对Lcass木马攻击特点进行分析与监测发布者：本站     时间：2020-05-02 16:05:47

1 引言

在网络安全保密风险评估中,笔者发现名为Lcass的程序具有运行无窗口、通过感染U盘传播等木马典型特点,具有一定代表性.为评估其安全保密危害,有必要对其攻击特点进行分析与监测,为此搭建了攻击分析与演示实验环境.

2 木马程序分析过程

2.1 分析环境

为分析和验证木马程序功能,采用交换机搭建了网络分析与验证环境,配备4台计算机,其中1台用于提供DNS服务,1台用于监测(安装Snort入侵检测系统),1台用做被攻击计算机,1台用做攻击计算机,网络拓扑见图1.

本分析实验在独立计算机Windows操作系统下进行,采用了WireShark、RegSnap、Cports等辅助监控分析工具,结合网络攻击等特点进行验证.

2.2 木马组成

对比操作系统的服务,发现木马程序Lcass利用 "PnP plug On Service"服务启动,以达到长期控制受害计算机的目的.木马程序采用了容易混淆用户为正常服务的描述信息,如图2所示.

提取木马可执行程序Lcass,在实验计算机上通过RegSnap工具监测木马执行前后文件的差别,发现与木马程序Lcass相关的组成文件包括Lcass.dll、Lcass.exe、Mswinsck.ocx、Ntsvc.ocx,均位于C:\WINDOWS\system32\目录下.其中,Lcass.e x e 是主体文件,也是自身通过 U 盘传播扩散的主文件,Mswinsck.ocx是提供网络后门的程序.

2.3 网络回连报信

从操作系统本地防火墙例外列表中,发现木马程序Lcass主动避开本地防火墙,怀疑其具有外连通信能力,采用Wireshark监测,发现木马程序向*zhen.3322.org发起连接.

在实验环境中通过DNS服务器转化到监测计算机后,监测相应的端口,利用Wireshark捕获到被攻击计算机主动向监测计算机发送了系列规则信息,信息结构如下:

被攻击计算机/192.168.0.4/88/1.0.195/18分43秒被攻击计算机/192.168.0.4/88/1.0.195/18分48秒被攻击计算机/192.168.0.4/88/1.0.195/18分54秒被攻击计算机/192.168.0.4/88/1.0.195/19分0秒回连信息包括被攻击计算机名、IP地址、打开端口、程序版本、木马启动时间等,其中被控制计算机IP地址和打开端口是向攻击者用于远程控制的两个重要信息,攻击者可以通过收到的IP地址和打开端口信息,向被攻击计算机发起远程控制攻击.

2.4 开启远程控制后门

通 过 C p o r t s 监测 , 发现木马程序利用mswinsck.ocx模块文件开放TCP 88端口,等待攻击者发起攻击,如图3所示.

木马程序开放的后门是一个采用Web登录的ZDC-WEB-SERVER后台,利用浏览器尝试登录后门地址入口,需要注册用户身份认证才能进入后门控制台.该后台服务主要利用Driver.pl(驱动器选择)、File.pl(文件管理)、Upload.pl(文件上传)、UrlDown.pl(通过URL下载执行文件)等多个pl脚本文件,实现远程控制攻击服务.

经过身份认证后进入远程控制后台,发现该后门具有驱动器选择、文件上传、文件下载、查看屏幕(监视远程桌面)等远程控制功能,与分析木马程序获得的pl服务脚本构成是基本一致的.通过浏览器远程控制被攻击计算机的界面如图4所示.

2.5 利用U盘传播

插入U盘到被攻击计算机,木马程序会自动在U盘生成autorun.inf和RECYCLER文件夹(文件夹内为隐藏的Lcass.exe木马程序),当U盘再次插入到其他计算机时会通过自动播放,或劫持"打开""浏览"诱导用户激活木马程序,实现木马程序利用U盘扩大传播的目的.

综上所述,该B/S木马程序能够实现隐藏无窗口,采用混淆服务加载木马程序实现自启动,通过穿透防火墙开启后门,等待攻击者利用.木马能够悄悄潜入U盘,通过U盘传播来扩大攻击范围,能够通过网络主动回连报信.攻击者通过报信信息,不需要任何专用控制端程序,仅需要通过浏览器作为控制端就可以很方便实现文件管理、监视屏幕等远程控制攻击,这是这款B/S木马程序的最明显特点.