網(wǎng)絡(luò)安全實驗教程（第2版）課件 電子 第6、7章 惡意代碼、內(nèi)部網(wǎng)絡(luò)滲透

第六章惡意代碼建議學(xué)時：4內(nèi)部網(wǎng)絡(luò)滲透目錄content手工脫殼實驗2木馬程序的配置與使用實驗1基于沙箱的惡意代碼檢測實驗3手工查殺惡意代碼實驗431木馬程序的配置與使用實驗實驗原理Metasploit包括漏洞掃描、漏洞利用、木馬生成、木馬操作等多個模塊，通過不同的參數(shù)設(shè)置可實現(xiàn)較為完整的滲透測試過程。Metasploit由msfvenom前端和msfconsole后端構(gòu)成，前端用于生成木馬或shellcode，后端用于掃描、漏洞利用和木馬的操控。實驗?zāi)康牧私釳etasploit如何配置和生成木馬、植入木馬，了解木馬程序遠(yuǎn)程控制功能。結(jié)合Nmap掃描和Metasploit漏洞利用功能，了解網(wǎng)絡(luò)攻擊從利用漏洞獲取權(quán)限到木馬植入控守的完整過程。41.1實驗設(shè)計實驗方法實驗工具使用Metasploit：（1）掃描目標(biāo)主機(jī)，利用ms17_010漏洞獲取目標(biāo)主機(jī)的權(quán)限（2）配置生成可執(zhí)行木馬trbackdoor.exe

（3）利用獲取的目標(biāo)權(quán)限植入木馬，并對主機(jī)進(jìn)行遠(yuǎn)程控制Metasploit：免費的滲透測試框架。Kali集成Nmap：使用最廣泛的掃描工具之一。Kali集成51.1實驗設(shè)計實驗環(huán)境實驗環(huán)境為兩臺虛擬機(jī)組建的局域網(wǎng)絡(luò)，其中虛擬機(jī)網(wǎng)絡(luò)選擇NAT模式虛擬機(jī)1模擬目標(biāo)主機(jī)，其操作系統(tǒng)為Windows7，需關(guān)閉防火墻虛擬機(jī)2模擬攻擊主機(jī)，其操作系統(tǒng)為KaliLinux61.2實驗步驟環(huán)境準(zhǔn)備，啟動虛擬機(jī)1和2通過msfvenom工具配置一款用于x64的Windows主機(jī)的可執(zhí)行木馬trbackdoor.exe利用Nmap對目標(biāo)靶機(jī)4進(jìn)行掃描，查看端口及漏洞情況使用Metasploit的輔助模塊對漏洞情況進(jìn)行驗證選擇相應(yīng)的漏洞利用模塊進(jìn)行攻擊，獲取遠(yuǎn)程主機(jī)的權(quán)限利用upload命令將之前配置好的木馬trbackdoor.exe上傳到遠(yuǎn)程主機(jī)并啟動從漏洞利用得到的shell中退出，選擇exploit/multi/handler監(jiān)聽模塊并進(jìn)行設(shè)置，與木馬一致進(jìn)行攻擊，獲取遠(yuǎn)程主機(jī)的權(quán)限010203040506070872手工脫殼實驗實驗原理惡意代碼分析技術(shù)可分為靜態(tài)分析和動態(tài)分析兩類。惡意代碼的靜態(tài)分析是指不執(zhí)行惡意代碼程序，通過結(jié)構(gòu)分析、控制流分析、數(shù)據(jù)流分析等技術(shù)對程序代碼進(jìn)行掃描，確定程序功能，提取特征碼的惡意代碼分析方法；靜態(tài)分析技術(shù)最大的挑戰(zhàn)在于代碼采用了加殼、混淆等技術(shù)阻止反匯編器正確反匯編代碼，因此對加殼的惡意代碼正確脫殼是靜態(tài)分析的前提。對于一些通用的軟件殼，通用脫殼軟件就可以方便地將其還原為加殼前的可執(zhí)行代碼，但是對于自編殼或者是專用殼，就需要進(jìn)行人工調(diào)試和分析。實驗?zāi)康睦谜{(diào)試工具、PE文件編輯工具等完成一個加殼程序的手工脫殼，掌握手工脫殼的基本步驟和主要方法。82.1實驗設(shè)計實驗方法實驗環(huán)境對于給定的加過UPX殼的病毒樣本程序email-worm.win32.mydoom.exe，首先利用查殼工具PEiD確定軟件殼類型，然后通過動態(tài)調(diào)試工具OllyICE和PE文件編輯工具LordPE等完成樣本的手工脫殼實驗在單機(jī)環(huán)境下完成，使用Windows10系統(tǒng)靶機(jī)92.1實驗設(shè)計實驗工具PEiD：著名的查殼工具，可以檢測幾乎所有軟件殼類型。除了檢測加殼類型外，它還自帶Windows平臺下的自動脫殼器插件，可以實現(xiàn)部分加殼程序的自動脫殼。OllyICE：OllyDBG的漢化版本，它將靜態(tài)分析工具IDA與動態(tài)調(diào)試工具SoftICE結(jié)合起來，工作在Ring3級。此外它還支持插件擴(kuò)展功能。LoadPE：一款PE文件編輯工具，主要功能包括：查看、編輯可執(zhí)行文件，從內(nèi)存中導(dǎo)出程序內(nèi)存映像，程序優(yōu)化和分析等。ImportREConstructor：ImpREC，一款重建導(dǎo)入表的工具。對由于程序加殼而形成的雜亂的導(dǎo)入地址表IAT，可以重建導(dǎo)入表的描述符、IAT和所有的ASCII函數(shù)名。用它配合手動脫殼工具，可以實現(xiàn)UPX、CDilla1、PECompact、PKLite32、Shrinker、ASPack、ASProtect等的脫殼。UPX：一款壓縮殼，其主要功能是壓縮PE文件（如exe、dll等文件），也常被惡意代碼用于逃避檢測102.2實驗步驟利用PEiD確定email-worm.win32.mydoom.exe加殼類型使用OllyICE尋找程序的OEP（原始入口點），此時運行的程序已經(jīng)處于脫完殼的狀態(tài)使用LoadPE工具將運行的程序從內(nèi)存轉(zhuǎn)存到磁盤使用ImpREC工具重建導(dǎo)入表修改OEP信息，查找IAT信息獲得IAT信息，修訂PE文件完成脫殼工作0102030405112.3問題討論1、在6.4節(jié)，針對UPX殼介紹了一種利用常見指令定位OEP位置的方法，還有沒有可適用于其他類型殼的定位OEP位置的通用方法？123基于沙箱的惡意代碼檢測實驗實驗原理惡意代碼的動態(tài)分析則是將代碼運行在沙箱、虛擬機(jī)等受控的仿真環(huán)境中，通過監(jiān)控運行環(huán)境的變化、代碼執(zhí)行的系統(tǒng)調(diào)用等來判定惡意代碼及其實現(xiàn)原理。實驗?zāi)康耐ㄟ^安裝、配置和使用沙箱，熟練掌握沙箱的基本使用方法；結(jié)合沙箱分析器工具BSA（BusterSandboxAnalysis）掌握利用沙箱分析惡意代碼行為的基本原理和主要方法。133.1實驗設(shè)計Sandboxie：Sandboxie會在系統(tǒng)中虛擬出一個與系統(tǒng)完全隔離的空間，稱為沙箱環(huán)境。在這個沙箱環(huán)境內(nèi)，運行的一切程序都不會對實際操作系統(tǒng)產(chǎn)生影響。BSA：一款監(jiān)控沙箱內(nèi)進(jìn)程行為的工具。它通過分析程序行為對系統(tǒng)環(huán)境造成的影響，確定程序是否為惡意軟件。通過對Sandboxie和BSA的配置，可以監(jiān)控程序?qū)ξ募到y(tǒng)、注冊表、端口甚至API函數(shù)等的操作實驗方法實驗工具實驗在單機(jī)環(huán)境下完成，使用Windows10系統(tǒng)靶機(jī)實驗環(huán)境安裝配置沙箱Sandboxie和沙箱分析器工具BSA，對給出的惡意代碼wdshx.exe（Trojan.SalityStub）進(jìn)行分析，并生成對該惡意代碼行為的分析報告。143.2實驗步驟安裝與配置Sandboxie和BSA監(jiān)控木馬程序“wdshx.exe”在沙箱內(nèi)運行的行為啟動BSA進(jìn)行監(jiān)控在沙箱內(nèi)加載木馬程序wdshx.exe通過BSA記錄的結(jié)果，觀察木馬程序的具體行為010203153.3問題討論1、在利用沙箱動態(tài)分析惡意代碼的過程中，除了可觀察惡意代碼對文件系統(tǒng)、注冊表等操作外，還能監(jiān)控惡意代碼執(zhí)行的API函數(shù)，利用這些函數(shù)能夠做什么？164手工查殺惡意代碼實驗實驗原理對于普通的計算機(jī)用戶，在主機(jī)上安裝主機(jī)防火墻和具有實時更新功能的殺毒軟件是防范惡意代碼的基本配置。但是采用了免殺技術(shù)的惡意代碼有時依然能夠穿透防線，順利地植入主機(jī)并加載運行。有一定經(jīng)驗的用戶通過主機(jī)系統(tǒng)的異?？砂l(fā)現(xiàn)可疑的進(jìn)程，再借助第三方分析工具，如文件系統(tǒng)監(jiān)控、注冊表監(jiān)控和進(jìn)程監(jiān)控等，分析惡意代碼進(jìn)程，終止其運行并使系統(tǒng)恢復(fù)正常。實驗?zāi)康慕柚M(jìn)程檢測和注冊表檢測等系統(tǒng)工具，終止木馬程序運行，消除木馬程序造成的影響，掌握手工查殺惡意代碼的基本原理和主要方法。174.1實驗設(shè)計ProcessMonitor：精確監(jiān)控某一指定進(jìn)程對文件系統(tǒng)和注冊表的操作。ProcessExplorer：可以強制關(guān)閉任何進(jìn)程（包括系統(tǒng)級別的進(jìn)程）。Autoruns：它能夠從系統(tǒng)的菜單、計劃任務(wù)、服務(wù)、注冊表等多個位置找出開機(jī)自啟動的程序或模塊，為用戶查找惡意代碼的自啟動方式提供幫助。實驗方法實驗工具實驗在單機(jī)環(huán)境下完成，使用Windows10系統(tǒng)靶機(jī)實驗環(huán)境對于給定的木馬程序arp.exe，利用進(jìn)程和注冊表檢測工具ProcessMonitor、ProcessExplore、Autoruns實現(xiàn)對木馬程序進(jìn)程的定位、終止和清除184.2實驗步驟將干凈的虛擬機(jī)進(jìn)行快照保存創(chuàng)建被感染的系統(tǒng)環(huán)境，運行惡意代碼樣本任務(wù)管理器定位木馬進(jìn)程將虛擬機(jī)還原為之前干凈的快照。打開ProcMon，配置過濾規(guī)則為監(jiān)控進(jìn)程arp.exe和ati2avxx.exe，運行惡意代碼樣本查看木馬進(jìn)程之間的派生關(guān)系查看目標(biāo)進(jìn)程對文件系統(tǒng)和注冊表的操作記錄終止進(jìn)程及所有子進(jìn)程，還原系統(tǒng)01020304060507194.3問題討論1、在手工查殺惡意代碼過程中，如何斷定惡意代碼被完全終止了，如何確定惡意代碼被清除干凈了？2、除了隱藏和免殺外，木馬也會采取遞歸自啟的方式頻繁衍生新進(jìn)程來對抗用戶終止其運行，遇到這種情況，有什么方法可以終止木馬進(jìn)程呢？3、當(dāng)前殺毒軟件的功能越來越強大，如果惡意代碼試圖達(dá)到免殺的效果，那么它需要采用哪些方法避免被殺毒軟件發(fā)現(xiàn)？附錄工具資源Metasploit、Nmap：Kali默認(rèn)安裝PEiD：

https:///pcsoft/yingyong/23616.html

OllyICE：

http:///soft/138775.html

LoadPE：http:///soft/226477.html

ImportREC：https:///pcsoft/yingyong/3634.html

UPX：/

Sandboxie：/soft/49367.htm

BSA：https://bsa.isoftware.nl/

ProcessMonitor：http:///soft/10734.htm

ProcessExplorer：https:///soft/19289.htm

Autoruns：https:///soft/21022.htm

惡意代碼清單：trbackdoor.exe、wdshx.exe、arp.exe第七章內(nèi)部網(wǎng)絡(luò)滲透建議學(xué)時：8內(nèi)部網(wǎng)絡(luò)滲透目錄content基于SOCKS的內(nèi)網(wǎng)正向隱蔽通道實驗2本機(jī)信息收集實驗1基于SOCKS的內(nèi)網(wǎng)反向隱蔽通道實驗3231本機(jī)信息收集實驗實驗原理全面的內(nèi)網(wǎng)信息收集是進(jìn)行內(nèi)部網(wǎng)絡(luò)環(huán)境判斷的基礎(chǔ)，可以分為本機(jī)信息收集、內(nèi)網(wǎng)存活主機(jī)探測和端口掃描等。如果內(nèi)部網(wǎng)絡(luò)為域網(wǎng)絡(luò)，還需要進(jìn)行域相關(guān)信息收集。實驗?zāi)康牧私獗緳C(jī)信息收集實驗的方法，掌握內(nèi)網(wǎng)主機(jī)信息收集的相關(guān)命令行工具，并能夠依據(jù)返回結(jié)果判斷內(nèi)部網(wǎng)絡(luò)環(huán)境。241.1實驗設(shè)計WMIC：Windows管理規(guī)范命令行工具。netsh：Windows系統(tǒng)提供的功能強大的網(wǎng)絡(luò)配置命令行工具，可以實現(xiàn)對防火墻等網(wǎng)絡(luò)功能進(jìn)行配置實驗方法實驗工具單臺虛擬機(jī)模擬被控內(nèi)網(wǎng)主機(jī)，其操作系統(tǒng)為Windows10，64位。實驗環(huán)境使用系統(tǒng)自帶的命令行工具實現(xiàn)對內(nèi)網(wǎng)主機(jī)的操作系統(tǒng)、權(quán)限、內(nèi)網(wǎng)IP地址段、殺毒軟件、端口、服務(wù)、補丁更新頻率、網(wǎng)絡(luò)連接、共享、會話等信息的收集，并依據(jù)結(jié)果進(jìn)行絡(luò)環(huán)境判斷。251.2實驗步驟環(huán)境準(zhǔn)備，啟動Windows10虛擬機(jī)查詢本機(jī)操作系統(tǒng)及軟件信息查詢本機(jī)服務(wù)和進(jìn)程信息查看啟動項和計劃任務(wù)信息查詢用戶及權(quán)限信息查詢端口、會話和共享信息查看網(wǎng)絡(luò)信息查看防火墻配置0102030405060708261.3問題討論1、在本機(jī)信息收集實驗中，還可以通過查看系統(tǒng)和應(yīng)用軟件日志發(fā)現(xiàn)內(nèi)部網(wǎng)絡(luò)IP地址段、網(wǎng)絡(luò)連接等信息，請通過實驗完成。272基于SOCKS的內(nèi)網(wǎng)正向隱蔽通道實驗實驗原理常用的內(nèi)網(wǎng)隱蔽通信隧道技術(shù)可以分為網(wǎng)絡(luò)層隧道技術(shù)、傳輸層隧道技術(shù)和應(yīng)用層隧道技術(shù)。應(yīng)用層隧道技術(shù)利用的應(yīng)用協(xié)議難以被邊界設(shè)備禁用，成為主流渠道。SOCKS代理服務(wù)能夠支持以多種協(xié)議（包括HTTP、FTP等）與目標(biāo)內(nèi)網(wǎng)主機(jī)進(jìn)行通信。SOCKS代理一般有正向代理和反向代理兩種模式，正向代理是主動通過代理服務(wù)來訪問目標(biāo)內(nèi)網(wǎng)主機(jī)，適用于外網(wǎng)主機(jī)能夠訪問受控的內(nèi)網(wǎng)主機(jī)/服務(wù)器的情況。實驗?zāi)康牧私饣赟OCKS的內(nèi)網(wǎng)隱蔽通信原理，掌握基于SOCKS的內(nèi)網(wǎng)正向隱蔽通道的搭建過程。282.1實驗設(shè)計實驗方法實驗工具通過Earthworm和Proxychains工具實現(xiàn)不同情景下的內(nèi)網(wǎng)正向隱蔽通道搭建，驗證和掌握內(nèi)網(wǎng)隱蔽通信原理EarthWorm：一套便攜式的網(wǎng)絡(luò)穿透工具。具有SOCKS5服務(wù)架設(shè)和端口轉(zhuǎn)發(fā)兩大核心功能，能夠以“正向”、“反向”、“多級級聯(lián)”等方式打通一條網(wǎng)絡(luò)隧道，在復(fù)雜網(wǎng)絡(luò)環(huán)境下完成網(wǎng)絡(luò)穿透。Proxychains：一款在Linux下實現(xiàn)全局代理的軟件，支持HTTP、SOCKS4、SOCKS5類型的代理服務(wù)器。在Kali2021.2中默認(rèn)安裝4.14版本Putty：一款免費開源的遠(yuǎn)程登錄客戶端軟件，本實驗中使用的是最新的0.76版本292.1實驗設(shè)計實驗環(huán)境宿主機(jī)模擬DMZ區(qū)服務(wù)器，其操作系統(tǒng)為Windows10，64位虛擬機(jī)1模擬外網(wǎng)攻擊主機(jī)，其操作系統(tǒng)為Kali2021.2，64位虛擬機(jī)2模擬內(nèi)網(wǎng)主機(jī)，其操作系統(tǒng)為Windows10，64位虛擬機(jī)3模擬內(nèi)網(wǎng)服務(wù)器，其操作系統(tǒng)為Ubuntu21.04，64位302.2實驗步驟環(huán)境準(zhǔn)備，按照實驗網(wǎng)絡(luò)拓?fù)渑渲盟拗鳈C(jī)與虛擬機(jī)1、2、3，并判斷網(wǎng)絡(luò)連通性內(nèi)網(wǎng)一級正向隧道搭建宿主機(jī)上使用ew的ssocksd方式構(gòu)建正向SOCKS代理，虛擬機(jī)1上進(jìn)行proxychains配置，添加宿主機(jī)為代理服務(wù)器在虛擬機(jī)1上通過proxychains使用nmap對虛擬機(jī)2進(jìn)行掃描在3389端口開放的條件下，通過proxychains使用rdesktop連接虛擬機(jī)2的遠(yuǎn)程桌面虛擬機(jī)1對內(nèi)部網(wǎng)絡(luò)虛擬機(jī)3嘗試進(jìn)行SSH連接，被虛擬機(jī)3拒絕0102312.2實驗步驟內(nèi)網(wǎng)二級正向隧道搭建在虛擬機(jī)2上啟動putty，能夠?qū)μ摂M機(jī)3進(jìn)行SSH訪問在虛擬機(jī)2上使用ew的ssocksd方式構(gòu)建正向SOCKS代理，宿主機(jī)上采用lcx_tran方式監(jiān)聽本地端口接收代理請求，轉(zhuǎn)交給代理提供主機(jī)虛擬機(jī)2虛擬機(jī)1上進(jìn)行proxychains配置，添加宿主機(jī)為代理服務(wù)器在虛擬機(jī)1通過proxychains使用SSH連接虛擬機(jī)3，輸入虛擬機(jī)3的用戶口令后正常登錄。接下來，可以將虛擬機(jī)2作為跳板，對內(nèi)網(wǎng)進(jìn)行下一步滲透03322.3問題討論1、基于SOCKS的內(nèi)網(wǎng)隱蔽通道實驗中，若宿主機(jī)沒有外網(wǎng)地址（即DMZ區(qū)服務(wù)器沒有公網(wǎng)IP地址，該情況實際中也較常見），則需運用EarthWorm工具的rcsocks和rssocks模式搭建反彈SOCKS代理服務(wù)器實現(xiàn)內(nèi)網(wǎng)隱蔽通信，請通過實驗完成。333基于SOCKS的內(nèi)網(wǎng)反向隱蔽通道實驗實驗原理SOCKS代理一般有正向代理和反向代理兩種模式，正向代理是主動通過代理服務(wù)來訪問目標(biāo)內(nèi)網(wǎng)主機(jī)，適用于外網(wǎng)主機(jī)能夠訪問受控的內(nèi)網(wǎng)主機(jī)/服務(wù)器的情況；反向代理是指目標(biāo)內(nèi)網(wǎng)主機(jī)通過代理服務(wù)主動進(jìn)行連接，適用于防火墻只允許受控的內(nèi)網(wǎng)主機(jī)/服務(wù)器數(shù)據(jù)進(jìn)出的情況。實驗?zāi)康牧私饣赟OCKS的內(nèi)網(wǎng)隱蔽通信原理，掌握基于SOCKS的內(nèi)網(wǎng)反向隱蔽通道搭建的實現(xiàn)過程。343.1實驗設(shè)計Frp：一款高性能的反向代理工具EarthWorm、Proxychains、Putty實驗方法實驗工具同7.4基于SOCKS的內(nèi)網(wǎng)正向隱蔽通道實驗實驗環(huán)境通過Frp、Earthworm和Proxychains工具實現(xiàn)不同情景下的內(nèi)網(wǎng)反向隱蔽通道搭建，驗證和掌握內(nèi)網(wǎng)隱蔽通信原理353.2實驗步驟環(huán)境準(zhǔn)備同7.4基于SOCKS的內(nèi)網(wǎng)正向隱蔽通道實驗內(nèi)網(wǎng)一級反向隧道搭建在虛擬機(jī)1上使用frp