所谓信息反馈,是指木马安装成功后,会收集一些服务器软硬件信息,通过电子邮件、IRC或ICQ等方式通知控制终端用户,从而获取服务器的IP等信息。
对于IP扫描技术,由于B机的a端口(如7626端口)被木马入侵后显示为打开状态,a机只需扫描IP地址段中7626端口打开的主机。例如,机器B的地址是202.102.45.53。当机器a扫描IP并发现其端口7626已打开时,该IP将被添加到列表中。此时,a机可以通过木马的控制端程序向B机发送连接信号。机器B中的木马程序收到信号后会立即响应。当a机接收到响应信号时,会打开一个随机端口(如1031端口),与B机的木马端口7626建立连接,成功建立木马连接。但是,如果用户的IP地址每次在一定范围内发生变化时都是不同的。例如,如果B机IP地址为202.102.45.53,则B机IP地址的变化范围为202.102.000.000~202.102.255.255,控制终端只需按此方法搜索即可。
值得一提的是,扫描整个地址段既费时又费力。一般来说,控制端通过信息反馈获得服务器的地址。
2ICMP木马通信原理
ICMP木马技术是为了摆脱端口的束缚。ICMP消息由系统的内核或进程直接处理,而不需要通过端口。如果特洛伊木马伪装成ping进程,系统将赋予木马进程icmp echo(ping的响应包)的监视和处理权限。一旦事先约定了icmp echo包(这样的包已经修改了icmp报头并添加了木马的控制字段),特洛伊木马就会连接起来,接收、分析和解析来自消息的命令和数据。防火墙通常不过滤icmp回显数据包,因为过滤icmp回显数据包意味着主机无法执行诸如ping之类的路由诊断操作。
三。反向连接技术
从本质上讲,反向连接和正向连接没有太大区别。
在前向连接的情况下,服务器端即受控端在编程时采用服务器端编程方法,而控制端在编程时采用客户端编程方法。
当采用反向连接技术时,服务器端编程方法变为客户端编程方法,控制端编程方法变为服务器端编程方法。防火墙通常会严格过滤入站链路,但无法防范出站链路。因此,与一般木马不同,反弹端口木马采用反向连接技术的编程方法,即服务器端(受控端)使用主动端口,客户端(控制端)使用被动端口。嵌入反弹木马服务器端的电脑会定期监控控制端的存在,当控制端在线时会立即弹出端口,并主动与控制端的开放端口连接。这种连接方式还可以突破内部网络,与外部建立连接。
4端口复用技术
在Winsock的实现中,服务器的绑定可以是多绑定的。在决定谁使用多重绑定时,原则是指定谁是最明确的,以及向谁提交包。换句话说,具有低级权限的用户可以重新绑定到高级权限,例如服务启动端口。
(1) 特洛伊木马程序绑定到合法存在的端口以进行端口隐藏。它通过自己特定的包格式来判断它是否是自己的包。如果是,它会自己处理。否则,它将通过地址127.0.0.1将其传递给真正的服务器应用程序进行处理。
(2) 特洛伊木马可以将高权限服务应用程序的端口绑定到低权限用户上,以嗅探处理信息。原来,监控主机上一个socket的通信需要有很高的权限要求,但事实上,通过使用socket重新绑定,它可以监控与socket编程漏洞的通信,而不需要使用hook、hook或低级驱动技术(这些都需要有管理员权限才能实现)。
目前,新的木马理论层出不穷,基于木马的原理分析也在不断深入。新的木马和变种每天都会出现。比如现在木马技术与病毒的发展相互借鉴,也使得木马有了更好的传播,病毒具有了远程控制的能力,这使得木马程序与病毒的区别日益模糊,在木马理论和实践的研究方面,我们还有很长的路要走。
(3) 木马攻击练习
比特币核心钱包的关键文件是钱包.dat如果文件被盗,并且知道相应的钱包密码,里面的比特币就可能被盗。为了生动地展示实现这一目标的过程,我们编写了一个简单的木马程序来解释。
攻击安装了比特币核心钱包的私人服务器并在其中嵌入木马。需要注意的是,如果控制端和服务器端涉及内网,在编程时也需要对内网渗透进行相关处理。运行控制端程序,按照预置提示执行相关步骤,如下图所示:
这里的密码是一个简单的屏障,以防止其他黑客连接到我们的木马。然后执行程序: