摘要：隨著信息化不斷發(fā)展，黑客利用這些信息系統(tǒng)的各種漏洞進行黑客攻擊，造成了國家、企業(yè)和人民的大量損失，本文通過對黑客攻擊中遠程控制原理介紹，可對防范研究提供技術(shù)支撐。

關(guān)鍵詞： 黑客? ?遠程控制? ?防范

中圖分類號：G4 文獻標識碼：A

隨著信息化社會不斷的發(fā)展，各種信息化基礎(chǔ)設(shè)施不斷完善，各種信息化系統(tǒng)有了蓬勃的發(fā)展，隨之而來也出現(xiàn)了很多安全問題，有不少黑客利用這些信息系統(tǒng)的各種漏洞進行黑客攻擊，造成了國家、企業(yè)和人民的大量損失。在黑客攻擊中，遠程控制攻擊是危險性最高，破壞性最大的一種攻擊。黑客一旦完成了遠程控制，就可以進行竊取用戶數(shù)據(jù)、盜取用戶賬號、破快用戶系統(tǒng)和勒索等破壞性行動。

遠程控制的原理主要就是要在客戶主機安插一個木馬，木馬的安插方式多種多樣，五花八門。但是木馬的主要作用是一樣的，都是通過TCP和遠端的黑客建立連接，從而讓黑客能夠控制受害設(shè)備。在這個遠程控制的原理中，有兩種方式。一種方式稱為主動模式，這種模式需要讓木馬在受害主機運行，并且在受害主機使用socket監(jiān)聽一個TCP端口，然后黑客計算機通過TCP嘗試連接受害主機的對應(yīng)端口號，連接成功就可以進行控制。當然這里的主動模式，還有WEB服務(wù)這種情況，這種情況需要生成PHP或者JSP的木馬。

主動控制

另一種被稱為被動模式，這種模式需要在黑客計算機使用socket監(jiān)聽一個TCP端口，然后設(shè)法讓木馬在受害主機運行，這個木馬會使用socket的TCP連接去嘗試連接黑客主機對應(yīng)的端口號，如果連接成功，受害主機就會被黑客控制。

被動控制

在上述的遠程控制過程中，首先需要考慮黑客是如何制作和植入一個木馬到受害主機上的。最快速直接的方式可以使用kali linux來進行生成，也可以使用各種編程語言自己編寫。

這里黑客一般會根據(jù)目標主機的操作系統(tǒng)來生成對應(yīng)的木馬。比如windows操作系統(tǒng)的木馬，Linux操作系統(tǒng)的木馬，android操作系統(tǒng)的木馬和ARM嵌入式設(shè)備上運行的木馬。同時對于一些WEB應(yīng)用也可以生成對應(yīng)的木馬，比如對于jsp可以生成java木馬，對于php可以生成php木馬。至于木馬如何才能植入受害主機呢？一種方式，黑客會利用一些系統(tǒng)的文件上傳漏洞進行木馬的上傳。還有一種方式，黑客會制作惡意的URL鏈接，通過惡意網(wǎng)站，劫持網(wǎng)站和發(fā)送短信等各種方式誘導(dǎo)受害者點擊鏈接，從而在受害者主機植入木馬。各種各樣的木馬層出不窮，應(yīng)該如何防范呢？首先，我們應(yīng)該在我們的計算機設(shè)備上安裝殺毒軟件，這些殺毒軟件擁有自己的木馬病毒庫，能夠?qū)ξ募到y(tǒng)中存在的木馬進行掃描和確認。同時他們的病毒庫也在不斷更新，確保對于潛在的木馬病毒具有較高的識別率。作為一般用戶，也要養(yǎng)成良好的上網(wǎng)習慣。使用瀏覽器時，不要訪問可疑網(wǎng)站，不要點擊可疑鏈接。

主動模式中防火墻可以阻止黑客

目前流行的殺毒軟件都會對用戶操作系統(tǒng)的文件系統(tǒng)中的文件進行掃描，找出可疑的木馬，并且刪除，從而免除系統(tǒng)被控制的危險。這些殺毒軟件會分析程序文件的編碼特征來判斷目標文件是否是一個木馬文件。然而新的木馬層出不窮，黑客也會不斷想出新的方式來進行代碼混淆，導(dǎo)致殺毒軟件無法識別出這些新型木馬。所以對于殺毒軟件的選擇，我們也要慎重，要選擇的殺毒軟件應(yīng)該具有完善的病毒編碼特征庫，同時這些病毒編碼特征庫應(yīng)該有一個安全團隊在維護，確保特征庫能夠不斷更新，從而達到對于新型木馬也有很好的識別率。

除了硬盤上的木馬，還有可能存在繞過硬盤直接在內(nèi)存運行的木馬，這種木馬攻擊方式主要是利用了操作系統(tǒng)的漏洞或者是操作系統(tǒng)上安裝運行了的軟件的漏洞。這里我們說的操作系統(tǒng)可以是Windows操作系統(tǒng)（主要見于個人計算機），也可以是Linux操作系統(tǒng)（主要見于互聯(lián)網(wǎng)服務(wù)器、企業(yè)服務(wù)器）。軟件可以是一切安裝在Windows或者Linux上的軟件。

比如永恒之藍漏洞就是Windows操作系統(tǒng)的一個著名漏洞，2017年4月，黑客組織公布了一大批網(wǎng)絡(luò)攻擊工具，其中就有“永恒之藍”的漏洞利用工具，這個工具利用Windows的SMB漏洞獲取操作系統(tǒng)的最高權(quán)限。惡意工具會通過掃描尋找開放了445端口的Windows計算機，用戶計算機只要是開機狀態(tài)和聯(lián)網(wǎng)狀態(tài)，不需要用戶的任何操作，黑客就可以在受害計算機中運行遠程控制木馬。這種木馬是一段shellcode，由黑客通過網(wǎng)絡(luò)發(fā)送數(shù)據(jù)到達受害計算機，并且在受害計算機的內(nèi)存中執(zhí)行了，配合黑客計算機達到遠程控制的目的。

上面的漏洞是操作系統(tǒng)級別的漏洞，應(yīng)用軟件由于種類繁多，應(yīng)用廣泛，如果編寫軟件的代碼存在不規(guī)范，就會出現(xiàn)可以利用的漏洞。比如EasyFileSharing在2015年被發(fā)現(xiàn)的一個漏洞。還有vsftpd-2.3.4上存在的笑臉漏洞。黑客首先研究這些漏洞，精心設(shè)計好一串數(shù)據(jù)，發(fā)送給運行了有漏洞的軟件的受害計算機，覆蓋進程中函數(shù)調(diào)用的返回地址，劫持進程的運行流程，讓進程執(zhí)行一段黑客指定的shellcode（也就是運行一個內(nèi)存木馬），配合黑客計算機達到遠程控制的目的。

這種攻擊方式就是黑客們常常研究的棧溢出攻擊。黑客通過研究進程運行時函數(shù)調(diào)用和返回的原理，再結(jié)合反匯編技術(shù)，計算出緩沖區(qū)起始位置到達函數(shù)棧中返回地址的具體偏移量。構(gòu)造字符串，利用程序漏洞覆蓋函數(shù)調(diào)用棧中的返回地址，改變進程的執(zhí)行內(nèi)容，從而劫持進程，這個過程主要有四種方式。

第一種，覆蓋返回地址，讓它指向棧溢出數(shù)據(jù)串中的一段指令（shellcode）。這種方式需要在棧溢出數(shù)據(jù)中包含一段二進制攻擊指令，并且用使用攻擊指令的開始地址覆蓋掉返回地址的值。攻擊指令的作用一般都是運行之后會打開一個shell，進而獲得了當前進程的具體控制權(quán)，shellcode的生成方式有很多種，可以用匯編語言寫好代碼片段，然后轉(zhuǎn)化成對應(yīng)的機器碼。也可以使用kali Linux 中的工具來生成。

第二種，Return2libc，修改函數(shù)返回地址，讓它指向內(nèi)存中某個已存在的函數(shù)。首先，在內(nèi)存中確定某個函數(shù)的地址，并且用這個地址的值覆蓋掉返回地址。由于libc這個動態(tài)鏈接庫被十分廣泛的應(yīng)用，這個庫中包含了一些重要的系統(tǒng)函數(shù)，如果能夠運行這些系統(tǒng)級函數(shù)，就可以獲得當前進程的控制權(quán)。

第三種，return oriented programming，這個方法修改返回地址，讓它指向內(nèi)存中已經(jīng)存在的一段二進制指令。首先需要在內(nèi)存中確定某一段二進制指令的內(nèi)存地址，并用這個地址覆蓋返回地址，如果我們需要達成的目標操作沒有某個特定的函數(shù)可以完全滿足要求，我們此時就需要在內(nèi)存中搜索多個二進制指令片段，拼接一系列二進制代碼片段來完成目標功能。

第四種，Hijack GOT，主要需要修改程序中某個調(diào)用函數(shù)的地址，讓它指向我們需要的函數(shù)。首先，我們要弄清楚函數(shù)調(diào)用發(fā)生時，調(diào)用者是怎樣找到被調(diào)用者，進行調(diào)用的。接著，在內(nèi)存中修改我們選中函數(shù)的內(nèi)存地址，使它指向我們需要的函數(shù)。

被動模式和主動模式雖然都可以達到遠程控制的目的，但是他們的應(yīng)用場景和特點卻有很大的不同。在主動模式中，我們是在受害主機打開了一個TCP端口的監(jiān)聽，黑客進行主動的連接，這里要求滿足兩個基本條件，黑客才能成功進行控制。第一，受害主機擁有一個可以訪問的公網(wǎng)IP;第二，受害主機的防火墻對這個特定的TCP端口的流量進行了放行操作（這個防火墻可以時iptables這種主機防火墻，也可以是硬件防火墻）。如果這個受害主機是一個私網(wǎng)設(shè)備，沒有公網(wǎng)IP，那么第一個基本條件不滿足，黑客無法成功控制受害主機。如果受害主機的防火墻進行了相應(yīng)的防護，拒絕了除了業(yè)務(wù)端口以外所有端口的流量，那么第二個條件不滿足，黑客也無法成功控制受害主機。在被動模式中，黑客計算機會監(jiān)聽一個TCP端口，在受害主機運行木馬用TCP主動連接黑客計算機對應(yīng)TCP端口，完成黑客的遠程控制。這種模式下，不會在受害主機監(jiān)聽一個TCP端口，防火墻的入方向的流量拒絕不能起到防護作用，也不需要·受害主機擁有一個公網(wǎng)IP，黑客想要形成遠程控制相對容易。所以我們應(yīng)當在我們的計算機設(shè)備上安裝殺毒軟件，對可疑的木馬進行掃描。這種模式下，木馬程序中會包含黑客的公網(wǎng)IP，可以作為網(wǎng)警破案的證據(jù)。

Metasploit和Meterpreter是黑客最喜歡用的兩個工具，其中Metasploit是高度的模塊化的軟件工具，整個框架由多個模塊組成，是一款開放源代碼的漏洞測試工具和安全漏洞利用工具，整個框架集成了各種平臺和應(yīng)用軟件上的常見漏洞，可以使用msfvenom工具生成可以在各種平臺運行的shellcode，包括服務(wù)器操作系統(tǒng)（Linux，centos，debian，ubuntu，Windows Server），移動設(shè)備（Android），嵌入式設(shè)備（ARM，solaris）和個人計算機（WindowsXP，Windows7，Windows10）等，shellcode的payload類型運行起來的作用一般相當于一個Meterpreter遠程被控端，metasploit本身就帶有數(shù)百個已經(jīng)發(fā)現(xiàn)的應(yīng)用軟件漏洞的相應(yīng)的專業(yè)級漏洞利用攻擊工具模塊，配合不同硬件平臺的shellcode，可以對不同的硬件平臺上的操作系統(tǒng)和應(yīng)用軟件進行滲透測試。

Meterpreter主要用于在獲取到了目標計算機訪問的權(quán)限之后，進行后期的滲透測試，具有平臺通用性，命令格式與Linux的命令行和Windows的CMD兼容，可以采用純內(nèi)存工作模式，在執(zhí)行漏洞滲透的攻擊操作時會直接把meterpreter的動態(tài)鏈接庫裝載到目標進程的內(nèi)存空間中，使得meterpreter的被控端啟動和運行十分的隱蔽，傳統(tǒng)的硬盤掃描型殺毒軟件很難檢測出來。而且meterpreter會對meterpreter主控端和meterpreter被控端之間的通信流量進行加密。而防火墻很難識別出加密的流量。Meterpreter的這些特性大大增加了防控難度。建議使用有內(nèi)存監(jiān)控和進程監(jiān)控功能的殺毒軟件，對所有進程進行監(jiān)控，通過進程對TCP端口的使用情況，以及進程運行內(nèi)存空間的二進制代碼，來識別可疑的木馬進程。

Meterpreter為了隱藏自己的進程，也有很多其他的技術(shù)手段，Meterpreter可以使用execute命令打開一個windows已經(jīng)安裝好的應(yīng)用程序，比如記事本（對應(yīng)notepad.exe這個應(yīng)用程序文件），命令行窗口（對應(yīng)cmd.exe這個應(yīng)用程序文件），計算器（對應(yīng)calculator.exe這個應(yīng)用程序文件），execute命令通過-H參數(shù)的使用，可以在后臺啟動這些應(yīng)用程序，不會在受害機的前臺桌面顯示。這樣就可以很好的隱藏，受害計算機如果通過任務(wù)管理器查看進程列表，看到名字是notepad.exe或者cmd.exe，就不會產(chǎn)生懷疑，同時，meterpreter有一個migrate命令，可以讓meterpreter被控端的內(nèi)存木馬進行進程遷移，通常黑客都是利用某個應(yīng)用軟件的漏洞進行滲透攻擊，如果攻擊成功，meterpreter被控端木馬就會在這個有漏洞的應(yīng)用程序的內(nèi)存空間運行，這個時候黑客已經(jīng)完成了遠程控制，控制會話（session）就已經(jīng)建立好了，但是一旦這個有漏洞的應(yīng)用程序被關(guān)閉或者相應(yīng)的進程被結(jié)束，meterpreter被控端的木馬就會隨著一起結(jié)束運行，黑客建立好的遠程控制會話就會被斷開，黑客為了避免這種情況發(fā)生，會使用migrate進行meterpreter內(nèi)存木馬的進程遷移，可以遷移到使用execute命令打開的notepad.exe或者cmd.exe進程中，相應(yīng)的進程編號可以使用ps |? grep notepad.exe 進行查詢。黑客甚至可以使用migrate命令遷移木馬進程到Windows操作系統(tǒng)的explorer進程中，explorer是Windows操作系統(tǒng)中的文件資源管理器和程序管理器，主要用來管理Windows操作系統(tǒng)的圖形殼，這個圖形殼包含了文件管理和桌面管理，如果這個進程被終止，會導(dǎo)致Windows圖形界面無法使用。如果黑客利用migrate命令把木馬病毒附著到了explorer進程上就可以得到一個穩(wěn)定運行的木馬，從而得到一個穩(wěn)定的遠程控制會話。這個時候，受害計算機如果想要擺脫黑客計算機的遠程控制，只能對計算機進行重啟操作。重啟之后，黑客對于受害計算機就失去了遠程控制。通過遠程控制工具的控制持久化方案，可以確保，即使受害計算機進行了重啟，黑客依然可以獲得遠程控制會話。

相應(yīng)的Meterpreter這個工具提供了控制持久化的方案，一種通過受害計算機上的服務(wù)啟動，另一種是會通過啟動項進行啟動。通過服務(wù)進行啟動的方式，相對來說命令較為簡單，這個后門不會進行反向回連，而是在受害計算機啟動之后開啟一個服務(wù)來等待黑客的計算機來主動連接，缺點也較為明顯，如果其他黑客掃描到了這個服務(wù)，同樣可以通過這個后門進入這臺受害計算機。另一種方式，是通過啟動項進行啟動的方式（persistence），它的缺點是使用的參數(shù)相對較為復(fù)雜，一些特定的權(quán)限問題可能導(dǎo)致設(shè)置失敗，沒有相應(yīng)的錯誤信息返回顯示，有一定的可能性導(dǎo)致失敗的持久化控制。這種方式是在目標計算機上通過反向TCP的方式去主動連接黑客的TCP服務(wù)端。因為這種流量對于目標計算機來說屬于出方向流量，所以目標計算機上的防火墻對于這樣的流量的一般操作是放行。相應(yīng)的后門的存活率較高。

為了應(yīng)對這種持久化控制的威脅，在我們的計算機上安裝殺毒軟件，并且及時更新病毒庫，定期掃描C盤，刪除可疑的木馬文件（VBScript 文件），要及時的關(guān)注操作系統(tǒng)和應(yīng)用程序不同版本中可能存在的漏洞，及時的更新操作系統(tǒng)和應(yīng)用軟件的版本。同時，選擇的殺毒軟件最好具有進程監(jiān)控的能力，對于一些進程行為進行追蹤。

參考文獻

[1]計算機網(wǎng)絡(luò)系統(tǒng)安全維護策略研究[J]. 黃明源.? 網(wǎng)絡(luò)安全技術(shù)與應(yīng)用. 2021（07）

[2]網(wǎng)絡(luò)工程中的安全防護技術(shù)的思考探討[J]. 李蔚耀.? 數(shù)碼世界. 2020（05）

作者簡介：萬松 ，性別：男，出生年月：1982年4月出生，籍貫：江西南昌人，民族： 漢， 學歷：碩士，? 講師，研究方向：計算機網(wǎng)絡(luò);

基金項目：2020年度江西省教育廳科學技術(shù)課題“基于CTF平臺的Web網(wǎng)絡(luò)安全研究”（一般項目）

課題項目編號：205105。