責(zé)聲明：本文旨在傳遞更多市場信息，不構(gòu)成任何投資建議。文章僅代表作者觀點，不代表火星財經(jīng)官方立場。

小編：記得關(guān)注哦

來源：BuyBit

發(fā)布方：XBITRUST & Paiclub Capital

作者：蘇文杰

黑客盜取比特幣的活動屢見報道，這不光使得個人和機構(gòu)資產(chǎn)出現(xiàn)巨額損失，而且其中的交易所被盜事件還會對市場行情產(chǎn)生影響，引發(fā)價格波動。在這樣的形勢下，資產(chǎn)安全防護已成為個人和機構(gòu)考慮的首要問題。

因此，對于普通用戶而言，了解一些黑客基礎(chǔ)技術(shù)或許是有一定意義的。本文對網(wǎng)站滲透、木馬、宏病毒和DDoS攻擊進行了相關(guān)的淺顯的介紹，為了更形象地說明問題，編寫了較為簡單的程序并利用一些工具對自有網(wǎng)站和主機進行了攻擊實踐。

一、網(wǎng)站滲透[1]- [3]

（一）網(wǎng)站滲透——Web應(yīng)用威脅分析

Web應(yīng)用程序的體系構(gòu)架一般被分為上、中、下三個層次，其中上層是與業(yè) 務(wù)相關(guān)的應(yīng)用程序，中間層是通用組件及Web服務(wù)器相關(guān)的服務(wù)如數(shù)據(jù)庫服務(wù)， 底層為操作系統(tǒng)。若其中任何一層出現(xiàn)安全問題或存在安全隱患都會導(dǎo)致整個 Web應(yīng)用受到安全威脅。

由于現(xiàn)階段發(fā)現(xiàn)和公布安全漏洞的實時性，時不時會有不法分子利用公開的漏洞對各個層次的服務(wù)進行攻擊，如（1）對底層——利用操作系統(tǒng)漏洞對底層的操作系統(tǒng)進行遠程攻擊；（2）對中間層——利用運行在Web服務(wù)器上的腳本程序（asp、jsp、php等）的漏洞、Web服務(wù)器漏洞、數(shù)據(jù)庫服務(wù)器漏洞對中間層進行攻擊；（3）對上層——利用SQL注入漏洞、XSS漏洞等對網(wǎng)頁程序進行攻擊。

另一方面，即使Web應(yīng)用部署了防護設(shè)備并采取了一定的防護手段，安全威脅一樣可能隨時產(chǎn)生，究其原因是因為防火墻或IDS無法實時進行阻斷攻擊，且受配置參數(shù)影響檢測精度有限，僅起到亡羊補牢的作用，因此，Web應(yīng)用程序自身存在漏洞、程序關(guān)鍵參數(shù)配置不當(dāng)及缺少安全防護手段等安全隱患是導(dǎo)致Web應(yīng)用程序安全事件頻發(fā)的主要原因。

Web應(yīng)用受到威脅還有一部分原因可歸結(jié)為以下幾點：一是有的網(wǎng)站建設(shè)人 員在建站過程中使用了自身存在安全漏洞的建站模塊對網(wǎng)站進行架設(shè)；二是在自主開發(fā)Web應(yīng)用程序時，編程人員安全意識不高，未對用戶的輸入數(shù)據(jù)進行處理，導(dǎo)致數(shù)據(jù)過濾不嚴；三是缺少專業(yè)技術(shù)人員對Web應(yīng)用程序進行管理，導(dǎo)致Web應(yīng)用程序自身參數(shù)配置不當(dāng)；四是Web應(yīng)用管理人員技術(shù)水平不高或者未能履行自身職責(zé)，未能對應(yīng)用程序進行定期安全加固及安全檢查；五是沒有一個高效的Web應(yīng)用安全防范策略給管理員進行參考。

現(xiàn)在很多的企業(yè)給自己的網(wǎng)絡(luò)應(yīng)用了入侵檢測系統(tǒng)、網(wǎng)絡(luò)防火墻、VPN、網(wǎng)絡(luò)防病毒系統(tǒng)等，但往往不能實現(xiàn)有效的安全。雖然我們應(yīng)用了諸多的安全設(shè)備，但是Web服務(wù)還是要對外開放的，也就是說80、443端口需要開放——80及443是HTTP及HTTPS服務(wù)的端口。由于防火墻一般不會對經(jīng)過80端口的數(shù)據(jù)包進行攔截，所以從研究攻擊路徑的角度出發(fā)，黑客會選擇從HTTP等協(xié)議端口進行入侵，掃描Web應(yīng)用程序和服務(wù)器等漏洞，發(fā)動網(wǎng)絡(luò)攻擊。

（二）主要的幾種網(wǎng)站漏洞

根據(jù)世界知名的Web安全與數(shù)據(jù)庫安全研究組織OWASP提供的報告，目前對 Web業(yè)務(wù)系統(tǒng)，威脅最嚴重的兩種攻擊方式是SQL注入攻擊（SQL Injection）和跨站腳本攻擊（XSS）。

攻擊者在SQL注入成功后，可能會擁有整個系統(tǒng)的最高權(quán)限，可以修改頁面和數(shù)據(jù)，在網(wǎng)頁中添加惡意代碼，還可以通過查看數(shù)據(jù)庫來獲得所有關(guān)鍵數(shù)據(jù)信息，危害極大。跨站腳本攻擊是向Web系統(tǒng)提交惡意腳本，當(dāng)訪問者瀏覽受到攻擊的網(wǎng)頁時，會導(dǎo)致惡意腳本被執(zhí)行，從而泄露用戶密碼等敏感信息。如果訪問者是管理員，則Web系統(tǒng)的管理員權(quán)限將有可能泄露，使得攻擊者可以提升權(quán)限，甚至控制整個網(wǎng)站，其威脅程度更大，威脅波及面更廣，同時攻擊過程也更加復(fù)雜多變。

下面我們先對以上兩種漏洞進行介紹，然后再介紹上傳漏洞和旁注漏洞：

1、SQL注入漏洞

這種漏洞對網(wǎng)站最具威脅性，一旦攻擊成功將能得到網(wǎng)站后臺數(shù)據(jù)庫中的所有數(shù)據(jù)，在這些數(shù)據(jù)中很有可能包括網(wǎng)站管理員的用戶名以及密碼，據(jù)此進而可能進一步控制整個網(wǎng)站服務(wù)器。

該漏洞的成因主要是由于網(wǎng)頁編程人員在編寫動態(tài)腳本頁面的時候沒有對用戶輸入的數(shù)據(jù)進行合法性的判斷以及必要的過濾，把用戶輸入的數(shù)據(jù)原原本本的提交到后臺數(shù)據(jù)庫，并且后臺數(shù)據(jù)庫在查詢時僅僅是使用預(yù)存的SQL查詢語句與用戶提交的語句進行拼接。那么當(dāng)該頁面需要進行數(shù)據(jù)庫查詢時，攻擊者可以在提交給數(shù)據(jù)庫的命令中添加自己的數(shù)據(jù)庫查詢語句，而這時由于頁面沒有對于用戶的輸入進行判斷過濾，使得這些數(shù)據(jù)將會被提交到數(shù)據(jù)庫中執(zhí)行，并返回相應(yīng)的數(shù)據(jù)給代碼提交者。這樣攻擊者便能通過一次次的數(shù)據(jù)庫查詢得到整個數(shù)據(jù)庫中的所有數(shù)據(jù)。通過這種方法不僅能得到攻擊者想要得知的數(shù)據(jù)庫數(shù)據(jù)，還能達到繞過登錄驗證、執(zhí)行系統(tǒng)命令和上傳監(jiān)控軟件的目的。

SQL注入攻擊時提交的輸入信息所形成的交互信息與一次正常的頁面訪問是相同的，不同之處是提交的頁面參數(shù)是攻擊者精心準備并能達到某種目的的數(shù)據(jù)庫查詢或者其他一些數(shù)據(jù)庫命令，所以常見的網(wǎng)絡(luò)防火墻以及防病毒軟件等都不會對SQL注入發(fā)出警報。如果網(wǎng)站管理員沒有定期地查看網(wǎng)站日志信息或者有意識地檢索近期上傳文件列表的話，可能網(wǎng)站被入侵很久都不會有所察覺。

另外，SQL注入的方法是相當(dāng)靈活的。在實際進行SQL注入評估時會碰到很多不同的情況（有些網(wǎng)站可能對用戶的輸入數(shù)據(jù)進行了過濾，但又過濾得不完整，或者可以使用Cookie注入，使用Cookie信息進行查詢字符的拼接），因此在實際檢測時需要根據(jù)當(dāng)時的具體情況進行分析，構(gòu)造合適的SQL語句，從而達到成功獲取數(shù)據(jù)的效果（對于有輸入過濾的頁面，需要根據(jù)不同的情況變換輸入數(shù)據(jù)）。

2、跨站腳本漏洞

跨站腳本漏洞是指惡意用戶在網(wǎng)站上的某些可以留言或者其他一些網(wǎng)頁上添加精心構(gòu)造過的HTML腳本代碼，并且網(wǎng)站服務(wù)器會解析執(zhí)行這些腳本代碼。那么在其他用戶訪問該頁面的時候，嵌入的腳本代碼就會被解析執(zhí)行，從而實現(xiàn)這些經(jīng)過精心構(gòu)造的腳本的功能。

跨站腳本漏洞的攻擊是屬于被動式的攻擊，無論嵌入的腳本是在網(wǎng)站的網(wǎng)頁中還是在郵件中，都需要用戶進行了訪問或者點擊才能達到預(yù)定的效果，這與上文提到的SQL注入攻擊的主動方式有較大的區(qū)別。

3、上傳漏洞

可以上傳文件并且該文件上傳之后可以到指定網(wǎng)站虛擬目錄中進行訪問的網(wǎng)站或者論壇上可能會存在上傳漏洞。利用上傳漏洞可以向網(wǎng)站上傳Web shell（Web shell為能達到隱蔽控制效果的網(wǎng)頁后門程序，通常有執(zhí)行cmd命令、查看磁盤文件信息、控制系統(tǒng)等功能）。一旦有Web shell上傳到網(wǎng)站上，那么該網(wǎng)站將可能會被長時間地侵入，使網(wǎng)站上的信息以及用戶的數(shù)據(jù)變得不再安全，并且也可能會威脅到同在一個虛擬主機上的其他網(wǎng)站服務(wù)器。

上傳漏洞形成的原理為：在文件上傳時可以更改添加文件類型或者通過/0截斷字符串的方式把原本上傳的文件類型改為Web shell的文件類型。通過以上的類似方法來繞過類型驗證程序達到上傳指定文件的目的。

針對于該漏洞的滲透就是在確定能上傳的基礎(chǔ)上，上傳能進一步收集信息和檢測的Web shell網(wǎng)頁后門。若上傳文件大小受限，則還需先上傳小型的一句話Web shell或者其他小型Web shell。

4、旁注漏洞

當(dāng)網(wǎng)站本身不存在漏洞時，若網(wǎng)站服務(wù)器運行的虛擬主機上其他的網(wǎng)站存在漏洞，那么也有可能導(dǎo)致該不存在漏洞的網(wǎng)站遭到攻擊，這就是旁注漏洞攻擊。

旁注漏洞原理是，通過查詢同一IP地址上（也就是同一虛擬主機）的其他域名，查看服務(wù)器上是否存在可以被利用的漏洞。通過入侵有漏洞的網(wǎng)站，進一步入侵虛擬主機，最后使沒有漏洞的網(wǎng)站遭到入侵。

評估網(wǎng)站旁注漏洞的主要原理是，使用whois技術(shù)查看同一虛擬主機上是否存在多個網(wǎng)站服務(wù)器，如果存在則可能存在旁注漏洞。

（三）Web滲透測試

滲透測試并沒有一個標準的定義。國外一些安全組織達成共識的通用說法是，滲透測試是通過模擬惡意黑客的攻擊方法，來評估計算機網(wǎng)絡(luò)系統(tǒng)安全性的一種評估方法。

利用滲透測試技術(shù)進行系統(tǒng)安全評估與常用的評估手段有所不同。相比較而言，通常的安全評估方法對被測試系統(tǒng)的評估更具有全面性結(jié)果，而滲透測試則更注重安全漏洞的危害性及嚴重性。在進行滲透測試時，滲透測試人員會站在惡意攻擊者的角度，模擬惡意攻擊者的思維及利用漏洞發(fā)現(xiàn)技術(shù)和攻擊手法，發(fā)現(xiàn)被測試系統(tǒng)中潛在安全隱患及脆弱環(huán)節(jié)，從而對被測試系統(tǒng)做的一次深入性的安全檢測工作。在進行測試過程中，測試人員會采用包括目錄猜解、口令猜測、密碼破解、端口掃描、漏洞掃描等技術(shù)手段，通過不同途徑來對被測試網(wǎng)絡(luò)的各個環(huán)節(jié)進行安全性檢測。

（四）Web滲透測試的基本步驟

1、信息收集

對目標網(wǎng)絡(luò)進行偵查之前，首先要收集匯總各種與目標系統(tǒng)有關(guān)的信息，形成對目標網(wǎng)絡(luò)必要的輪廓認識，并為實施攻擊做好準備。

信息的收集可以通過這幾種方式進行：DNS域名服務(wù)，F(xiàn)inger服務(wù)，Whois 服務(wù)，Nslookup，Ping與Path Ping，Tracert等信息查詢。

2、掃描

通過信息收集掌握了目標網(wǎng)絡(luò)的外部特征信息之后，可以對目標網(wǎng)絡(luò)進行有針對性的掃描，掃描的最終結(jié)果決定了能否對目標網(wǎng)絡(luò)進行攻擊，任何掃描得到的漏洞信息，都可能成為突破網(wǎng)絡(luò)的切入點。

當(dāng)然掃描得到的結(jié)果不一定就是可以直接利用的系統(tǒng)漏洞。從利用方式來說，可以將信息分為兩類：一類是安全敏感信息，這包括第一階段收集到的信息，以及掃描階段得到的關(guān)于端口開放以及操作系統(tǒng)類型信息，這些信息雖然不能直接用于對目標網(wǎng)絡(luò)的滲透與攻擊，但有助于全面了解目標網(wǎng)絡(luò)的信息；另一類就是安全漏洞信息，這類安全漏洞可能是系統(tǒng)配置上的疏忽造成的（例如沒有及時打補丁），也可能是操作系統(tǒng)或應(yīng)用程序自身的缺陷，結(jié)果是都可能導(dǎo)致利用漏洞突破并控制目標網(wǎng)絡(luò)。

探測類掃描的常用手段有：端口掃描、操作系統(tǒng)探測、應(yīng)用服務(wù)探測、路由器探測、防火墻探測等。

漏洞發(fā)掘類掃描主要有：Web、CGI安全漏洞掃描，Windows、Unix、Linux操作系統(tǒng)漏洞掃描，SNMP漏洞掃描、SQL Server等數(shù)據(jù)庫服務(wù)漏洞掃描，路由器、防火墻漏洞掃描。

掃描過程實際上已經(jīng)與目標主機或網(wǎng)絡(luò)發(fā)生物理鏈接，可以看作是程度較輕的攻擊行為。掃描結(jié)果決定了攻擊者的下一步行動。

3、攻擊

通過信息收集和掃描階段得到相關(guān)線索以后，經(jīng)過分析和籌劃，下一步就可以采取各種手段以實現(xiàn)直接的攻擊目的。

從黑客攻擊的目的來看，可以分為兩種，一種是給目標以致命打擊，使目標系統(tǒng)受損，甚至癱瘓；另一種攻擊則更加常見，其目的在于獲取直接的利益，比如下載到目標系統(tǒng)的機密信息，或者是得到目標系統(tǒng)的最高控制權(quán)，在此過程中，攻擊者無意對目標系統(tǒng)的正常能力進行破壞，他可能更希望非常隱蔽地實現(xiàn)自己的目的。

4、植入后門

在一次成功的攻擊之后，為了以后的再次進入和控制目標主機，一般要放置一些后門程序。由于網(wǎng)絡(luò)主機系統(tǒng)經(jīng)常升級，一些原來被利用突破系統(tǒng)的漏洞在系統(tǒng)升級以后就可能被修補，而后門程序就可以不依賴于原來用于突破的漏洞，保持長期穩(wěn)定的控制能力。后門可能是一個隱藏的管理員賬號、一個具有超級權(quán)限的服務(wù)進程，有時甚至是一個故意置入的系統(tǒng)漏洞。好的后門程序在保證最高的系統(tǒng)權(quán)限的同時，必須不易被目標用戶察覺。許多木馬程序、遠程控制程序都可以作為后門程序植入，最新的一些后門采取可卸載內(nèi)核模塊（LKM）的辦法，動態(tài)地修改系統(tǒng)內(nèi)核，一般情況下無法檢測出來。功能強大的后門程序，可以利用被控主機運行掃描、嗅探等技術(shù)突破整個網(wǎng)絡(luò)。

5、消除痕跡

作為一次完整的Web攻擊，黑客在取得需要的戰(zhàn)果以后，就要打掃戰(zhàn)場了，也就是消除痕跡。在信息收集、掃描、攻擊階段，即使采取了許多防護措施，也會留下直接或間接的攻擊痕跡。攻擊痕跡可能會在目標主機的管理員進行例行檢查時暴露出來，進一步的安全檢查則可能導(dǎo)致攻擊行為的完全暴露，甚至發(fā)現(xiàn)植入的后門程序；攻擊痕跡也可能使富有經(jīng)驗的安全調(diào)試員反向跟蹤到真正的攻擊源頭，同時，攻擊痕跡是攻擊技術(shù)和手段的直接反映。

消除痕跡是一項細心的工作，系統(tǒng)的審計日志、Web的訪問記錄、防火墻的監(jiān)控日志、攻擊留下的殘余線索都必須認真清理。對于一些必須留下的后門程序，需要采取進程掩藏、文件隱藏、核心文件替換、程序加密等多種手段避免被發(fā)現(xiàn)。

最后，作為Web 滲透測試人員在進行上述測試內(nèi)容的基礎(chǔ)上，還要為被評測單位出具風(fēng)險評估報告，從而形成一次完整的滲透測試服務(wù)。

需要注意的是，真實的網(wǎng)站中有許多可能存在漏洞而被黑客攻陷，從而導(dǎo)致網(wǎng)站被掛馬和植入病毒等惡意操作，這使得我們在進行Web滲透測試時可能會中病毒，故可以考慮安裝虛擬機，在虛擬機環(huán)境中進行安全測試，從而減少本地計算機受危害的幾率。

（五）網(wǎng)站滲透實踐

1、密碼破解攻擊實踐

假如我們知道某自有測試網(wǎng)站中某用戶的ID，可以嘗試進行密碼破解攻擊。安裝Python的sqlmap模塊，將其中的wordlist.tx_文件解壓后得到wordlist.txt文件，該文件中包含超過120萬個密碼。編寫程序，以便從該文件中逐個讀取密碼，反復(fù)嘗試登錄，直到獲得正確的密碼：

2、Web shell攻擊實踐

在獲知用戶ID和密碼的情況下有多種方式可以獲得完整或不完整的Cookie（包括手動登錄網(wǎng)站，找到完整Cookie進行復(fù)制），而采用Python的Selenium模塊一般可以獲得完整的Cookie，以便程序登錄我們的某自有網(wǎng)站。Selenium模塊是一個用于Web應(yīng)用程序測試的工具，它直接運行在瀏覽器中，就像真的用戶在操作一樣。在獲得了完整的Cookie后，使用程序來進行各種操作就很便捷了。

編寫一個簡單的竊取Web服務(wù)器的多種環(huán)境信息的文件webshell.html，嘗試使用程序或手動將其上傳至某自有測試網(wǎng)站，這可借助該網(wǎng)站登錄后可上傳如頭像之類的功能來實現(xiàn)。對于頭像，由于按網(wǎng)站限制往往只能上傳圖像格式，因此先把待傳文件的擴展名進行修改，例如改為webshell.jpg。

使用Fiddler可在一定程度上繞開網(wǎng)站對圖像上傳格式的限制。Fiddler是一個免費的Web調(diào)試代理工具，它記錄計算機和因特網(wǎng)之間的所有HTTP(S)流量，可以檢查通訊，設(shè)置斷點和處理請求/響應(yīng)。我們使用Fiddler設(shè)置斷點，選擇在請求之前截斷請求，然后在網(wǎng)站中選擇“偽裝的頭像”webshell.jpg上傳。在攔截的Request信息中，F(xiàn)iddler提供了方便的查看方式，其中包括Cookies、Raw、WebForms等。我們可將webshell.jpg改回webshell.html，然后繼續(xù)響應(yīng)請求。這樣便成功上傳了webshell.html文件。

圖2展示了Fiddler在本次操作的部分界面。本次操作繞過了客戶端驗證。而在網(wǎng)站加強安全防范，例如添加了包括服務(wù)器端驗證等安全措施之后，對于此類攻擊行為和疑似的攻擊請求將被自動攔截。

二、木馬[4]- [7]

木馬全稱為特洛伊木馬程序，它與病毒的區(qū)別在于木馬不把自己的代碼拷貝到宿主文件或引導(dǎo)區(qū)中，而是將自己偽裝成其它程序，病毒的特點卻是把自身變成其它程序的一部分，因此它們的傳播方式是不同的。

病毒主要特殊性是能自我復(fù)制，具有傳染性和破壞性；木馬的特殊性是木馬攻擊者能夠?qū)δ抉R實施控制，具有可控性。病毒的傳染是沒有可控性的傳染，即使是病毒編制者也可能無法對其進行控制，它以自我復(fù)制的方式進行繁殖和感染文件；而木馬并不刻意地去感染其他文件，其主要作用是向控制端打開目標系統(tǒng)的門戶，使控制端能遠程操控目標系統(tǒng)。

木馬在植入目標系統(tǒng)后能夠接受控制端的指令、完成控制端交給的任務(wù)。隨著技術(shù)的發(fā)展融合，木馬制造者借助病毒的傳染技術(shù)，進行木馬植入，使木馬的危害更加嚴重。

（一）木馬的隱蔽方式

1、集成到程序中

在被用戶發(fā)現(xiàn)后，木馬為了達到難以被刪除的目的，常常把自身集成到程序里，即木馬被激活后，木馬文件被捆綁到某一個應(yīng)用程序中。在這種情況下，即便它被刪除了，但只要運行了那個應(yīng)用程序，它又會被安裝上去。

2、隱藏在配置文件中

計算機中一般使用的是圖形化界面，這使得我們?nèi)菀缀雎阅切┎惶匾呐渲梦募Ｄ抉R會利用這些配置文件的一些特殊作用使得自身可以在計算機中運行，不過這種隱藏方式不是很高明，被發(fā)現(xiàn)的概率較大。

3、潛伏在Win.ini中

這樣便可安全地在系統(tǒng)啟動時自動運行。

4、偽裝在普通文件中

這種木馬目前比較流行，用戶若對Windows不熟悉會很容易被欺騙。例如將可執(zhí)行文件裝扮成合法的圖片或者文本文件。

5、內(nèi)置到注冊表中

把木馬內(nèi)置到復(fù)雜的注冊表中是更加不易被發(fā)現(xiàn)的辦法。

6、在System.ini中藏身

把木馬隱藏在Windows安裝目錄下的System.ini文件，這也是一種比較隱蔽的地方。

7、隱形于啟動組中

這使得木馬在啟動組中能自動加載運行。

8、捆綁在啟動文件中

這里的啟動文件指的是應(yīng)用程序的啟動配置文件，控制端利用這些文件能夠啟動的特點，將帶有木馬啟動命令的同名文件對其進行覆蓋，這樣啟動木馬的目的就實現(xiàn)了。

9、設(shè)置在超級鏈接中

用戶點擊網(wǎng)頁上的惡意鏈接就有可能感染木馬。

目前出現(xiàn)了驅(qū)動程序及動態(tài)鏈接庫技術(shù)，這使得木馬變得更加隱蔽。這種技術(shù)擺脫了原有的木馬監(jiān)聽端口模式，改為了去改寫驅(qū)動程序或動態(tài)鏈接庫。這樣造成的結(jié)果是沒有新的文件出現(xiàn)在系統(tǒng)中（故不能用掃描的方法查殺）、不用去打開新的端口（所以不能用端口監(jiān)視的方法查殺）、也沒有出現(xiàn)新的進程（因此不能夠用進程查看去檢測它，同樣也不能夠用殺進程的方法停止其運行），而且這類木馬在平時運行時沒有任何的癥狀，木馬程序在木馬的控制端向被控制端發(fā)出特定信息后才開始運行。

（二）木馬的通信原理

木馬被安裝在服務(wù)端后，當(dāng)控制端、服務(wù)端都在線的時候，控制端就能夠用木馬端口與服務(wù)端建立連接了。

木馬通信的方法很多，最常見是用TCP或者UDP協(xié)議，這種方法的隱蔽性比較差，容易被監(jiān)測到，例如用netstat命令就可以查看到當(dāng)前活動的TCP、UDP連接。

除此之外也可以采用其他方法，其中一種就是把木馬的通信連接與通用端口進行綁定，這樣的話木馬就可以用這些端口來傳送信息。例如，木馬把服務(wù)端的信息轉(zhuǎn)化成普通的電子郵件形式發(fā)送到指定的地方，或者利用FTP協(xié)議把在服務(wù)端得到的信息傳送到指定的FTP主機上（后者容易被發(fā)現(xiàn)）。還有一種相對來說比較安全的辦法是利用HTTP協(xié)議來傳送信息，此時防火墻一般難以判斷這些信息是屬于正常的通信信息還是木馬要傳送的信息。

以上所有的辦法都有一個共同的缺陷，即木馬必須要打開一個和外部聯(lián)系的端口才能夠發(fā)送數(shù)據(jù)。對此，有一種改進辦法是用ICMP協(xié)議來進行數(shù)據(jù)通信——ICMP報文由系統(tǒng)內(nèi)核或進程來直接處理，無需通過端口。

現(xiàn)將木馬的通信原理具體介紹如下：

1、TCP/IP木馬通信原理

假設(shè)A機為控制端，B機為服務(wù)端，A機如果知道了B機的服務(wù)端端口與IP地址就可以與之建立連接。由于服務(wù)端端口是事先設(shè)定的，為已知項，所以最重要的是獲得B機的IP地址。獲得該IP地址的方法主要有兩種：信息反饋和IP掃描。

所謂信息反饋是指木馬成功安裝后會收集一些服務(wù)端的軟硬件信息，并通過E-MAIL，IRC或ICQ的方式告知控制端用戶，從而獲得服務(wù)端的IP等信息。

對于IP掃描技術(shù)，由于B機在被木馬程序侵入后，其某端口（例如7626端口）顯示為開放的，故A機只要掃描IP地址段中7626端口開放的主機即可。例如B機的地址是202.102.45.53，當(dāng)A機掃描到這個IP時發(fā)現(xiàn)它的7626端口是開放的，則此IP會被添加到列表中，此時A機就能夠通過木馬的控制端程序向B機發(fā)出連接信號，B機里的木馬程序收到信號后立即做出響應(yīng)，當(dāng)A機收到響應(yīng)的信號后，開啟一個隨機端口（例如1031端口）與B機的木馬端口7626建立連接，這使得一個木馬連接被成功建立起來了。而假如用戶每次上網(wǎng)的IP地址不同——它的變動是在一定的范圍以內(nèi)的，例如B機的IP是202.102.45.53，則B機上網(wǎng)IP的變動范圍是在202.102.000.000~202.102.255.255，因此控制端只需按照這個方法進行搜索。

值得一提的要掃描整個地址段顯然費時費力，一般來說控制端都是先通過信息反饋獲得服務(wù)端的地址。

2、ICMP木馬通信原理

ICMP木馬技術(shù)便是為了擺脫端口的束縛而出現(xiàn)的。ICMP報文由系統(tǒng)內(nèi)核或進程直接處理而不通過端口，如果木馬將自己偽裝成一個Ping進程，系統(tǒng)就會將ICMP-ECHOREPLY（Ping的回應(yīng)包）的監(jiān)聽、處理權(quán)交給木馬進程，一旦事先約定好的ICMP-ECHOREPLY包出現(xiàn)（這樣的包經(jīng)過修改ICMP包頭，加入了木馬的控制字段），木馬就會接受、分析并從報文中解析出命令和數(shù)據(jù)。防火墻一般不會對ICMP-ECHOREPLY報文進行過濾，因為過濾ICMP-ECHOREPLY報文就意味著主機無法對外進行Ping等路由診斷操作。

3、反向連接技術(shù)

從本質(zhì)上來說，反向連接和正向連接的區(qū)別并不大。

在正向連接的情況下，服務(wù)器端也就是被控制端，在編程實現(xiàn)的時候是采用服務(wù)器端的編程方法，而控制端在編程實現(xiàn)的時候是采用客戶端的編程方法。

當(dāng)采用反向連接技術(shù)編程時，實際上就是將服務(wù)器端變成了采用客戶端的編程方法，而將控制端變成了采用服務(wù)器端的編程方法。防火墻一般會對于連入的鏈接進行嚴格的過濾，而對于連出的鏈接疏于防范，于是，與一般的木馬相反，反彈端口型木馬采用反向連接技術(shù)的編程方法將服務(wù)器端（被控制端）使用主動端口，客戶端（控制端）使用被動端口。被植入反彈木馬服務(wù)器端的計算機定時監(jiān)測控制端的存在，發(fā)現(xiàn)控制端上線立即彈出端口主動連接控制端打開的端口。這種連接模式還能突破內(nèi)網(wǎng)與外部建立連接。

4、端口復(fù)用技術(shù)

在winsock的實現(xiàn)中，對于服務(wù)器的綁定是可以多重綁定的，在確定多重綁定使用誰的時候，根據(jù)的原則是誰的指定最明確則將包遞交給誰，而且沒有權(quán)限之分，就是說低級權(quán)限的用戶是可以重綁定在高級權(quán)限如服務(wù)啟動的端口上的。

（1）一個木馬綁定到一個己經(jīng)合法存在的端口上進行端口隱藏，它通過自己特定的包格式判斷是不是自己的包，如果是，就自己處理，如果不是，則通過127.0.0.1的地址交給真正的服務(wù)器應(yīng)用進行處理。

（2）一個木馬可以在低權(quán)限用戶上綁定高權(quán)限的服務(wù)應(yīng)用的端口，進行該處理信息的嗅探，本來在一個主機上監(jiān)聽一個socket的通信需要具備非常高的權(quán)限要求，但其實利用socket重綁定，可監(jiān)聽這種具備socket編程漏洞的通信，而無須采用掛接，鉤子或低層的驅(qū)動技術(shù)（這些都需要具備管理員權(quán)限才能達到）。

目前新的木馬理論層出不窮，基于木馬的原理分析也在不斷加深，新木馬和變種每天都有出現(xiàn)。例如，現(xiàn)在木馬技術(shù)和病毒的發(fā)展相互借鑒，也使得木馬具有了更好的傳播性，病毒具有了遠程控制能力，這使得木馬程序和病毒的區(qū)別日益模糊，我們在研究木馬理論和實踐上還任重道遠。

（三）木馬攻擊實踐

Bitcoin Core錢包的關(guān)鍵文件是wallet.dat，若該文件被盜且知道其對應(yīng)的錢包密碼，就能盜取里面的比特幣。為了形象地展示完成這一目標的流程，我們編寫了一個簡單的木馬程序來進行說明。

對某臺安裝了Bitcoin Core錢包的自有服務(wù)器進行攻擊，在其中植入木馬。需要注意的是，假如控制端和服務(wù)端涉及到了內(nèi)網(wǎng)，則編程中還需要做內(nèi)網(wǎng)穿透的相關(guān)處理。運行控制端程序，按照預(yù)設(shè)提示依次執(zhí)行相關(guān)步驟如下圖所示：

這里的口令是為了防止其他黑客連接上我們的木馬而設(shè)置的簡單屏障，我們接著往下執(zhí)行程序：

以上程序還可進一步做成圖形化界面。由上圖可知，我們獲取了wallet.dat文件在目標中的路徑并將其拷貝到了自己的主機中。隨后可利用木馬鍵盤記錄和截圖的功能來獲取錢包密碼，這樣就成功完成了一次盜取比特幣的木馬攻擊。

三、宏病毒

（一）宏病毒簡介[8]-[9]

宏是若干個單獨命令的組合，能夠完成某項特定的任務(wù)。這是軟件設(shè)計者為了避免一再地重復(fù)相同的動作而設(shè)計出來的一種工具，它使用宏語言——VBA語言把常用的動作寫成宏，利用宏自動運行來完成任務(wù)。微軟在Office系列軟件中開發(fā)了對宏的支持，在方便用戶的同時，也給攻擊者帶來了較大的便利，使Office系列文檔變成了宏病毒攻擊的最大目標。

宏病毒通常會寄存在辦公文檔或模板之中，一旦帶有宏病毒的文檔被打開， 就會觸發(fā)宏病毒，將自身復(fù)制到計算機上，并停留在文檔模板上。至此，該電腦上自動保存的文檔會被感染，當(dāng)用戶在其他電腦上打開了這些被感染的文檔后， 宏病毒又會將自身轉(zhuǎn)移到他的計算機上。

以Word宏病毒為例，Word宏病毒一般都首先隱藏在一個指定的Word文檔中，一旦打開了這個Word文檔，宏病毒就被執(zhí)行，它要做的第一件事就是將自己拷貝到全局宏的區(qū)域，使得所有打開的文檔都可以使用這個宏；當(dāng)Word退出的時候，全局宏將被儲存在某個全局的模板文檔（.dot文件）中，這個文件的名字通常是“Normal.dot”，即Normal模板；如果全局宏模板被感染，則Word再啟動時將自動載入宏病毒并自動執(zhí)行。

在一般情況下，我們可通過將Office文檔中宏的安全性設(shè)置調(diào)高以便不運行宏來避免感染風(fēng)險，但部分行業(yè)必須使用宏，這使得宏的感染風(fēng)險依然存在。此外，黑客還可能會提示用戶“某文檔由較高版本的Office所創(chuàng)建，為了顯示內(nèi)容，必須啟用宏”或“某文檔受到保護，為了顯示圖片須啟用宏”等來欺騙用戶開啟宏，從而達到感染用戶電腦的目的。

宏病毒的特征包括傳播迅速、制作變種方便、破壞力大和多平臺交叉感染。以破壞力大為例，宏病毒能夠獲得很多系統(tǒng)級底層調(diào)用的權(quán)限，如調(diào)用Windows API、DLL及DOS系統(tǒng)命令等。這些底層接口均可能對系統(tǒng)造成巨大威脅，而Office應(yīng)用程序在指令安全性和完整性上的檢測能力較弱，使得破壞系統(tǒng)的指令很容易就能夠得到執(zhí)行，從而對系統(tǒng)本身直接產(chǎn)生危害。

（二）宏病毒攻擊實踐

我們使用滲透測試框架Metasploit Framework來制作宏病毒，實現(xiàn)木馬功能，在內(nèi)網(wǎng)中進行滲透測試。與自主編寫代碼相比，在此工具下宏病毒的制作變得十分便捷。

在監(jiān)聽端，以制作電子表格Excel的宏病毒為例，在Metasploit Framework中，我們只需一句代碼即可自動生成所有必要的VBA代碼：

如上圖所示，這些VBA代碼在生成的new.vba文件之中。將這些代碼復(fù)制到電子表格的Visual Basic編輯器中，并將宏名稱取為“Auto_Open”，以便啟動電子表格時自動運行。這樣，此電子表格的宏只要被運行就將感染目標電腦。另外，還可以在此宏中添加一些其他代碼以實現(xiàn)特定的任務(wù)，例如創(chuàng)建一個計劃任務(wù)，每隔固定時間執(zhí)行一次（非必要），并添加一個提示框。隨后，我們將該電子表格進行傳播。

在目標電腦端的測試中，若用戶點擊了此電子表格，該提示框便提示木馬已成功運行或暗示用戶已被感染（實際運用中不加此項）：

此時，在監(jiān)聽端的Metasploit Framework下執(zhí)行msfconsole后，發(fā)現(xiàn)已連接上目標電腦：

隨后，我們便可繼續(xù)在監(jiān)聽端錄入簡單的指令，在監(jiān)聽端實現(xiàn)將其對目標電腦的權(quán)限提升至系統(tǒng)權(quán)限、列出目標電腦的系統(tǒng)進程、截獲音頻、截屏、攝像頭拍照和拍視頻、記錄鍵盤擊鍵過程、開啟遠程桌面等功能。

四、針對Web服務(wù)器的DDoS攻擊

DDoS攻擊似乎與直接盜取比特幣的關(guān)系不大，但其在數(shù)字貨幣領(lǐng)域會偶爾出現(xiàn)，故值得進行簡要的闡述。2020年3月13日，BitMEX交易所就分別在北京時間10:16和20:56遭受了兩次DDoS攻擊。

（一）針對Web服務(wù)器的DDoS攻擊簡介[10]- [11]

DDoS攻擊是指攻擊者采用分布式攻擊平臺對一個或多個制定目標進行拒絕服務(wù)攻擊，致使受到攻擊的Web服務(wù)器或者網(wǎng)絡(luò)無可用資源提供服務(wù)。

黑客們?yōu)榱私⒔┦W(wǎng)絡(luò)通常使用網(wǎng)絡(luò)木馬和網(wǎng)絡(luò)蠕蟲兩種方法，網(wǎng)絡(luò)木馬通過惡意捆綁或程序漏洞等進行擴散，網(wǎng)絡(luò)蠕蟲通過系統(tǒng)漏洞、欺詐等方式傳播。當(dāng)計算機感染僵尸程序后，便在主控端和被感染計算機之間建立一個可一對多控制的網(wǎng)絡(luò)——僵尸網(wǎng)絡(luò)，僵尸網(wǎng)絡(luò)的擁有者便可遠程控制網(wǎng)絡(luò)內(nèi)的所有主機對目標服務(wù)器或目標主機發(fā)動應(yīng)用層DDoS攻擊。

為了達到既定的攻擊傷害，僵尸網(wǎng)絡(luò)建成之后，攻擊者需對攻擊目標進行探測，確定目標開放的服務(wù)和站點，即決定使用何種攻擊流量。對于Web服務(wù)器的DDoS攻擊往往需要探測更多信息數(shù)據(jù)，例如，需要探測Web服務(wù)器上哪些網(wǎng)頁包含大內(nèi)存的圖片、哪些網(wǎng)頁包含數(shù)據(jù)庫動態(tài)查詢功能。這些網(wǎng)頁被攻擊者所利用，會對Web服務(wù)器造成巨大威脅，通過不斷地請求這些網(wǎng)頁中資源消耗較大的節(jié)點，無形中增加了Web服務(wù)器資源消耗的速度，提高了攻擊效率。DDoS 攻擊開始時，僵尸主機將按照攻擊者規(guī)劃的攻擊程序運行，向受害目標發(fā)送大量具有攻擊行為的請求，因攻擊行為皆為模仿正常用戶訪問行為所設(shè)計的，這造成目標服務(wù)器難以區(qū)分合法請求與非法請求，最終達到受害目標無可用服務(wù)資源提供服務(wù)的目的。

按照BitMEX交易所的博客所述，其在今年3月13日受到了兩次相同的DDoS攻擊，僵尸網(wǎng)絡(luò)通過一個精心設(shè)計的聊天室功能查詢使得該平臺不堪重負。

據(jù)稱，聊天室有七種語言，每種語言的簡單頻道ID為1到7，首先是英語，最后兩個是西班牙語和法語。BitMEX相應(yīng)的接口允許按頻道ID來查詢最后的100行。考慮到表的大小（大約5000萬行），執(zhí)行反向順序掃描，然后進行篩選實際上會更快。查詢優(yōu)化程序?qū)λ姓Z言執(zhí)行反向順序掃描，直到最終找到要返回的100行。就西班牙語而言，很久沒人聊天了，以至于掃描了849748行才能找到足夠符合條件的行數(shù)。這種昂貴的順序掃描快速地分配和釋放大量內(nèi)存，溢出到磁盤上，并通過系統(tǒng)調(diào)用迅速使得系統(tǒng)不堪重負。在攻擊發(fā)生時，數(shù)據(jù)庫只花了0.6%的時間處理請求，其余99.4%的時間用于IO等待，這便導(dǎo)致所有查詢都非常慢。

雖然與用戶相關(guān)的數(shù)據(jù)（電子郵件、活動、聊天室、登錄事件等）與交易數(shù)據(jù)（倉位、交易、保證金等）是分開的，但是聊天室與用戶有關(guān)，訪問令牌和API密鑰也是如此。這意味著這種資源消耗引發(fā)了位于交易引擎前面的身份驗證和訪問控制層的嚴重問題。交易引擎運行正常，市場數(shù)據(jù)、存款和提現(xiàn)也沒有中斷，但在這段時間內(nèi)，請求幾乎不可能到達引擎，導(dǎo)致服務(wù)質(zhì)量嚴重下降。

這對于已經(jīng)登錄網(wǎng)站的用戶，會發(fā)現(xiàn)攻擊前原本因行情大幅波動而波濤洶涌的盤口，瞬間成為了平靜的湖面，偶爾有小魚跳動引發(fā)的漣漪，而當(dāng)用戶退出后就再也無法登錄成功。

沒有一個系統(tǒng)能夠抵御DDoS的干擾，而有許多技術(shù)可以用來減少或消除影響。BitMEX稱其已經(jīng)解決了潛在的問題，并一直在晝夜不停地引入額外的檢測和響應(yīng)層，他們也將進行其他努力，以提高負載下的自動化擴展性和進一步隔離關(guān)鍵系統(tǒng)。BitMEX強調(diào)，作為上述持續(xù)監(jiān)察和緩解措施的一部分，其安全團隊正在審查系統(tǒng)中歷史最悠久且因此最脆弱的部分，以簡化、解耦、提高性能和隔離系統(tǒng)。同時，其團隊正在開發(fā)關(guān)于宕機、市場暫停、市場恢復(fù)和通信的面向公眾的協(xié)議，在將來其服務(wù)出現(xiàn)任何中斷的時候，為其用戶提供更大的透明度。

（二）DDoS攻擊實踐

由于我們用于攻擊的主機數(shù)量較少，嚴格地講，我們下面進行的攻擊實踐應(yīng)屬于DoS攻擊（拒絕服務(wù)攻擊），只有當(dāng)大量的主機參與攻擊時才能稱其為DDoS攻擊（分布式拒絕服務(wù)攻擊）。

通過編寫程序，我們使用一些主機不斷發(fā)送大量的數(shù)據(jù)包到某臺自有服務(wù)器，希望造成該服務(wù)器資源耗盡，以至于宕機崩潰。不過由于發(fā)動攻擊的主機數(shù)量較少，不易達成目標。此類攻擊的程序示例在網(wǎng)絡(luò)上比較多，這里就不再進行更詳細的闡述和展示了。

我們也可以使用相關(guān)工具來開展攻擊——下載pyloris模塊來進行DoS中的Slowloris攻擊。

在Slowloris攻擊中，即使只使用一臺PC也有可能使Web服務(wù)器陷入癱瘓。分析攻擊原因時，通常使用Web服務(wù)器的日志，由于頭文件分析結(jié)束時才記錄日志，所以Slowloris攻擊不會在日志文件中留下痕跡，這樣就很難對其進行探測。正常的HTTP頭以/r/n/r/n結(jié)束，Web服務(wù)器通過查找/r/n/r/n判斷HTTP頭結(jié)束，然后進行分析，處理服務(wù)請求。Slowloris攻擊使用的HTTP頭只以/r/n結(jié)尾，所以Web服務(wù)器認為HTTP頭尚未結(jié)束，就無法對HTTP頭進行分析，從而繼續(xù)保持連接。當(dāng)服務(wù)器連接數(shù)達到最大值時便無法繼續(xù)處理新的請求，繼而拒絕對外提供服務(wù)[12]。

從官網(wǎng)下載的pyloris模塊的版本號是3.2，適用于Python 2。我們將其源碼進行修改，使其能在Python 3中運行，然后在運行界面中填入要攻擊的某自有測試網(wǎng)站的地址和端口：

點擊“Launch”按鈕便可開始攻擊。如下圖所示，運行界面分為兩個區(qū)域，Status區(qū)域用于顯示當(dāng)前執(zhí)行的攻擊狀態(tài)，其中Attacks代表當(dāng)前使用的連接個數(shù)，Threads表示目前為止創(chuàng)建的線程數(shù)；Log區(qū)域顯示用于發(fā)送攻擊的程序日志：

五、結(jié)語

為了闡明盜取比特幣的一些黑客技術(shù)，上文對網(wǎng)站滲透、木馬、宏病毒和DDoS攻擊進行了相關(guān)的淺顯的介紹。盡管其中的DDoS攻擊與直接盜取比特幣的關(guān)系不大，但鑒于其重要程度以及對數(shù)字貨幣交易所的巨大影響，本文對其也做了簡要的介紹。同時，我們還編寫了較為簡單的程序并利用一些工具對自有網(wǎng)站和主機進行了攻擊實踐。這在一定程度上有助于普通用戶對黑客基礎(chǔ)技術(shù)的了解，促使人們積極地做好數(shù)字貨幣資產(chǎn)安全的防護工作。

由于篇幅所限，對于以上黑客技術(shù)和其他部分技術(shù)的綜合運用以及相關(guān)的安全防護措施，我們將在今后的文章中進行詳細的討論。

參考文獻

[1]吳松澤. 基于Web安全的滲透測試技術(shù)研究. 哈爾濱師范大學(xué)碩士學(xué)位論文, 2015. 9-11

[2] 蒲石. Web安全滲透測試研究. 西安電子科技大學(xué)碩士學(xué)位論文, 2010. 2-17

[3] 錢偉. 網(wǎng)站評估滲透系統(tǒng)的研究與實現(xiàn). 復(fù)旦大學(xué)碩士學(xué)位論文, 2011. 6-7

[4] 賀瑞強. 木馬的攻擊及新型的木馬檢測技術(shù)的研究. 西安建筑科技大學(xué)碩士學(xué)位論文, 2009. 3-18

[5] 謝宗仁. 木馬原理分析與實現(xiàn). 山東大學(xué)碩士學(xué)位論文, 2009. 16-19

[6] 朱騰績. 64位Windows木馬關(guān)鍵技術(shù)研究與實現(xiàn). 西安理工大學(xué)碩士學(xué)位論文, 2015. 2

[7]劉成光. 基于木馬的網(wǎng)絡(luò)攻擊技術(shù)研究. 西北工業(yè)大學(xué)碩士學(xué)位論文,2004. 14

[8] 王津梁. Office漏洞挖掘與分析技術(shù)研究. 重慶理工大學(xué)碩士學(xué)位論文, 2017. 8-9

[9] 宏病毒原理及實現(xiàn). 百度文庫. https://wenku.baidu.com/view/c4f763dfa200a6c30c22590102020740bf1ecd32.html?fr=search

[10] 任皓. 針對WEB服務(wù)器的DDoS攻擊與防御技術(shù)研究. 河北科技大學(xué)碩士學(xué)位論文, 2019. 9-10

[11] Arthur Hayes. 我們對于3月13日所遭受的DDoS攻擊的回應(yīng). BitMEX Blog.https://blog.bitmex.com/zh_cn-how-we-are-responding-to-last-weeks-ddos-attacks/

[12] 趙誠文, 鄭暎勛. Python黑客攻防入門. 武傳海譯. 北京: 人民郵電出版社, 2018. 182-183

本文鏈接：https://www.8btc.com/media/621090

轉(zhuǎn)載請注明文章出處

源：火絨安全實驗室

一、概述

4月1日凌晨，火絨安全團隊發(fā)出警報，部分“2345導(dǎo)航站”首頁的彈窗廣告攜帶盜號木馬，該病毒會偷取QQ、游戲平臺（steam、WeGame）、知名游戲（地下城與勇士、英雄聯(lián)盟、穿越火線）的賬號。這是一次設(shè)計精巧、組織周密的大規(guī)模盜號行動，利用周末時間突然發(fā)起攻擊，主要目標是網(wǎng)吧游戲用戶。

火絨工程師分析，部分“2345導(dǎo)航站”首頁右下角會彈出彈窗廣告（上圖紅色箭頭所指），該廣告頁面一經(jīng)彈出，即可自動下載病毒，無需用戶點擊。病毒下載鏈接自動激活后，首先訪問跳板網(wǎng)站“yyakeq.cn”（存放跳板腳本以及flash漏洞），然后再從“ce56b.cn”網(wǎng)站下載病毒，而盜取的QQ、游戲等賬號則被上傳到“zouxian1.cn”網(wǎng)站。

該病毒利用IE瀏覽器漏洞和Flash漏洞進行傳播，受影響Flash控件版本從21.0.0.180至31.0.0.160。所有使用360、搜狗等主流瀏覽器的用戶，如果其Flash控件是以上版本，都會被感染。

安裝最新版“火絨安全軟件”，即可徹底查殺該病毒。該病毒整個傳播鏈條及所涉相關(guān)企業(yè)、疑似團伙嫌疑人等信息，請閱讀后附的詳細分析報告。

二、樣本分析

近期，火絨發(fā)現(xiàn)2345、hao774等多個2345旗下導(dǎo)航站中廣告內(nèi)容帶有漏洞攻擊代碼。通過分析確認，我們初步認定2345旗下導(dǎo)航站被投毒。廣告內(nèi)容涉及瀏覽器漏洞和Flash漏洞，漏洞代碼執(zhí)行后會從C&C服務(wù)器（hxxps:// www.yyakeq.cn）下載執(zhí)行病毒代碼，現(xiàn)階段火絨發(fā)現(xiàn)的病毒代碼內(nèi)容多為盜號病毒。該漏洞攻擊只針對特定的推廣計費號，再聯(lián)系其廣告內(nèi)容“高價在線回收所有網(wǎng)游裝備/金幣”，我們推斷此次攻擊主要針對對象主要為網(wǎng)絡(luò)游戲人群，且針對性極強。2345導(dǎo)航站中相關(guān)廣告內(nèi)容和相關(guān)HTML代碼，如下圖所示：

2345導(dǎo)航站中相關(guān)廣告內(nèi)容和相關(guān)HTML代碼

從頁面代碼看，該廣告展示代碼的植入也非常“奇特”，因為廣告展示鏈接是硬編碼在頁面代碼中的。根據(jù)web.archive.org的抓取結(jié)果，該廣告展示代碼應(yīng)該于2019年3月25日至2019年3月28日期間首次上線，截至本報告撰寫時，該代碼仍然有效且漏洞和病毒邏輯仍可激活。惡意廣告內(nèi)容為被包含在iframe標簽中的廣告頁面。頁面嵌套關(guān)系，如下圖所示：

病毒頁面嵌套調(diào)用關(guān)系

tj.html中首先會默認加載ad.html利用Flash漏洞進行攻擊，之后再根據(jù)瀏覽器的User Agent加載不同的IE漏洞利用代碼（banner.html或cookie.html）。相關(guān)代碼，如下圖所示：

頁面加載代碼

ad.html中的HTML代碼中包含有混淆后的JavaScript代碼。相關(guān)代碼，如下圖所示：

ad.html中的HTML代碼

ad.html中代碼會被先后解密兩次，最終得到漏洞調(diào)用代碼，根據(jù)漏洞利用代碼的調(diào)用邏輯，我們可以粗略確認受影響的Flash版本范圍為21.0.0.180 至 31.0.0.160之間。相關(guān)代碼，如下圖所示：

最終執(zhí)行的漏洞攻擊相關(guān)調(diào)用代碼

漏洞被觸發(fā)后，會調(diào)用遠程HTA腳本會從C&C服務(wù)器地址（hxxp://www.ce56b.cn/logo.swf）下載病毒數(shù)據(jù)到本地進行解密執(zhí)行，被解密后的病毒數(shù)據(jù)為下載者病毒。相關(guān)進程調(diào)用關(guān)系，如下圖所示：

漏洞觸發(fā)后的進程調(diào)用關(guān)系

病毒解密相關(guān)代碼，如下圖所示：

病毒解密代碼

banner.html和cookie.html最終也會執(zhí)行類似的遠程HTA腳本最終通過相同的C&C服務(wù)器地址下載執(zhí)行相同惡意代碼。相關(guān)代碼，如下圖所示：

解密遠程HTA腳本地址

漏洞觸發(fā)代碼

漏洞被觸發(fā)后，最終被下載執(zhí)行的下載者病毒會根據(jù)C&C服務(wù)器返回的配置（hxxp://www.ce56b.cn/tj.txt），下載盜號木馬到本地進行執(zhí)行。存在被盜號風(fēng)險的軟件包括：Steam游戲平臺、WeGame游戲平臺、騰訊QQ、地下城與勇士、穿越火線、英雄聯(lián)盟。相關(guān)配置，如下圖所示：

下載者病毒配置

騰訊QQ、地下城與勇士、穿越火線游戲的盜號木馬均為Delphi編寫，通過偽造游戲登陸界面，欺騙誘導(dǎo)用戶輸入游戲賬號密碼，獲取到賬號密碼會發(fā)送到遠程C&C服務(wù)器（hxxp://we.zouxian1.cn）。相關(guān)代碼，如下圖所示：

提交賬號與密碼

英雄聯(lián)盟、WeGame游戲平臺同樣也是通過偽造游戲的登陸界面，獲取用戶的游戲賬號和密碼，并且賬號密碼也會發(fā)送到遠程C&C服務(wù)器（hxxp://we.zouxian1.cn）。相關(guān)代碼，如下圖所示：

提交賬號與密碼

在盜取Steam游戲平臺賬號密碼 時，首先該病毒會釋放libsteam.dll到steam目錄下,并調(diào)用該動態(tài)庫的導(dǎo)出函數(shù)InstallHook 用于安裝全局鉤子。相關(guān)代碼，如下圖所示：

調(diào)用導(dǎo)出函數(shù)

該動態(tài)庫會安裝全局鉤子，用于將自身注入到steam進程，當(dāng)注入到steam進程后SteamUI.dll中TextEntry控件相關(guān)的函數(shù),用于截取用戶的賬號密碼輸入。注入部分代碼，如下圖所示：

安裝全局鉤子

HOOK SteamUI.dll用于截獲用戶的賬號密碼。HOOK 相關(guān)代碼，如下圖所示：

HOOK SteamUI.dll

被盜取的賬號，同樣也會發(fā)送到遠程C&C服務(wù)器（hxxp://zouxian1.cn）。相關(guān)代碼，如下圖所示：

提交賬號與密碼

三、溯源分析

本次報告過程中獲取到的可溯源信息包括網(wǎng)馬信息和病毒相關(guān)信息，下文分塊進行溯源分析。

網(wǎng)馬溯源

通過對域名yyakeq.cn和ce56b.cn的溯源，發(fā)現(xiàn)上述域名分別由名為“武漢躍譜騰科技有限公司”和名為“邵東綠設(shè)空間工程設(shè)計有限公司”的公司注冊，且兩公司還注冊了至少幾千個名稱看似毫無含義、近乎隨機生成的域名，其中一些域名指向頁面包含明顯的欺詐內(nèi)容（如下圖所示），所以不排除這些域名是想在未來用作C&C服務(wù)的DGA（Dynamic Generation Algorithm）域名。

其中一個域名指向的頁面內(nèi)容

yyakeq.cn域名注冊信息

ce56b.cn域名注冊信息

部分疑似DGA域名

部分疑似DGA域名

盜號病毒溯源

通過對盜號病毒收集URL的Whois查詢，可以得到如下信息：

域名zouxian1.cn注冊信息

另外通過該域名注冊信息的聯(lián)系人和聯(lián)系郵箱反查，此人以同樣的命名方式于2018年4月20日共注冊了15個近似域名：

域名注冊反查結(jié)果

另外，通過ICP備案查詢發(fā)現(xiàn)，其中部分域名還經(jīng)過了ICP個人備案：

ICP備案查詢結(jié)果

并且同日（2018年4月20日），此人還用同樣的QQ郵箱（2659869342@qq.com）和不同的姓名注冊了另外兩個形式與前述域名相似的域名，如下圖所示：

域名注冊反查結(jié)果

四、附錄

文中涉及樣本SHA256：

來源：火絨安全實驗室