防范MSHTA漏洞为黑客大开远程控制之门(2)

  配置木马服务端

  攻击者想要成功利用该漏洞进行远程控制的话,首先就得配置一个木马的服务端程序。通过木马程序,就可在图形化的状态下进行远程控制,这样操作起来更加简单方便。

  当我们成功激活被攻击计算机上的Windows MSHTA脚本执行漏洞后,该计算机就会自动下载我们设置的服务端程序,我们即可对它进行远程控制操作。

  今天,我们可以采用的木马是最新的国产木马“流萤”,在它的帮助下,我们可以非常方便地通过客户端中的各个按钮进行远程控制。

  运行流萤木马的客户端程序,在弹出的操作界面中点击工具栏上的“配置服务端”按钮。在弹出的“配置服务端”窗口中,就可开始配置我们的服务端程序(见图)。

防范MSHTA漏洞为黑客大开远程控制之门

  由于木马“流萤”采用了流行的反弹连接技术,所以要在“DNS域名”中设置用于服务端程序反弹连接的IP地址,也就是本地计算机当前的IP地址。当然,攻击者也可采用其他木马进行反弹连接的操作。

  在“连接端口”中设置用于服务端程序和客户端(即被攻击的计算机和进行攻击的计算机)进行数据传输的监听端口。“辨识密码”就是服务端程序在上线时的确认密码,如果辨识密码不正确,攻击者将不能对被攻击计算机进行控制。

  “流萤”在服务端的隐藏方式上采用了现在流行的线程插入的方法,选中“是否生成dll进程插入类型”选项后,用户可根据自己的需要,选择将生成的服务端程序进程插入到资源管理器程序explorer.exe的进程中或IE浏览器的IEXPLORE.EXE进程中实施服务端隐藏。这样不但可以轻松穿透大多数个人防火墙,而且在进程管理器中也无法查到该进程。

  现在,所有的设置已经完成,最后点击“生成”按钮就可生成我们需要的服务端程序。生成的服务端程序只有13KB,极其有利于被攻击的计算机进行下载。

内容版权声明:除非注明,否则皆为本站原创文章。

转载注明出处:https://www.heiqu.com/wzwjxf.html