黑客攻防實(shí)戰(zhàn)：Windows系統(tǒng)克隆攻擊與防范

隨著電腦技術(shù)的發(fā)展和電腦的普及， 還有大大小小的“駭客”網(wǎng)站和越來(lái)越簡(jiǎn)單的工具， 使得目前攻擊變得日趨頻繁， 被植入木馬的電腦或服務(wù)器也越來(lái)越多， 與此同時(shí)系統(tǒng)管理員的安全意識(shí)也在不斷提高， 加上殺毒軟件的發(fā)展， 網(wǎng)絡(luò)木馬的生命周期也越來(lái)越短， 所以攻擊者在獲取了服務(wù)器的控制權(quán)限后， 一般使用克隆用戶(hù)或者安裝SHIFT后門(mén)達(dá)到隱藏自己的目的， 下面就由我給大家介紹一些常見(jiàn)的克隆用戶(hù)和檢查是否存在克隆用戶(hù)及清除的方法。 一、克隆賬號(hào)的原理與危害1.克隆賬號(hào)的原理在注冊(cè)表中有兩處保存了賬號(hào)的SID相對(duì)標(biāo)志符， 一處是注冊(cè)表HKEY_LOCAL_MACHINE\SAM\AMDomains\AccountUsers 下的子鍵名， 另一處是該子鍵的子項(xiàng)F的值。 但微軟犯了個(gè)不同步它們的錯(cuò)誤， 登錄時(shí)用的是后者， 查詢(xún)時(shí)用前者。 當(dāng)用Administrator的F項(xiàng)覆蓋其他賬號(hào)的F項(xiàng)后， 就造成了賬號(hào)是管理員權(quán)限， 但查詢(xún)還是原來(lái)狀態(tài)的情況， 這就是所謂的克隆賬號(hào)。 安全小知識(shí)：SID也就是安全標(biāo)識(shí)符（Security Identifiers）， 是標(biāo)識(shí)用戶(hù)、組和計(jì)算機(jī)賬戶(hù)的唯一的號(hào)碼。 在第一次創(chuàng)建該賬戶(hù)時(shí)， 將給網(wǎng)絡(luò)上的每一個(gè)賬戶(hù)發(fā)布一個(gè)唯一的 SID。 Windows 2000 中的內(nèi)部進(jìn)程將引用賬戶(hù)的 SID 而不是賬戶(hù)的用戶(hù)或組名。 如果創(chuàng)建賬戶(hù)， 再刪除賬戶(hù)， 然后使用相同的用戶(hù)名創(chuàng)建另一個(gè)賬戶(hù)， 則新賬戶(hù)將不具有授權(quán)給前一個(gè)賬戶(hù)的權(quán)力或權(quán)限， 原因是該賬戶(hù)具有不同的 SID 號(hào)。 2. 克隆賬號(hào)的危害當(dāng)系統(tǒng)用戶(hù)一旦被克隆， 配合終端服務(wù)， 就等于向攻擊者開(kāi)啟了一扇隱蔽的后門(mén)， 讓攻擊者可以隨時(shí)進(jìn)入你的系統(tǒng)， 這一扇門(mén)你看不到,因?yàn)樗�依靠的是微軟的終端服務(wù)， 并沒(méi)有釋放病毒文件， 所以也不會(huì)被殺毒軟件所查殺。 二、克隆用戶(hù)的常用方法1.手工克隆方法一在Windows 2000/xp/2003和Windows NT里， 默認(rèn)管理員賬號(hào)的SID是固定的500（0x1f4）， 那么我們可以用機(jī)器里已經(jīng)存在的一個(gè)賬號(hào)將SID為500的賬號(hào)進(jìn)行克隆， 在這里我們選擇的賬號(hào)是IUSR_XODU5PTT910NHOO（XODU5PTT910NHOO為已被攻陷的服務(wù)器機(jī)器名。 為了加強(qiáng)隱蔽性， 我們選擇了這個(gè)賬號(hào)， 所有用戶(hù)都可以用以下的方法， 只不過(guò)這個(gè)用戶(hù)較常見(jiàn)罷了）我們這里要用到的一個(gè)工具是PsExec， 一個(gè)輕型的 telnet 替代工具， 它使您無(wú)需手動(dòng)安裝客戶(hù)端軟件即可執(zhí)行其他系統(tǒng)上的進(jìn)程， 并且可以獲得與控制臺(tái)應(yīng)用程序相當(dāng)?shù)耐耆�交互性�? PsExec 最強(qiáng)大的功能之一是在遠(yuǎn)程系統(tǒng)和遠(yuǎn)程支持工具（如 IpConfig）中啟動(dòng)交互式命令提示窗口， 以便顯示無(wú)法通過(guò)其他方式顯示的有關(guān)遠(yuǎn)程系統(tǒng)的信息。 執(zhí)行：psexec -i -s -d cmd運(yùn)行一個(gè)System的CMD Shell， 如圖1所示。 圖1得到一個(gè)有system權(quán)限的cmd shell， 然后在該CMD Shell里面運(yùn)行“regedit /e admin.reg HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\000001F4”， 這樣我們將SID為500（0x1f4）的管理員賬號(hào)的相關(guān)信息導(dǎo)出， 如圖2所示。 圖2然后編輯admin.reg文件， 將admin.reg文件的第三行HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\000001F4中的“1F4”修改為IUSR_XODU5PTT910NHOO的SID， 將文件中的“1F4”修改為“3EB”， 如圖3所示。 圖3保存之后， 然后執(zhí)行如下命令：“regedit /s admin.reg”， 導(dǎo)入該admin.reg文件， 最后執(zhí)行“net user IUSR_XODU5PTT910NHOO n3tl04d”命令， 修改IUSR_XODU5PTT910NHOO的密碼為n3tl04d。 這里建議最好使用14位的密碼， 也就是說(shuō)越像 IUSR_XODU5PTT910NHOO的密碼越好， 現(xiàn)在， 就可以使用IUSR_XODU5PTT910NHOO密碼為n3tl04d遠(yuǎn)程登錄了， 和管理員一樣的配置環(huán)境！如圖4所示。 圖4注意：大部份機(jī)器里IUSR_MACHINE用戶(hù)的SID都為0x3E9（如果機(jī)器在最初安裝的時(shí)候沒(méi)有安裝IIS， 而是自己創(chuàng)建了賬號(hào)后再安裝IIS就有可能不是這個(gè)值了）， 如果不確定， 可以使用：“regedit /e sid.reg HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names\IUSR_MACHINE”命令先導(dǎo)出注冊(cè)表， 然后編輯sid.reg文件， 就可以看到SID為“3EB”， 如圖5所示。 圖5 2.手工克隆方法二另外一種克隆賬戶(hù)的方法是：首先運(yùn)行regedt32.exe， 展開(kāi)注冊(cè)表到HKEY_LOCAL_MACHINE\SAM\SAM， 然后點(diǎn)菜單欄的“編輯”→“權(quán)限”（Windows 2000是菜單欄的“安全”→“權(quán)限”）， 會(huì)彈出“SAM的權(quán)限”窗口， 點(diǎn)擊Administrators， 在該窗口中勾選允許完全控制， (Windows 2000是在該窗口中勾選“允許將來(lái)自父系的可繼承權(quán)限傳播給該對(duì)象”)然后點(diǎn)擊“確定”按鈕。 如圖6所示。 圖6再找到HKEY_LOCAL_MACHINE\SAM\SAM\DomainsAccount\Users\00001F4， 雙擊右邊窗口中的“F”項(xiàng)， 如圖7所示。 圖7選取全部?jī)?nèi)容， 然后點(diǎn)擊鼠標(biāo)右鍵選“復(fù)制”， 再打開(kāi)HKEY_LOCAL_MACHINE\SAM\SAM\DomainsAccount\Users\00003EB下的F項(xiàng)， 將剛才復(fù)制的內(nèi)容粘貼進(jìn)去， 這樣我們就將IUSR_XODU5PTT910NHOO賬號(hào)克隆成了管理員， 再將剛才SAM目錄的權(quán)限給刪掉， 以免被人發(fā)現(xiàn)。 3.使用mt克隆mt.exe是一款非常強(qiáng)大的網(wǎng)絡(luò)工具， 它主要以命令行方式執(zhí)行， 可以開(kāi)啟系統(tǒng)服務(wù)， 檢查用戶(hù)以及直接顯示用戶(hù)登陸密碼等。 它就象一把雙刃劍， 入侵者和系統(tǒng)管理員都要使用它， 但由于常被入侵者使用， 所以被很多殺毒軟件列為病毒。 關(guān)于MT的詳細(xì)測(cè)試報(bào)告可以到http://www.antian365.com/bbs/viewthread.php?tid=2786&extra=page%3D1&frombbs=1了解。 克隆用戶(hù)的用法如下：mt -clone 如：mt -clone adminstrator IUSR_XODU5PTT910NHOO如圖8所示。 圖8就是把管理員賬號(hào)administrator克隆為IUSR_XODU5PTT910NHOO賬號(hào)。 最后執(zhí)行“net user IUSR_XODU5PTT910NHOO n3tl04d”命令， 修改IUSR_XODU5PTT910NHOO的密碼為n3tl04d。 4.使用AIO克隆AIO(All In One)是WinEggDrop寫(xiě)的一個(gè)把很多小工具功能集成一體的一個(gè)“工具”， 其中有克隆用戶(hù)、修改服務(wù)的啟動(dòng)類(lèi)型、刪除系統(tǒng)賬戶(hù)、檢查系統(tǒng)隱藏服務(wù)、端口掃描和端口轉(zhuǎn)發(fā)等等。 使用AIO克隆很簡(jiǎn)單， 就是: Aio.exe -Clone 正常賬號(hào) 要被克隆賬戶(hù) 密碼如: Aio.exe -Clone Administrator IUSR_XODU5PTT910NHOO n3tl04d這樣就可以用IUSR_XODU5PTT910NHOO\n3tl04d作為管理員登錄了。 如圖9所示。 圖95.使用CA克隆ca.exe 小榕編寫(xiě)的一個(gè)遠(yuǎn)程克隆賬號(hào)工具， 當(dāng)然本地克隆也沒(méi)問(wèn)題。 用法如下：ca \\ip地址 管理員用戶(hù)名 管理員密碼 克隆的用戶(hù) 密碼 如：ca \\127.0.0.1 administrator 123456 IUSR_XODU5PTT910NHOO 123456如圖10所示。 圖106.建立隱藏賬號(hào)需要使用的工具叫adhider， 是錦毛鼠寫(xiě)的一個(gè)專(zhuān)門(mén)建立隱藏用戶(hù)的工具。 此工具有個(gè)缺點(diǎn)， 那就是當(dāng)服務(wù)器重啟后， 用戶(hù)就隱藏不了， 會(huì)在用戶(hù)管理中顯示出來(lái)。 用法如下：adhider 用戶(hù)名 密碼如：adhider n3tl04d$\123456如圖11所示。 圖11創(chuàng)建成功后就可以使用n3tl04d$\123456登錄， 得到和管理員權(quán)限。 7.使用clone克隆clone是28度的冰寫(xiě)的一個(gè)克隆工具， 只支持windows2003和windowsxp,不支持windows2000。 此工具有個(gè)缺點(diǎn)， 那就是當(dāng)服務(wù)器重啟后， 用戶(hù)就隱藏不了， 會(huì)在用戶(hù)管理中顯示出來(lái)。 用法如下：Clone.exe 用戶(hù)名 密碼如：clone n3tl04d 520mm如圖12所示。 圖12就可以使用n3tl04d\520mm登錄， 得到和管理員權(quán)限。 注意：在Windows 2003下如果使用clone克隆后， 再使用MT檢查， 會(huì)提示你沒(méi)有系統(tǒng)權(quán)限， 此時(shí)需要重啟電腦或者運(yùn)行一個(gè)有system權(quán)限的cmd才能使用MT檢查。 三、克隆用戶(hù)安全檢查與防范當(dāng)系統(tǒng)用戶(hù)被克隆之后， 更改管理員也無(wú)濟(jì)于事， 服務(wù)器上面的信息和數(shù)據(jù)還是被攻擊者隨意竊取。 所以必須把克隆的用戶(hù)清除， 再做其它方面的安全檢查。 在檢查是否存在克隆用戶(hù)前， 最好重啟一下系統(tǒng)。 對(duì)于上面第六和第七種方法克隆的， 就會(huì)在用戶(hù)管理里顯示出來(lái)了， 一看就知道。 如圖13所示。 圖13如果發(fā)現(xiàn)有克隆賬號(hào)， 可以用mt或AIO軟件進(jìn)行刪除。 1.使用MT檢查在cmd命令行下， 使用“mt–chkuser”命令， 檢查系統(tǒng)克隆賬號(hào)， 輸入命令后， 會(huì)在屏幕中輸出結(jié)果， 主要查看ExpectedSID和CheckedSID， 如果這兩個(gè)值不一樣則說(shuō)明賬號(hào)被克隆了。 如圖14所示。 圖14 從圖中可以看出， IUSR_XODU5PTT910NHOO用戶(hù)的ExpectedSID和CheckedSID不一樣， 且它的CheckedSID值是和管理員administrator的CheckedSID值一樣， 很明顯IUSR_XODU5PTT910NHOO是一個(gè)克隆的賬號(hào)。 2.使用AIO檢查不需要在system權(quán)限下也可用。 用法: Aio.exe –CheckClone， 如圖15所示。 圖15從圖可以看出， n3tl04d,n3tl04d$都是克隆的賬號(hào)。 3.使用CCA檢查CCA是小榕寫(xiě)的檢查是否存在克隆的賬號(hào)， 支持遠(yuǎn)程檢查， 但必須有管理員賬號(hào)。 用法如下：cca.exe \\ip地址 用戶(hù)名 密碼檢查本機(jī)是否存在克隆用戶(hù)， 如cca \\127.0.0.1 administrator 123456如圖16所示。 圖16從圖可以看出， n3tl04d,n3tl04d$都是克隆的賬號(hào)。 4.使用LP_Check檢查如果系統(tǒng)存在克隆用戶(hù)， 軟件將會(huì)顯示紅色。 不過(guò)此工具檢測(cè)不到使用adhider.exe克隆的用戶(hù)。 如圖17所示。 圖17只檢測(cè)到n3tl04d一個(gè)克隆的用戶(hù)（顯示紅色）,事實(shí)上還存在另一個(gè)克隆的賬號(hào)n3tl04d$， 但它沒(méi)有檢測(cè)出來(lái)。 5.手工檢查(1)對(duì)于系統(tǒng)默認(rèn)用戶(hù)， 如guest、IUSR_XODU5PTT910NHOO， 可使用“net user IUSR_XODU5PTT910NHOO”命令查看最后登錄日期， 如圖18所示。 圖18從圖可以看出， IUSR_XODU5PTT910NHOO在2008-12-4登錄過(guò)系統(tǒng)， 此賬號(hào)默認(rèn)是是顯示“上次登錄 從不”， 因此可以判定賬號(hào)已被克隆過(guò)。 (2)查看系統(tǒng)登錄日志W(wǎng)indows 2003的用戶(hù)登錄審核是默認(rèn)開(kāi)啟的， 如果有某個(gè)時(shí)間內(nèi)發(fā)現(xiàn)不明的登錄日志， 如圖19所示。 圖19在21:46左右,管理員并未登錄系統(tǒng)， 說(shuō)明有其它用戶(hù)登錄過(guò)系統(tǒng)， 點(diǎn)擊就可以看到是哪個(gè)用戶(hù)登錄了， 如圖20所示。 圖20從圖可以看出， n3tl04d$在21:46登錄過(guò)系統(tǒng)， 說(shuō)明此賬號(hào)就是被克隆的賬號(hào)了。 如果日志全沒(méi)， 管理員又沒(méi)自己刪除過(guò)， 那肯定是入侵者刪除的， 說(shuō)明系統(tǒng)肯定是被入侵了。 此方法的不好之處就是要查看日志， 如果攻擊者很少登錄的話(huà)， 就難以被發(fā)現(xiàn)。 (3)查看注冊(cè)表首先運(yùn)行regedt32.exe， 展開(kāi)注冊(cè)表到HKEY_LOCAL_MACHINE\SAM\SAM， 然后點(diǎn)菜單欄的“編輯”→“權(quán)限”， 會(huì)彈出“SAM的權(quán)限”窗口， 點(diǎn)擊Administrators， 在該窗口中勾選允許完全控制， 然后點(diǎn)擊“確定”按鈕。 再找到HKEY_LOCAL_MACHINE\SAM\SAM\DomainsAccount\Users\Names， 查看是否存在不明的用戶(hù)， 如圖21所示。 圖21此方法只能對(duì)添加新用戶(hù)克隆有效， 如果克隆的是系統(tǒng)默認(rèn)賬號(hào)， 如guest、IUSR_MACHINE等賬號(hào)， 需要導(dǎo)出兩個(gè)用戶(hù)的鍵值， 然后對(duì)比F項(xiàng)， 如果IUSR_MACHINE的F值和管理員的F項(xiàng)的值相同， 說(shuō)明已被克隆了。 如圖22所示。 圖22從圖中可以看出， 3EB的F項(xiàng)的值和管理員1F4的值是一樣， 說(shuō)明SID為3EB的這個(gè)賬號(hào)是克隆賬號(hào)。 6.刪除克隆用戶(hù)（1） 如果是系統(tǒng)默認(rèn)賬號(hào)被克隆的話(huà)， 先到一臺(tái)正常電腦上， 同樣方法， 復(fù)制相同用戶(hù)下面的F項(xiàng)的值， 如你發(fā)現(xiàn)的是IUSR_MACHINE(machine為機(jī)器名)用戶(hù)被克隆， 就打開(kāi)一臺(tái)正常電腦的注冊(cè)表， 找到HKEY_LOCAL_MACHINE\SAM\SAM\DomainsAccount\Users\000003EA， 導(dǎo)出注冊(cè)表， 保存為3EA.reg， 同樣， 回到被入侵過(guò)的電腦， 導(dǎo)入被克隆過(guò)的用戶(hù)注冊(cè)表值為3eb.reg， 接著就是把3ea.reg里面的F值復(fù)制替換3eb.reg里的F值， 再把里面的ea改為eb（改這個(gè)的原因是因?yàn)閮膳_(tái)電腦的IUSR_MACHINE用戶(hù)的SID不一樣， 如果是一樣， 就不需要更改）， 如圖23所示。 圖23保存后再導(dǎo)入注冊(cè)表， 然后在cmd下使用“net user IUSR_MACHINE n3tl04d520mm”更換密碼。 如果是添加用戶(hù)式的克隆可使用以下方法（2）使用MT刪除克隆用戶(hù)在cmd命令下輸入“mt -killuser 用戶(hù)名”如：mt -killuser n3tl04d， 成功后n3tl04d賬號(hào)就不存在了， 如圖24所示。 圖24（3）使用AIO刪除克隆用戶(hù)在cmd命令下輸入“Aio.exe -DelUser 用戶(hù)名”如: Aio.exe -DelUser n3tl04d， 成功后n3tl04d用戶(hù)就被刪除了。 如圖25所示。 圖25四、總結(jié)與探討由于條件等各方面的限制， 此次全部操作都是在Windows 2003環(huán)境下完成， 可能會(huì)有些不對(duì)的地方， 請(qǐng)大家多多指正。 如果發(fā)現(xiàn)被克隆， 有人說(shuō)要重裝系統(tǒng)， 個(gè)人認(rèn)為那是不明智的選擇， 特別是服務(wù)器作為虛擬主機(jī)的時(shí)候， 你把客戶(hù)的網(wǎng)站都停掉， 造成的損失， 誰(shuí)來(lái)負(fù)責(zé)？再說(shuō)， 如果入侵是服務(wù)器配置不當(dāng)， 或者其它網(wǎng)站漏洞造成的， 單單重裝系統(tǒng)， 并沒(méi)有把原來(lái)的漏洞修補(bǔ)上， 攻擊者可以照著原路再一次把你的系統(tǒng)攻陷。 但僅僅刪除被克隆的用戶(hù)也是遠(yuǎn)遠(yuǎn)不夠的， 還需要更改所有管理員密碼。 除此之外， 個(gè)人認(rèn)為還是應(yīng)該對(duì)服務(wù)器做一次完整的安全檢測(cè)和安全加固， 如果能力有限， 可以找相關(guān)的安全組織或公司幫你做。 如果有需要， 安天365團(tuán)隊(duì)愿意提供服務(wù)。