莫讓遠(yuǎn)控軟件成幫手

引言：在日常的工作中，經(jīng)常會(huì)用到各種遠(yuǎn)程控制軟件，讓用戶可以毫不費(fèi)力的對(duì)遠(yuǎn)程主機(jī)進(jìn)行控制操作。在系統(tǒng)安全領(lǐng)域，木馬對(duì)用戶的威脅很大。其實(shí)，將正常的遠(yuǎn)控軟件和木馬進(jìn)行比較，可以發(fā)現(xiàn)兩者存在一定共同點(diǎn)。

在日常的工作中，經(jīng)常會(huì)用到各種遠(yuǎn)程控制軟件，讓用戶可以毫不費(fèi)力的對(duì)遠(yuǎn)程主機(jī)進(jìn)行控制操作。在系統(tǒng)安全領(lǐng)域，木馬對(duì)用戶的威脅很大。其實(shí)，將正常的遠(yuǎn)控軟件和木馬進(jìn)行比較，可以發(fā)現(xiàn)兩者其實(shí)存在一定的共同點(diǎn)。例如，都可以對(duì)遠(yuǎn)程主機(jī)進(jìn)行控制，數(shù)據(jù)傳輸?shù)炔僮鳌５牵５倪h(yuǎn)控軟件以光明正大的身份運(yùn)行，而木馬卻是偷偷摸摸的運(yùn)行，前者幫助用戶工作，后者是黑客盜竊用戶數(shù)據(jù)的爪牙。俗話說，善惡只在一念間。黑客不僅僅利用木馬對(duì)用戶主機(jī)進(jìn)行滲透，還將邪惡的目光盯在了正常的遠(yuǎn)控軟件上，于是經(jīng)過黑客的“精心改裝”，原本正常的遠(yuǎn)控軟件卻成了黑客的得力幫手，這不得不引起我們的警惕！

清除暗中潛伏的Radmin

提起遠(yuǎn)控軟件，Remote Administrator顯得頗有名氣。該工具的最大特點(diǎn)是體積精巧，連接速度快，設(shè)置簡(jiǎn)單，操作起來很順手，成為很多用戶的得力工具。俗話說，樹大招風(fēng)。正是因?yàn)镽admin性能優(yōu)秀，也成了黑客覬覦的對(duì)象。經(jīng)過黑客的“精心”設(shè)計(jì)，Radmin就變成了黑客實(shí)現(xiàn)入侵的“利器”。

例如，筆者朋友管理的某臺(tái)服務(wù)器，最近遭到黑客的入侵，其網(wǎng)站主頁被惡意修改，嵌入了網(wǎng)馬，數(shù)據(jù)庫被破壞，但是經(jīng)過常規(guī)病毒掃描，卻沒有發(fā)現(xiàn)木馬或病毒。筆者對(duì)其查看，運(yùn)行“netstat”命令，在網(wǎng)絡(luò)連接列表中發(fā)現(xiàn)TCP 3389端口處于監(jiān)聽狀態(tài)。但是經(jīng)詢問，該機(jī)并沒有開啟終端服務(wù)。經(jīng)過查詢域該端口關(guān)聯(lián)的進(jìn)程號(hào)，在任務(wù)管理器中，發(fā)現(xiàn)該服務(wù)對(duì)應(yīng)的名稱為“r_server.exe”，其對(duì)應(yīng)的用戶名為“SYSTEM”，這表明其是由某個(gè)系統(tǒng)服務(wù)啟動(dòng)的。

看到這里，筆者就明白了，原來這就是Radmin這款遠(yuǎn)控在起作用。朋友告訴筆者，該網(wǎng)站采用的是PHP+MySQL結(jié)構(gòu)，因?yàn)榫W(wǎng)站程序設(shè)計(jì)存在問題，存在注入漏洞，造成黑客利用數(shù)據(jù)庫注入方法，在網(wǎng)站中植入了一句話木馬，之后黑客使用專用工具對(duì)其進(jìn)行連接，可以獲得具有SYSTEM權(quán)限的WebShell接口，在其中可以隨意執(zhí)行各種命令。當(dāng)發(fā)現(xiàn)網(wǎng)站漏洞后，對(duì)其進(jìn)行了適當(dāng)?shù)男扪a(bǔ)，清理了被黑客破壞的網(wǎng)頁文件。但是黑客已經(jīng)通過建立反彈連接，文件上傳等手段，將精心偽裝的后門程序傳送到了服務(wù)器中并將其激活運(yùn)行。

在系統(tǒng)目錄中經(jīng)過搜索，發(fā)現(xiàn)名為“winregsvr.exe”的文件很可疑，但是對(duì)其掃描卻發(fā)現(xiàn)沒有問題。經(jīng)過檢測(cè)，這是一個(gè)經(jīng)過特殊處理的WinRAR自解壓包，但是在其右鍵菜單中卻沒有發(fā)現(xiàn)“解壓到”等項(xiàng)目。將其逆向修復(fù)并解壓后，發(fā)現(xiàn)其中包含“install.bat”，“install.reg”，“r_server.exe”，“rassrv.exe”，“admdll.dll”等文件，打開“install.bat”文件，其內(nèi)容包含“regedit /s install.reg”，“r_server.exe”，“r_server.exe /silent /install”，“del install.reg”，“del install.bat”等語句，對(duì)其中的“install.reg”分析，發(fā)現(xiàn)這是一個(gè)保存Radmin注冊(cè)表配置信息的文件，當(dāng)將其悄悄的導(dǎo)入到注冊(cè)表之后，就會(huì)自動(dòng)完成Radmin配置的設(shè)置操作，其功能包括將Radmin端口改為3389，用來迷惑用戶，隱藏任務(wù)欄圖標(biāo)，添加連接密碼等項(xiàng)目。之后的程序語句的作用是隱蔽安裝Radmin服務(wù)，并刪除自身文件等。

當(dāng)Radmin遠(yuǎn)控服務(wù)激活后，黑客就可以隨時(shí)對(duì)其進(jìn)行連接，來控制本機(jī)了。不難看出，原本正常的Radmin遠(yuǎn)控軟件，到了黑客手里，卻變成了入侵工具。因?yàn)槠浔旧硎呛戏ǖ某绦颍允褂脷④涀匀粺o法清除。解決的方法很簡(jiǎn)單，執(zhí)行“r_server.exe /stop”命令，關(guān)閉Radmin遠(yuǎn)控服務(wù)，執(zhí)行“sc dekete r_server”，刪除該服務(wù)項(xiàng)目，并將上述相關(guān)的文件全部刪除，就可以徹底關(guān)閉Radmin遠(yuǎn)控服務(wù)。

被黑客惡意控制的TeamViewer

在眾多的遠(yuǎn)控軟件中，功能最全面強(qiáng)悍的莫過 于TeamViewer莫屬。TeamViewer具有很多其他遠(yuǎn)控工具無法比擬的功能，例如，其本身支持VPN連接，可以擺脫內(nèi)網(wǎng)的限制，無需配置反彈連接域名轉(zhuǎn)發(fā)等操作，就可以輕松遙控內(nèi)網(wǎng)主機(jī)。正因?yàn)槿绱耍浒踩暂^高，在VPN連接中可以保護(hù)連接者的IP地址。一旦這樣的遠(yuǎn)控利器被黑客惡意利用，其危害無疑是很大的。

例如，筆者同事管理的網(wǎng)站前些天遭到黑客入侵，因?yàn)樵摲?wù)器上運(yùn)行了MSSQL服務(wù)器，因?yàn)镾A賬戶的密碼設(shè)置的比較弱，加之網(wǎng)頁代碼存在漏洞，被黑客破譯后，通過Sqltool等工具執(zhí)行非法連接，并添加了黑客賬戶。因?yàn)樵摍C(jī)開啟了終端服務(wù)，所以黑客輕易的控制了該機(jī)。當(dāng)發(fā)現(xiàn)問題后，管理員立即關(guān)閉了終端服務(wù)，清除了黑客賬戶，并修復(fù)了各種漏洞。原以為這樣就可以避開黑客的襲擊，不過，黑客依然可以繼續(xù)對(duì)該機(jī)進(jìn)行非法破壞操作。

筆者分析，黑客一定在該機(jī)中留有后門。但是，經(jīng)過仔細(xì)搜尋，例如，查看進(jìn)程列表，網(wǎng)絡(luò)連接信息等，都沒有發(fā)現(xiàn)可疑蹤跡。運(yùn)行XueTr，在進(jìn)程列表中發(fā)現(xiàn)以紅色顯示的名為“teamviewer.exe”的隱藏進(jìn)程，筆者似乎看出了些許端倪。原以為根據(jù)其映像路徑信息，可以找到目標(biāo)程序。但是進(jìn)入對(duì)應(yīng)磁盤后，卻無法找到相關(guān)的目錄和文件。即使在文件夾選項(xiàng)窗口中選擇“顯示隱藏的文件，文件夾和驅(qū)動(dòng)器”項(xiàng)，取消“隱藏受保護(hù)的操作系統(tǒng)文件”項(xiàng)的選擇狀態(tài)，依然無法顯示這些文件。

筆者覺得這些可疑程序文件一定被專用的RootKit工具處理過，處于隱藏狀態(tài)。在XueTr的“文件”面板中搜索，才發(fā)現(xiàn)其蹤跡。因?yàn)閄uetr運(yùn)行在Ring0級(jí)別，可以破解RootKit隱藏的文件。經(jīng)過查看，這些文件其實(shí)就是TeamViewer的運(yùn)行文件，只是經(jīng)過了明顯的精簡(jiǎn)處理，例如刪除了“uninstall.exe”，“l(fā)icense.txt”，“unicows.dll”等。 很顯然，黑客這樣做的目的就是為了減小TeamViewer的體積。估計(jì)黑客沒有使用最新版的TeamViewer，而是采用了版本較低較為成熟的綠色版的TeamViewer，例如TeamViewer3.6等。

同原始的“team viewer..exe”文件相比，黑客使用的“teamviewer..exe”文件體積明顯變小，顯然黑客使用了PEexplorer，Rescope等工具，對(duì)其進(jìn)行了精簡(jiǎn)，刪除了不必要的資源。或者使用加殼工具，對(duì)其進(jìn)行了壓縮處理。因?yàn)門eamViewer的連接密碼是不固定的，所以黑客為了便于使用，會(huì)設(shè)置固定連接密碼。例如在TeamViewer3.6中，只需在其中點(diǎn)擊菜單“額外”-“選項(xiàng)”項(xiàng)，在其中的“常規(guī)”選擇讓TeamViewer自動(dòng)運(yùn)行，并設(shè)置連接密碼，黑客就可以順利連接被控機(jī)。為了保證TeamViewer穩(wěn)定運(yùn)行，可以在“安全”面板中禁止關(guān)閉TeamViewer，或者讓管理員用戶才可以更改配置信息。通過在“入站訪問控制”欄中選擇“完全控制”項(xiàng)，黑客就可以徹底控制被控機(jī)。

TeamViewer具有導(dǎo)出配置信息的功能，可到便于黑客導(dǎo)入導(dǎo)出配置信息。例如黑客可以在本機(jī)上配置好TeamViewer各項(xiàng)參數(shù)，之后在被控機(jī)上直接導(dǎo)入，就可以完成配置操作。即使是內(nèi)網(wǎng)主機(jī)，利用TeamViewer內(nèi)置的VPN連接工具，黑客也可以輕松創(chuàng)建VPN功能，讓其和黑客主機(jī)處于VPN虛擬網(wǎng)中，遙控起來毫不費(fèi)力。根據(jù)以上分析，黑惡的入侵手法是先通話各種漏洞，通過終端服務(wù)控制目標(biāo)機(jī)，為了實(shí)現(xiàn)穩(wěn)妥的遠(yuǎn)控操作，避免管理員發(fā)現(xiàn)入侵痕跡后關(guān)閉終端服務(wù)，導(dǎo)致入侵無法進(jìn)行，因此黑客將精心配置的TeamViewer傳送到該機(jī)上。這樣，即使終端服務(wù)被關(guān)閉，黑客照樣可以利用隱藏的TeamViewer來遠(yuǎn)控本機(jī)。為了隱蔽運(yùn)行，黑客會(huì)借助于AFX Windows Rootkit等工具，對(duì)其TeamViewer的存儲(chǔ)目錄進(jìn)行RootKit隱藏處理，之后隱形運(yùn)行TeamViewer，不僅其存儲(chǔ)位置無法被用戶發(fā)現(xiàn)，而且其進(jìn)程，端口，注冊(cè)表信息也處于隱藏狀態(tài)難以發(fā)現(xiàn)。

這樣，當(dāng)管理員關(guān)閉了終端服務(wù)后，黑客依然可以利用潛伏的TeamViewer，來對(duì)被控機(jī)進(jìn)行遙控。了解了黑客的手法后，可以在XueTr中強(qiáng)制關(guān)停TeamView進(jìn)程并刪除關(guān)聯(lián)文件，并在其文件面板中刪除強(qiáng)制刪除相關(guān)文件，徹底關(guān)閉黑客開啟的后門。