網(wǎng)上捉肉雞

前幾天晚上打開電視機(jī)，無意間看到“焦點(diǎn)訪談”欄目，正在播放昆明某位黑客的故事，他通過木馬成功捕捉到大量肉雞，并且獲得肉雞系統(tǒng)的相關(guān)資料……

一下子我好像聯(lián)想到什么，肉雞這個(gè)詞怎么這么熟？我仔細(xì)回想，原來由于前陣子“灰鴿子”木馬鬧得沸沸揚(yáng)揚(yáng)，因此肉雞這個(gè)黑客術(shù)語常常見諸于媒體報(bào)端。

很顯然，這種肉雞是不可能做成“蜜汁烤翅”，也不能做成“骨肉相連”。那么，黑客所說的肉雞是什么呢？肉雞在黑客手中又有什么作用呢？我能不能也可以擁有大量的肉雞呢（圖1）？

誰是肉雞？

有了網(wǎng)絡(luò)就是方便，首先百度一下肉雞這個(gè)關(guān)鍵詞。查看了幾條搜索結(jié)果就大概明白了，肉雞實(shí)際上是被黑客操控的計(jì)算機(jī)，而控制的方法主要是利用木馬或后門程序。不過隨著黑客入侵技術(shù)的發(fā)展，很多被黑客攻陷得到了WebShell權(quán)限的服務(wù)器，也可以叫做肉雞。

聯(lián)想到餐桌上任人宰割和享用的肉雞，肉雞這個(gè)詞語確實(shí)比較貼切，都是任人宰割嘛，也不知道是那位大俠取得這么生動(dòng)的名字。

肉雞用處大

黑客為什么這么鐘情于捕捉肉雞呢？現(xiàn)實(shí)中的肉雞可以通過販賣獲得經(jīng)濟(jì)利益，而黑客捕捉的這些肉雞又能干什么呢？又是一通網(wǎng)絡(luò)上的奔走查問，“走仙山、訪名洞、拜神人”，終于讓我了解了一些。

首先，通過肉雞可以架設(shè)跳板，黑客在入侵時(shí)通過跳板來操作。這樣即使被記錄下入侵過程，那也只會(huì)暴露該肉雞的IP地址，從而“嫁禍于人”。

其次，黑客通過大量的肉雞可以組成僵尸網(wǎng)絡(luò)，對某個(gè)特定的IP地址進(jìn)行DDoS攻擊，同樣可以做到IP地址上的“查無此人”。網(wǎng)上現(xiàn)在就有一批被稱之為“網(wǎng)絡(luò)黑幫”的人，通過肉雞向某個(gè)網(wǎng)站發(fā)動(dòng)DDoS攻擊，從而進(jìn)行敲詐勒索。還有就是如果某項(xiàng)活動(dòng)需要進(jìn)行網(wǎng)站投票的話，那么肉雞的威力也會(huì)顯現(xiàn)出來。

可以說，每一次大的黑客行動(dòng)都離不開肉雞的身影，但現(xiàn)在的情況是“經(jīng)濟(jì)利益”已經(jīng)成為黑客最大的驅(qū)動(dòng)力，因此肉雞也成為一種“商品”。打開百度中的“灰鴿子貼吧”，就可以看到這里的肉雞被明碼標(biāo)價(jià)公開叫賣（如圖2）。

肉雞怎么捉

一個(gè)問題解決了，另一個(gè)問題又來了。怎么才能利用木馬程序進(jìn)行遠(yuǎn)程控制操作呢？“灰鴿子貼吧”中有大量帶徒弟的信息，也有抓肉雞的教程出售，比如我就看一套“肉雞捕捉秘笈”要50Q幣。

1.做好籠子

前面已經(jīng)提到要想控制肉雞，必須通過木馬操作，所以先要配置木馬的服務(wù)端程序。木馬選擇有講究，比如灰鴿子雖然好用強(qiáng)大，但是它太出名了，所以可以選擇《上興遠(yuǎn)程控制2007》（以下簡稱上興）。

運(yùn)行上興客戶端程序，點(diǎn)擊工具欄中的“配置服務(wù)端”按鈕。上興采用了反彈連接方式，可以采用動(dòng)態(tài)域名、IP地址等方式進(jìn)行連接（圖3）。將連接需要的域名或IP地址輸入到“DNS域名解析更新IP”中，接著設(shè)置好安裝程序、安裝路徑和連接密碼等內(nèi)容。木馬名稱可以進(jìn)行隨意命名，惟一的要求就是不要和系統(tǒng)現(xiàn)有的程序名稱沖突即可。

上興采用了多種隱蔽手段，比如線程插入。大家可以選擇將木馬進(jìn)程插入到IE瀏覽器進(jìn)程，或其他System32系統(tǒng)目錄文件，不過只能同時(shí)選擇其中一種插入方法。為了增強(qiáng)服務(wù)端程序的清除難度，新版本的上興還提供了一個(gè)“自克隆保護(hù)文件安裝路徑”選項(xiàng)，這樣木馬可以多個(gè)進(jìn)程相互監(jiān)控。最后點(diǎn)擊“生成服務(wù)端”按鈕，即可生成所需的服務(wù)端程序。

2.捕捉肉雞

木馬服務(wù)端配置完成后，經(jīng)過簡單的偽裝就可以利用文件捆綁、郵件附件、網(wǎng)頁木馬等方法來捕捉肉雞。

以前，利用漏洞掃描進(jìn)行木馬種植是很常見的，常用的掃描器包括X-Scan、《阿D工具箱》等。在掃描器中設(shè)置好要掃描的IP地址段，選中相應(yīng)的系統(tǒng)漏洞類型后，點(diǎn)擊“開始”按鈕即可。洞掃描完成后，就可以利用該漏洞植入木馬了。

現(xiàn)如今的黑客變得越來越懶了，以前的主動(dòng)出擊都成為現(xiàn)在的守株待兔了，使用網(wǎng)頁木馬捕捉肉雞是最主要的方法。比如利用微軟MS07004漏洞，來配置生成網(wǎng)頁木馬。

運(yùn)行網(wǎng)頁木馬生成器，接著在“請輸入您的木馬地址”選項(xiàng)中輸入木馬網(wǎng)址，接著在選擇“網(wǎng)馬類型”選擇“MS06014＋MS07004”選項(xiàng)，最后點(diǎn)擊“生成普通版網(wǎng)馬”按鈕就可以生成所需的網(wǎng)頁木馬（如圖5）。

將生成的網(wǎng)頁木馬文件上傳到網(wǎng)絡(luò)空間，然后將網(wǎng)頁木馬地址發(fā)給其他人，誘騙其點(diǎn)擊運(yùn)行該木馬鏈接即可。該網(wǎng)頁木馬首先會(huì)主動(dòng)檢測系統(tǒng)漏洞，再擇優(yōu)選擇所需要運(yùn)行的網(wǎng)頁木馬，從而達(dá)到兩只相互補(bǔ)充的效果。

我是肉雞嗎？

突然想到一個(gè)問題，我會(huì)成為別人的肉雞，不由地驚出一身冷汗。雖然通過殺毒軟件可以對一些已知的木馬進(jìn)行清除，但是隨著0day漏洞和未知木馬的層出不窮，因此防范的時(shí)候還需要打一套“組合拳”才行。

第一招：查端口

要判斷系統(tǒng)是否安裝有木馬，首先從系統(tǒng)端口來檢測。正向連接的木馬由服務(wù)端打開特定的端口，然后客戶端程序向服務(wù)端發(fā)出連接信號(hào)；而反彈連接的木馬程序正好相反，客戶端系統(tǒng)打開端口，等待服務(wù)端的自動(dòng)連接。每一個(gè)木馬程序都有特定使用的端口，比如冰河（7627）、灰鴿子（8000）等等。打開命令提示符窗口，鍵入“netstat -an”（如圖6）。

Local Address代表本機(jī)地址，冒號(hào)后的數(shù)字就是使用的端口號(hào)；Foreign Address代表遠(yuǎn)程地址，State代表狀態(tài)。如果發(fā)現(xiàn)源端口或目的端口是某些木馬程序特定使用的端口，那么就說明本地計(jì)算機(jī)已經(jīng)成為別人的肉雞了。

第二招：系統(tǒng)進(jìn)程辨真?zhèn)?/p>

不管是木馬程序還是正規(guī)程序，執(zhí)行以后都會(huì)在系統(tǒng)之中出現(xiàn)進(jìn)程信息。木馬將名稱和系統(tǒng)進(jìn)程設(shè)置得十分地相似，通過“用戶名”來查看其加載用戶，系統(tǒng)進(jìn)程都是System用戶加載的，如果是由當(dāng)前使用用戶加載的，那么它一定有問題。

很多的木馬會(huì)隱藏進(jìn)程，這時(shí)可以通過冰刃的進(jìn)程列表查看，紅色的就是隱藏進(jìn)程。所以還可以同時(shí)打開任務(wù)管理器和冰刃比較進(jìn)程，如果冰刃里多出一個(gè)進(jìn)程，那可能就是木馬進(jìn)程。

第三招：啟動(dòng)項(xiàng)中細(xì)分析

對系統(tǒng)的啟動(dòng)項(xiàng)進(jìn)行檢測也是很有效的方法，比如使用System Repair Engineer（后文簡稱SREng）這款系統(tǒng)檢測工具。為了增強(qiáng)用戶的分別能力，程序可以對啟動(dòng)項(xiàng)、系統(tǒng)服務(wù)的危險(xiǎn)性判斷規(guī)則，當(dāng)發(fā)現(xiàn)可疑內(nèi)容時(shí)會(huì)以顏色高亮顯示。

點(diǎn)擊工具欄中的“啟動(dòng)項(xiàng)目”按鈕，首先查看“注冊表”啟動(dòng)項(xiàng)，SREng會(huì)自動(dòng)讀取Windows系統(tǒng)所有啟動(dòng)項(xiàng)目的內(nèi)容，如果發(fā)現(xiàn)默認(rèn)的鍵值被修改成非默認(rèn)值，那么會(huì)彈出一個(gè)警告提示提醒用戶注意（如圖7）。

小結(jié)

由于經(jīng)濟(jì)利益的驅(qū)使，現(xiàn)在網(wǎng)絡(luò)售賣木馬已經(jīng)很多了。有法律專家指出，《計(jì)算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護(hù)管理辦法》中規(guī)定制造和傳播病毒是違法的，但是對于木馬、黑客程序、“流氓軟件”等并沒有明確的界定。這也是黑客們在網(wǎng)上公開叫賣“肉雞”而無人管的一個(gè)重要原因。

我們一方面要掌握好安全知識(shí)，防范被黑客利用，另一方面也應(yīng)該了解一些黑客知識(shí)，以便更有針對性地反黑，但絕不應(yīng)該用它來害人害己。

注：本文中所涉及到的圖表、注解、公式等內(nèi)容請以PDF格式閱讀原文。