20145211 黄志远《网络对抗》Exp3 Advanced 恶意代码伪装技术实践

20145211 黄志远《网络对抗》Exp3 Advanced 恶意代码伪装技术实践

木马化正常软件

• 思路：
  • 在正常软件包中将原本的程序主文件（平时打开程序用的exe文件）改成dll后缀（或者伪装成其他的exe，比如测试模式.exe），然后通过之前实验的方法半手动编译一个后门exe程序，在原本的后门程序代码中加入对原本的程序主文件（现在的dll文件）调用，打开正常的程序。这样就可以实现隐蔽的后门，还可以诱导客户打开后门文件而不知道，也是所谓的“绿色软件”不绿色的原因。

实践过程。

• 伪装嘛，就是让靶机感觉不到你在运行后门程序，那就将后门的运行隐藏在正常程序的运行中；这次，就简单添加一个系统调用。

   

• 然后把生成的exe文件和调用的程序或者软件放在一个文件夹中：

 

• 运行回连一波，perfect，就是速度有点慢……

  

• 后来发现之前套装的程序是我之前用来攻击的程序之一，所以无法判断究竟是伪装后的网络攻防程序伪装.exe起了作用，还是网络攻防nc1.exe起了作用；为了鉴别，我用vs简单写了一个计算器软件，并将伪装程序与之套接。在生成的伪装程序时，配置编译属性，将其设为静态链接。

  

   

• 成功回连，证明之前的伪装是成功的！！！

 

 

DNS隧道技术实践实现后门通信隐藏。

实现原理

• 主要是通过对DNS查询机制的特殊性来利用的一种技术。DNS的隧道的工作原理：

  DNS查询是一种递归查询机制，如果本地没有记录，就会其它服务器发起请求查询结果。然后，在需要认证的ISP或者防火墙，发现过滤规则的请求时，它们就会将查询结果的TCP或者UDP包返回结果内容进行丢弃，保返回域名的查询IP地址。

  DNS隧道设置

• 使用了三台虚拟机：攻击主机-KALI；DNS服务器-windows 2008；目标靶机-KALI。

  DNS服务器设置
  

• 设置完毕后，如图所示
• 

   

攻击主机设置

• 接下来的所有修改建议修改之前先备份。
• 修改dns2tcpd配置文件，并隧道的服务端：

 

客户端配置

• 删除ssh连接的known_hosts文件，修改DNS解析文件:vim /etc/resolv.conf
• 

   

• 配置dns隧道客户端程序，并测试连接，成功
•