關于黑客攻擊中遠程控制的原理和防范

摘要：隨著信息化不斷發展，黑客利用這些信息系統的各種漏洞進行黑客攻擊，造成了國家、企業和人民的大量損失，本文通過對黑客攻擊中遠程控制原理介紹，可對防范研究提供技術支撐。

關鍵詞： 黑客? ?遠程控制? ?防范

中圖分類號：G4 文獻標識碼：A

隨著信息化社會不斷的發展，各種信息化基礎設施不斷完善，各種信息化系統有了蓬勃的發展，隨之而來也出現了很多安全問題，有不少黑客利用這些信息系統的各種漏洞進行黑客攻擊，造成了國家、企業和人民的大量損失。在黑客攻擊中，遠程控制攻擊是危險性最高，破壞性最大的一種攻擊。黑客一旦完成了遠程控制，就可以進行竊取用戶數據、盜取用戶賬號、破快用戶系統和勒索等破壞性行動。

遠程控制的原理主要就是要在客戶主機安插一個木馬，木馬的安插方式多種多樣，五花八門。但是木馬的主要作用是一樣的，都是通過TCP和遠端的黑客建立連接，從而讓黑客能夠控制受害設備。在這個遠程控制的原理中，有兩種方式。一種方式稱為主動模式，這種模式需要讓木馬在受害主機運行，并且在受害主機使用socket監聽一個TCP端口，然后黑客計算機通過TCP嘗試連接受害主機的對應端口號，連接成功就可以進行控制。當然這里的主動模式，還有WEB服務這種情況，這種情況需要生成PHP或者JSP的木馬。

主動控制

另一種被稱為被動模式，這種模式需要在黑客計算機使用socket監聽一個TCP端口，然后設法讓木馬在受害主機運行，這個木馬會使用socket的TCP連接去嘗試連接黑客主機對應的端口號，如果連接成功，受害主機就會被黑客控制。

被動控制

在上述的遠程控制過程中，首先需要考慮黑客是如何制作和植入一個木馬到受害主機上的。最快速直接的方式可以使用kali linux來進行生成，也可以使用各種編程語言自己編寫。

這里黑客一般會根據目標主機的操作系統來生成對應的木馬。比如windows操作系統的木馬，Linux操作系統的木馬，android操作系統的木馬和ARM嵌入式設備上運行的木馬。同時對于一些WEB應用也可以生成對應的木馬，比如對于jsp可以生成java木馬，對于php可以生成php木馬。至于木馬如何才能植入受害主機呢？一種方式，黑客會利用一些系統的文件上傳漏洞進行木馬的上傳。還有一種方式，黑客會制作惡意的URL鏈接，通過惡意網站，劫持網站和發送短信等各種方式誘導受害者點擊鏈接，從而在受害者主機植入木馬。各種各樣的木馬層出不窮，應該如何防范呢？首先，我們應該在我們的計算機設備上安裝殺毒軟件，這些殺毒軟件擁有自己的木馬病毒庫，能夠對文件系統中存在的木馬進行掃描和確認。同時他們的病毒庫也在不斷更新，確保對于潛在的木馬病毒具有較高的識別率。作為一般用戶，也要養成良好的上網習慣。使用瀏覽器時，不要訪問可疑網站，不要點擊可疑鏈接。

主動模式中防火墻可以阻止黑客

目前流行的殺毒軟件都會對用戶操作系統的文件系統中的文件進行掃描，找出可疑的木馬，并且刪除，從而免除系統被控制的危險。這些殺毒軟件會分析程序文件的編碼特征來判斷目標文件是否是一個木馬文件。然而新的木馬層出不窮，黑客也會不斷想出新的方式來進行代碼混淆，導致殺毒軟件無法識別出這些新型木馬。所以對于殺毒軟件的選擇，我們也要慎重，要選擇的殺毒軟件應該具有完善的病毒編碼特征庫，同時這些病毒編碼特征庫應該有一個安全團隊在維護，確保特征庫能夠不斷更新，從而達到對于新型木馬也有很好的識別率。

除了硬盤上的木馬，還有可能存在繞過硬盤直接在內存運行的木馬，這種木馬攻擊方式主要是利用了操作系統的漏洞或者是操作系統上安裝運行了的軟件的漏洞。這里我們說的操作系統可以是Windows操作系統（主要見于個人計算機），也可以是Linux操作系統（主要見于互聯網服務器、企業服務器）。軟件可以是一切安裝在Windows或者Linux上的軟件。

比如永恒之藍漏洞就是Windows操作系統的一個著名漏洞，2017年4月，黑客組織公布了一大批網絡攻擊工具，其中就有“永恒之藍”的漏洞利用工具，這個工具利用Windows的SMB漏洞獲取操作系統的最高權限。惡意工具會通過掃描尋找開放了445端口的Windows計算機，用戶計算機只要是開機狀態和聯網狀態，不需要用戶的任何操作，黑客就可以在受害計算機中運行遠程控制木馬。這種木馬是一段shellcode，由黑客通過網絡發送數據到達受害計算機，并且在受害計算機的內存中執行了，配合黑客計算機達到遠程控制的目的。

上面的漏洞是操作系統級別的漏洞，應用軟件由于種類繁多，應用廣泛，如果編寫軟件的代碼存在不規范，就會出現可以利用的漏洞。比如EasyFileSharing在2015年被發現的一個漏洞。還有vsftpd-2.3.4上存在的笑臉漏洞。黑客首先研究這些漏洞，精心設計好一串數據，發送給運行了有漏洞的軟件的受害計算機，覆蓋進程中函數調用的返回地址，劫持進程的運行流程，讓進程執行一段黑客指定的shellcode（也就是運行一個內存木馬），配合黑客計算機達到遠程控制的目的。

這種攻擊方式就是黑客們常常研究的棧溢出攻擊。黑客通過研究進程運行時函數調用和返回的原理，再結合反匯編技術，計算出緩沖區起始位置到達函數棧中返回地址的具體偏移量。構造字符串，利用程序漏洞覆蓋函數調用棧中的返回地址，改變進程的執行內容，從而劫持進程，這個過程主要有四種方式。

第一種，覆蓋返回地址，讓它指向棧溢出數據串中的一段指令（shellcode）。這種方式需要在棧溢出數據中包含一段二進制攻擊指令，并且用使用攻擊指令的開始地址覆蓋掉返回地址的值。攻擊指令的作用一般都是運行之后會打開一個shell，進而獲得了當前進程的具體控制權，shellcode的生成方式有很多種，可以用匯編語言寫好代碼片段，然后轉化成對應的機器碼。也可以使用kali Linux 中的工具來生成。

第二種，Return2libc，修改函數返回地址，讓它指向內存中某個已存在的函數。首先，在內存中確定某個函數的地址，并且用這個地址的值覆蓋掉返回地址。由于libc這個動態鏈接庫被十分廣泛的應用，這個庫中包含了一些重要的系統函數，如果能夠運行這些系統級函數，就可以獲得當前進程的控制權。

第三種，return oriented programming，這個方法修改返回地址，讓它指向內存中已經存在的一段二進制指令。首先需要在內存中確定某一段二進制指令的內存地址，并用這個地址覆蓋返回地址，如果我們需要達成的目標操作沒有某個特定的函數可以完全滿足要求，我們此時就需要在內存中搜索多個二進制指令片段，拼接一系列二進制代碼片段來完成目標功能。

第四種，Hijack GOT，主要需要修改程序中某個調用函數的地址，讓它指向我們需要的函數。首先，我們要弄清楚函數調用發生時，調用者是怎樣找到被調用者，進行調用的。接著，在內存中修改我們選中函數的內存地址，使它指向我們需要的函數。

被動模式和主動模式雖然都可以達到遠程控制的目的，但是他們的應用場景和特點卻有很大的不同。在主動模式中，我們是在受害主機打開了一個TCP端口的監聽，黑客進行主動的連接，這里要求滿足兩個基本條件，黑客才能成功進行控制。第一，受害主機擁有一個可以訪問的公網IP;第二，受害主機的防火墻對這個特定的TCP端口的流量進行了放行操作（這個防火墻可以時iptables這種主機防火墻，也可以是硬件防火墻）。如果這個受害主機是一個私網設備，沒有公網IP，那么第一個基本條件不滿足，黑客無法成功控制受害主機。如果受害主機的防火墻進行了相應的防護，拒絕了除了業務端口以外所有端口的流量，那么第二個條件不滿足，黑客也無法成功控制受害主機。在被動模式中，黑客計算機會監聽一個TCP端口，在受害主機運行木馬用TCP主動連接黑客計算機對應TCP端口，完成黑客的遠程控制。這種模式下，不會在受害主機監聽一個TCP端口，防火墻的入方向的流量拒絕不能起到防護作用，也不需要·受害主機擁有一個公網IP，黑客想要形成遠程控制相對容易。所以我們應當在我們的計算機設備上安裝殺毒軟件，對可疑的木馬進行掃描。這種模式下，木馬程序中會包含黑客的公網IP，可以作為網警破案的證據。

Metasploit和Meterpreter是黑客最喜歡用的兩個工具，其中Metasploit是高度的模塊化的軟件工具，整個框架由多個模塊組成，是一款開放源代碼的漏洞測試工具和安全漏洞利用工具，整個框架集成了各種平臺和應用軟件上的常見漏洞，可以使用msfvenom工具生成可以在各種平臺運行的shellcode，包括服務器操作系統（Linux，centos，debian，ubuntu，Windows Server），移動設備（Android），嵌入式設備（ARM，solaris）和個人計算機（WindowsXP，Windows7，Windows10）等，shellcode的payload類型運行起來的作用一般相當于一個Meterpreter遠程被控端，metasploit本身就帶有數百個已經發現的應用軟件漏洞的相應的專業級漏洞利用攻擊工具模塊，配合不同硬件平臺的shellcode，可以對不同的硬件平臺上的操作系統和應用軟件進行滲透測試。

Meterpreter主要用于在獲取到了目標計算機訪問的權限之后，進行后期的滲透測試，具有平臺通用性，命令格式與Linux的命令行和Windows的CMD兼容，可以采用純內存工作模式，在執行漏洞滲透的攻擊操作時會直接把meterpreter的動態鏈接庫裝載到目標進程的內存空間中，使得meterpreter的被控端啟動和運行十分的隱蔽，傳統的硬盤掃描型殺毒軟件很難檢測出來。而且meterpreter會對meterpreter主控端和meterpreter被控端之間的通信流量進行加密。而防火墻很難識別出加密的流量。Meterpreter的這些特性大大增加了防控難度。建議使用有內存監控和進程監控功能的殺毒軟件，對所有進程進行監控，通過進程對TCP端口的使用情況，以及進程運行內存空間的二進制代碼，來識別可疑的木馬進程。

Meterpreter為了隱藏自己的進程，也有很多其他的技術手段，Meterpreter可以使用execute命令打開一個windows已經安裝好的應用程序，比如記事本（對應notepad.exe這個應用程序文件），命令行窗口（對應cmd.exe這個應用程序文件），計算器（對應calculator.exe這個應用程序文件），execute命令通過-H參數的使用，可以在后臺啟動這些應用程序，不會在受害機的前臺桌面顯示。這樣就可以很好的隱藏，受害計算機如果通過任務管理器查看進程列表，看到名字是notepad.exe或者cmd.exe，就不會產生懷疑，同時，meterpreter有一個migrate命令，可以讓meterpreter被控端的內存木馬進行進程遷移，通常黑客都是利用某個應用軟件的漏洞進行滲透攻擊，如果攻擊成功，meterpreter被控端木馬就會在這個有漏洞的應用程序的內存空間運行，這個時候黑客已經完成了遠程控制，控制會話（session）就已經建立好了，但是一旦這個有漏洞的應用程序被關閉或者相應的進程被結束，meterpreter被控端的木馬就會隨著一起結束運行，黑客建立好的遠程控制會話就會被斷開，黑客為了避免這種情況發生，會使用migrate進行meterpreter內存木馬的進程遷移，可以遷移到使用execute命令打開的notepad.exe或者cmd.exe進程中，相應的進程編號可以使用ps |? grep notepad.exe 進行查詢。黑客甚至可以使用migrate命令遷移木馬進程到Windows操作系統的explorer進程中，explorer是Windows操作系統中的文件資源管理器和程序管理器，主要用來管理Windows操作系統的圖形殼，這個圖形殼包含了文件管理和桌面管理，如果這個進程被終止，會導致Windows圖形界面無法使用。如果黑客利用migrate命令把木馬病毒附著到了explorer進程上就可以得到一個穩定運行的木馬，從而得到一個穩定的遠程控制會話。這個時候，受害計算機如果想要擺脫黑客計算機的遠程控制，只能對計算機進行重啟操作。重啟之后，黑客對于受害計算機就失去了遠程控制。通過遠程控制工具的控制持久化方案，可以確保，即使受害計算機進行了重啟，黑客依然可以獲得遠程控制會話。

相應的Meterpreter這個工具提供了控制持久化的方案，一種通過受害計算機上的服務啟動，另一種是會通過啟動項進行啟動。通過服務進行啟動的方式，相對來說命令較為簡單，這個后門不會進行反向回連，而是在受害計算機啟動之后開啟一個服務來等待黑客的計算機來主動連接，缺點也較為明顯，如果其他黑客掃描到了這個服務，同樣可以通過這個后門進入這臺受害計算機。另一種方式，是通過啟動項進行啟動的方式（persistence），它的缺點是使用的參數相對較為復雜，一些特定的權限問題可能導致設置失敗，沒有相應的錯誤信息返回顯示，有一定的可能性導致失敗的持久化控制。這種方式是在目標計算機上通過反向TCP的方式去主動連接黑客的TCP服務端。因為這種流量對于目標計算機來說屬于出方向流量，所以目標計算機上的防火墻對于這樣的流量的一般操作是放行。相應的后門的存活率較高。

為了應對這種持久化控制的威脅，在我們的計算機上安裝殺毒軟件，并且及時更新病毒庫，定期掃描C盤，刪除可疑的木馬文件（VBScript 文件），要及時的關注操作系統和應用程序不同版本中可能存在的漏洞，及時的更新操作系統和應用軟件的版本。同時，選擇的殺毒軟件最好具有進程監控的能力，對于一些進程行為進行追蹤。

參考文獻

[1]計算機網絡系統安全維護策略研究[J]. 黃明源.? 網絡安全技術與應用. 2021（07）

[2]網絡工程中的安全防護技術的思考探討[J]. 李蔚耀.? 數碼世界. 2020（05）

作者簡介：萬松 ，性別：男，出生年月：1982年4月出生，籍貫：江西南昌人，民族： 漢， 學歷：碩士，? 講師，研究方向：計算機網絡;

基金項目：2020年度江西省教育廳科學技術課題“基于CTF平臺的Web網絡安全研究”（一般項目）

課題項目編號：205105。