APP下载

各个击破 拒当“肉鸡”

2015-12-03

网络安全和信息化 2015年8期
关键词:木马路由器进程

分析可疑流量 发现隐藏木马

黑客在控制肉鸡过程中,会产生较大的网络数据流量,通过对其进行检测分析,可以找出可疑的网络连接,并可以准确判断木马的踪迹。利用防火墙软件(例如Comodo防火墙、ZoneAlarm防火墙等)都提供了网络检测功能,可以发现异常的数据流量信息。这里使用360流量防火墙为例进行说明,在360安全位置的全部工具窗口中的“网络优化”栏中点击“流量防火墙”项,在打开窗口(如图1所示)中的“管理网速”面板中右下角的“下载速度”和“上传速度”栏中查看当前的数据收发信息,或者点击桌面上的360安全卫士悬浮窗,在360安全球中的“网速”面板中查看上传和下载的数据总量信息,如果没有进行任何网络操作,却发现传输的流量异常增大的话,就需要引起警觉了。在流量防火墙中的“管理网速”面板中查看当前处于活动状态的网络程序收发数据的实时信息。双击其中的可疑程序,在弹出窗口中查看其详细信息,包括文件路径、已下载和已上传流量、建立的网络连接数量等。点击“结束进程”按钮,可以关闭该可疑进程。

在“网络连接”面板中显示所有的网络连接信息,包括活动进程、协议类型、本地IP和端口、远程IP和端口、远程机地址、连接状态等。如果您没有使用网络软件连接任何主机,却发现存在可疑的连接,而且在其“安全等级”列中显示非安全标记,就说明本机已经成为肉鸡了。在可疑连接上打开管理菜单,可以执行关闭进程、查看信息、定位文件、查看文件属性等操作。找到木马文件后,可以将其删除。如果无法删除,可以使用IceSword、Wsyschk等工具,将其强制删除。如果定位到的是正常进程,说明DLL木马已经注入到其内部,使用IceSword、Wsyschk等工具查看该进程内部的DLL模块,将其找出并卸载删除,具体的操作很简单不再赘述。

切断黑客的非法连接

黑客要想控制肉鸡,必须开启相关的网络端口,如果您没有安装体积庞大安全软件,也可以使用TCPView这款小巧的工具来检测可疑连接。在该程序主界面(如图2所示)中可以让所有的网络连接一览无遗,在对应连接的“Status”列中如果 显 示“Listening”项,表示其处于监听状态,显示为“Established”项,表示已经建立了连接。显示为“Time_Wait”项,表示该连接已经使用过,但访问已经结束了。对于可疑连接(尤其是以红色显示的),可以在其右键菜单上点击“End Process”项,将其关闭,或者点击“Process Properties”项来定位可疑文件。

图1 观察网络流量信息

图2 查看网络连接信息

值得注意的是,如果某个网络端口发生数据交换,TCPView会以醒目的颜色来提示。当然,也可以在命令提示符窗口中执行“netstat –ano”命令,来查看当前的网络连接信息。对于发现的可疑连接,根据其进程编号,可以在任务管理器中找到对应的进程。为了缩小查看范围,也可以执行“netstat p TCP”命令,来查看TCP网络连接信息等。当然,对于拿不准的程序,可以打开“http://www.virscan.org/”之类的网站,对其进行在线检测来判定其真实身份。

当没有进行任何操作却发现硬盘等狂闪时,说明有程序在后台执行大数据量的读写操作。对于Windows 7来说,可以点击“Ctrl+Shift+ESC”键,在资源管理器中的“性能”页面下点击“资源监视器”项,在弹出窗口中可以查看CPU、内存、硬盘等硬件资源的使用情况。如果想找出频繁读写硬盘的程序,可以在“磁盘”面板查看各进程读取或者写入硬盘的速度信息,据此来发现可疑程序。

在一般情况下,除了“SYSTEM”和杀毒软件等正常进程外,其它进程是不会经常读写硬盘的,如果发现有来历不明的进程在疯狂读写数据,就说明其很有可能是潜伏的病毒木马。在“映像”栏中选择可疑进程,在“磁盘活动”栏中可以查阅其读写了文件信息,对于病毒木马来说,可以据此来追踪其释放或者创建的可疑文件,并据此信息将其全部删除。

找出进程中的“不法分子”

不管黑客放置的木马如何狡猾,其必须运行后才能发挥威力。使用Process Explorer这款进程管理利器,可以让病毒木马进程暴露无遗。在其主界面中动态显示全部进程信息(如图3所示),对于不同类型的进程,Process Explorer会以不同的颜色以树形结构进行显示。对于经过名称伪装的进程,例如“expl0rer.exe”之类的,通过仔细查看不难发现其踪迹。对于拿不准的可疑进程,可以在其右键菜单上点击“Check Virustotal”项,进行在线检测。另外,Process Explorer会将系统进程或者一般进程分别显示,系统进程包括“svchost.exe、winlogon.exe、spoolsv.exe”等,其运行权限都比较高。而explorer.exe”之类的就属于一般进程,如果在这些一般进程发现了看似系统级别的进程(例如“svchost.exe”等),那么毫无疑问这就是冒牌的病毒木马进程。点击菜单“Options”→“erify Image Signatures”项,可以检测进程的数字签名信息,据此也可以发现来历不明的不法进程。对于DLL木马来说,可以点击“Ctrl+L”键,来打开DLL模块显示面板,选择对应的进程,在其中查看其加载的DLL文件信息,在可疑模块上点击右键,利用弹出菜单可以执行查看属性、在线搜索、病毒检测等操作。

利用360安全卫士,还可以对进程进行有效的安全认证。在其自带的工具中启动360任务管理器,在“运行中程序”面板(如图4所示)中显示全部进程信息,包括名称、CPU占用率等内容。在“磁盘读写”列显示不同进程读写硬盘的速度,配合“是否占资源”列中显示内容,可以很容易找出疯狂占用硬盘资源的不法程序。在“网速”列可以很容易发现过度占用流量的可疑程序。在“云检测”列中显示不同进程的安全检测评估,对于非安全的进程,需要重点排查。

图3 查看进程信息

图4 快速发现可疑进程

对于不法进程,利用其管理菜单可以实现关闭、设置优先级、定位文件查看数据、查看模块等操作。点击“显示进程加载的模块”按钮,可以查看选中进程加载的DLL模块信息,从中不难发现DLL木马等踪迹。

发现并清除免杀型木马

黑客之所以能够控制肉鸡,很重要的一点是使用了免杀技术,让病毒木马可以逃过安全软件的监控,对付免杀型病毒木马,的确是比较麻烦的事情。不过,这类特殊的病毒木马并非无法探测,使用一些专用的安全软件,同样可以让其显出原形。例如,使用无毒空间这款安全工具,就可以对系统执行深入分析,来捕获可疑程序。当其安装运行后,会对全盘进行扫描,来发现隐藏的可疑文件。在其主界面中显示搜索到的可疑文件,在对应可疑文件的右键菜单上点击“禁止”项,可以禁止其运行,点击“删除”项,可以将其删除。

对于已经运行的而且无法直接禁止的可疑程序来说,可以对其拦截屏蔽后重启系统,让其彻底失去活力,无法对系统构成威胁。

在系统托盘中的无毒空间的右键菜单上选择“实时拦截”项,可以对病毒木马的活动进行监控和拦截。在其主界面中点击“定位”按钮,可以找到目标程序,点击“监视”按钮,所有的不法程序只要有所行动,就会被无毒空间捕获。点击“分析”按钮,可以对所有的启动项目进行检测分析,并自动锁定加载的可疑度较大的启动文件。例如,对于文件名异常、运行路径复杂、体积较大、厂商版本信息不全的程序尤其需要防范和清除。

清除黑客暗藏的隐形账户

当黑客入侵得手后,为了实现长期控制肉鸡的目的,会利用已经开启(或者非法开启)的终端服务,对肉鸡进行远程控制,为了实现登录操作,黑客可能会在其中创建隐形账户,来逃避用户的检测,使用LP_Check可以让克隆账户彻底现出原形。在LP_Check主窗口中列出所有存在的账户,如果在列表中对应账户的“Result”列中显示为“Shadow Administrator”项,就表示该账户被克隆了。同时在窗口底部的“Result”栏中显示存在的克隆账户的数量,仅仅发现克隆账户还不够,关键是将其清除。

实际上,所有账户的配置信息全部保存在注册表中,但是只能拥有System账户身份才能显示和清除克隆帐号。

借助于“PsExec”这款小工具,您就可以轻松拥有SYSTEM帐户权限。将“Psexec.exe”复制到系统文件夹中,之后在CMD窗口中执行命令“psexec-id-s %windir% egedit.exe”,回车后自动打开注册表编辑器,此时是以SYSTEM账户的身份运行注册表编辑器的,在其中展 开“HKEY_LOCAL_MACHINESAMSAMDomainsAccountUsersNames”分支,在其下可以看到所有的账户信息,克隆账户赫然在列,在克隆账户名称的右键菜单上点击“删除”按钮,即可将其从系统中彻底删除。

判读安全日志 发现黑客踪迹

其实,对安全日志进行检测,也可以及时发现黑客的踪迹。运行“gpedit.msc”程序,在组策略窗口左侧点击 “计算机配置”→“Windows设置”→“安全设置”→“本地策略”→“审核策略”项,在右侧窗口中针对“审核策略更改”、“审核登录事件”、“审核账户登录事件”、“审核账户管理”等项分别开启“成功”和“失败”审核项目。这样,当黑客执行扫描操作、远程登录、添加账户等操作时,就会被系统日志记录下来。

通过运行“eventvwr.msc”程序,在事件查看器窗口左侧选择“安全性”项,在右侧窗口中可以看到所有的安全审核事件,其中就包括针对病毒文件的审核事件。双击对应的事件项目,可以查看其详细信息。如果发现黑客入侵的痕迹,就需要使用各种安全工具,对系统进行全面检测,将木马等潜伏分子一网打尽。

当然,黑客也可能采取删除日志的方法,例如,将“C:WindowsSystem32Config”文件夹中的三个“.EVT”文件删除,这样就清空了日志信息。不过当其在删除日志文件的同时,系统也会自动常见一条日志信息,用来记录入侵者删除日志的行为。因此,如果发现日志信息莫名其妙地消失,或者只剩下一条记录(或是干脆连最后一条日志也消失),就可以断定本机已经变成了黑客的肉鸡了。

让主机远离“肉鸡”之列

为了避免让自己的电脑变成肉鸡,最重要的是要加固安全防范措施,截断黑客入侵的通道。

一般来说,黑客要想获得并控制肉鸡,常用的手段是散播病毒或者木马,感染远程主机后执行入侵操作,或者对目标机进行扫描检测,发现其存在的漏洞,进入执行入侵动作,并在其上秘密开启端口建立非法连接。所以,对其最直接的防御方式是安装强悍的杀毒软件,并及时升级病毒库,来发现和识别新的病毒木马。

实际上,当病毒木马入侵后也会对杀毒软件进行破坏,终止其运行或者让其无法正常工作,破坏其升级机制,让其无法顺利升级病毒库。例如其会采用映像劫持技术、屏蔽杀毒软件运行等。如果发现杀毒软件运行异常,应该对系统进行深入检查。

防止黑客和目标主机之间建立连接,需要在系统中安装防火墙软件,在本机和外界之间建立安全屏障。尤其是对于没有及时安装系统补丁的用户来说,防火墙软件是保护系统安全的可靠卫士。虽然系统已经内置了防火墙,而且在Windows7/8等系统中,防火墙的功能已经得到强化,不过同专业的防火墙软件相比,其功能显得比较单一,如果采用默认配置,可能无法有效阻挡黑客的攻击。所以,为了提高安全性,需要使用更加专业的防火墙软件。在实际选择防火墙软件时,需要考虑功能较多的产品,例如不仅可以监控针对外网或者内网的访问动作,还应该拥有自动关闭危险端口、防止恶意扫描。有对各种危害系统安全的行为(例如修改系统配置信息、修改删除系统文件、修改注册表等)进行监控的功能,

除了防止外界攻击外,防止来自内网的攻击也不可忽视,很多网络很强调对外部攻击的防御,而忽视了对内网安全的重视。例如一旦别有用心的用户发起ARP攻击,就会严重威胁内网安全。使用360安全卫士提供的局域网保护功能,就可以有效提高主机在内网中的安全性。在360流量防火墙界面中点击“局域网防护”按钮,之后点击“立即开启”按钮,就可以激活局域网防火墙,可以执行抗击断网掉线攻击,防止泄漏隐私信息,抗击非法控制网络访问行为等操作。

为了抵御ARP攻击,可以安装各种ARP防火墙软件。对于危险的端口(例如3389等),为了防止黑客恶意利用,在不需要的情况下,最好将其关闭。利用系统自带的安全策略,就可以将指定的端口彻底封锁起来。执行“gpedit.msc”命令,在组策略编辑器中依次展开“计算机配置”→“Windows设置”→“安全设置”→“IP安全策略”分支,在右侧窗口中的右键菜单中点击“创建IP安全策略”项,之后按照提示,就可以创建并指派对应的策略,具体操作比较简单这里不再赘述。

黑客之所以入侵得手,很大程度上是利用了系统存在的各种漏洞的缘故。因此,及时修复漏洞就显得很重要了。

漏洞基本上分为系统漏洞和应用程序漏洞两种,相对而言,应用软件漏洞的利用会受到较多的环境制约,风险一般较低,而Windows系统漏洞危险度较高,很容易被黑客作为入侵的突破口。

利用一些安全工具,可以高效完整地修改各种系统漏洞。例如在360安全卫士主界面中点击“查杀修复”按钮,在弹出界面中点击“漏洞修复”按钮,在漏洞管理界面中勾选全部漏洞,包括高危漏洞、软件安全更新、可选的高危漏洞补丁,其它及功能性更新补丁的,点击“立即修复”按钮,就可以将所有的漏洞全部补上。相比系统自带的更新功能,其速度和易用性都好得多。

在安装系统时,如果您使用的是第三方的定制版安装包,虽然利用其提供的自动安装技术,可以加速安装进程。不可忽视的是,其默认的管理员密码一般为空,为了安全起见,最好运行“lusrmgr.msc”程序,为管理员设置复杂的密码。

为了防止优盘等移动设备中潜伏在病毒木马侵入系统,除了使用杀毒软件进行防御外,最好关闭系统的自动播放功能。执行“gpedit.msc”程序,在组策略编辑器中选择“计算机配置”→“管理模板”→“Windows组件”→“自动播放策略”,在右侧窗口中双击“关闭自动播放”项,将其设置为“已启用”,并将下方的关闭对象设置为“所有驱动器”,重启系统后就可以关闭自动播放功能。为了防止网页木马乘虚入侵,最好使用安全性较高的浏览器(例如360安全浏览器、猎豹浏览器等)来降低安全风险,或者在虚拟环境中上网冲浪。例如使用360安全卫士提供的隔离沙箱功能,将浏览器放置在虚拟环境中运行,让网页木马无法破坏真实的系统。

现在很多用户都是通过无线路由器上网的,但是家用的无线路由器往往因为错误设置、固件存在问题等原因会出现潜在的安全漏洞,一旦被黑客盯上,就会使其通过路由器实现入侵操作。这种情况下,无线路由器也成了肉鸡,黑客可以借助其为跳板,对内网主机进行渗透攻击。

一些无线路由器提供了远程Web管理功能,如果将其错误开启,就会招致黑客的攻击。

此外,在某些品牌的无线路由器上还存在着Telnet登录功能,而且该功能处于隐藏状态,一般用户对此并不知情。因为Telnet开启的是23端口,黑客使用扫描器对指定范围内的IP进行扫描,检测其23号端口开启状态,可以很轻松地找到这类路由器甚至是网关或者服务器。在一般情况下,无线路由器的账户名和密码都是固定不变的,例如Root、Admin等。用户往往懒得修改密码,这就为黑客入侵提供了便利,黑客使用Telnet命令连接到目标路由器后,很容易通过安全认证操作,这样内网主机就暴露在黑客面前了。所以,可以利用SuperScan等扫描器对自己的外网地址进行扫描,检测是否开启了23端口,如果开启的话必须修改路由器登录密码。

猜你喜欢

木马路由器进程
买千兆路由器看接口参数
维持生命
小木马
骑木马
路由器每天都要关
路由器每天都要关
债券市场对外开放的进程与展望
小木马
改革开放进程中的国际收支统计
旋转木马