现想要的功能,上传其它软件远程运行即可。