因此,为了减少WEB2.0应用带来的安全风险,企业可能需要知道某些关键终端或服务器上运行了什么服务,发送了什么信息和文件,以及使用者上班时间到底在做些什么等方面。另外,如果监测到某台终端正在发送危害企业数据安全的行为,为了得到证据,有时还需要完成抓取危险主机的屏幕状态,录制录像和声音等任务。
而要完成这样的工作,人们通常想到就是用商业的安全管理软件或硬件来应对,但是,像屏幕和声音录制等任务却不容易实现。其实,除了这种常规的途径外,还可以使用特洛伊木马达到同样的目的。
例如,Poison IVY就是WINDOWS系统下一个高级远程管理工具。它采用c/s结构,其客户端可以运行在Windows,linux或UNIX系统上,其服务端的内容依靠我们的设置来决定,不过只能运行在Widnows2000/XP/2003/Vista系统上。
Poison IVY的服务端可以非常小,不过,如果需要添加所有的插件,其大小会增长很多,但即使是这样,它的服务端在压缩状态下最大不超过7KB的大小。
虽然Poison IVY非常小,但是,它却具有下列所示的主要特性:
(1)256位加密连接,可以减少远程管理过程中泄密的风险。
(2)完整的文件管理功能。
(3)远程注册表管理功能。
(4)键盘记录功能。
(5)服务管理功能。
(6)进程管理功能。
(7)远程视频和音频捕捉。
(8)WEB摄像头捕捉。
(9)密码管理
(10)共享服务。
(11)第三方插件支持。
这些功能还只是Poison IVY所有功能中一部分。在上述这些功能中,像键盘记录功能和WEB摄像头捕捉等功能,通常是人们最担心的。主要是在使用木马为自己工作时,担心这些功能会对被控端带来同样的危害。
不过,这种担心是应该的,也是很有必要的。在使用木马为自己工作之前,我们一定要弄清楚它们本身具有的安全性,例如,它们的各种功能是不是可以自由控制,是否可以设置控制的用户及设置密码等。而这些功能,Poison IVY恰巧都具有。
其实,具有这样功能的木马还有许多。除Poison IVY之外,还有Back Orifice XP、CIA
、Nuclear RAT等木马都具有与它相似的功能,或者其它更多的特色功能,例如穿透防火墙或可加密加壳等。
上述这些木马程序,在雪源梅香下载和试用时,都没有被检测到发现木马程序。只是在下载Poison IVY的WI-FI插件时,被迅雷检测到含有木马。但是,由于Poison IVY的这个插件同样是安全的,你完全不要理会这种警报,继续下载就可以。
更加难能可贵的是Poison IVY的开发者一直在提供技术和升级服务,而且,开发者的本意,也是将这款软件作为一款优秀远程管理软件在进行开发和推广的。
实际上,有许多被人们称为木马的软件,其开发者本意都是好的。只是恰巧这些软件具有许多特殊的功能,而这些功能又恰巧可以帮助攻击者实施攻击活动,由此,当这些工具软件被攻击者用来进行攻击活动后,就像变了一幅面孔一样,从自走向“犯罪”生涯了。
就像上面所提到的这些被称为木马的软件,如果将它们用在企业的网络监控和管理上,那么,它们同样能够重新“变节”而成为我们真实的好工具,来为我们完成网络管理过程中一些特殊的任务。由于上面所示的木马程序,它们的功能大致相同,其使用方式也同样相似。因此,下面,雪源梅香只以Poison IVY为例,详细说明怎么去安全使用它们来为我们进行网络管理工作。
1、 安装和运行
上述的木马程序,大多免去了安装,在下载回来后,只需将压缩包解压后就可以直接使用它们。对于Poison IVY,我们可以去http://www.poisonivy-rat.com/网站下载它,解压后,
通过双击解压目录下的“Poison Ivy 2.3.2.exe”就可以运行它,运行后的主界面如图1所示。
图1 Poison IVY运行后的主界面
至于本文其它几个木马的下载地址,Back Orifice XP可以从http://boxp.sourceforge.net/网站下载,Nuclear RAT可以从http://www.nuclearwintercrew.com/下载。
2、 生成服务端
如其它木马程序一样,Poison IVY的服务器也是由我们自己来生成,这样,我们才能控制服务器的功能,以及它在运行后,怎么连接客户端,以及进行其它动作等功能。
Poison IVY的服务器生成,可以通过如下的步骤来进行:
(1) 在poison ivy的主界面,选择“File”——“New Server”菜单,打开如图2所示生成新服务端界面。
图2 poison ivy生成服务端界面
(2) 在图2所示界面中,单击“create profile”按钮,在打开的对话框中输入一个名称。此时,左边项目栏中的原本灰色的按钮将被激活,接下来,按其排列顺序完成服务端的其它配置。
(3) 单击图2所示界面中的“connection”按钮,将出现如图3所示的设置连接信息的界面。
图3 设置连接信息界面
poison ivy是一个具有反向连接的木马程序,因此,我们必需在图3所示界面中的DNS/PORT文本框中,输入正确的客户端IP地址和监听服务器端的端口,然后单击“Add”按钮添加设置。
为了poison ivy的服务器端只有我们自己能够进行控制和连接,还必需在图3所示界面中的ID文本框中输入建立的用户名,在“GROUP”中输入组名(可选),然后在“Password”文本框中输入连接密码。在这里,还可以选择“Hide Password”多项选择框,隐藏密码框中显示的内容,密码也以由软件自己随机产生。 (4) 可以通过单击图3所示界面右下角的“NEXT”按钮,进入“Install”配置项,也可以直接单击“Install”按钮进入其配置界面。如图4所示。
图4 Install配置界面
在Install配置界面,可以指定文件名、安装到系统中的什么位置,以及通过选择“key logger”多项选择框来决定是否记录键盘输入,或通过选择“persistence”来确保当poison ivy服务端进程被停止后,重新启动服务端进程,并防止服务端程序本身被删除。
poison ivy的这些特性与其它恶性木马是相同的,在我们使用它的过程中,如果没有特殊要求,例如不想被被监控者看到,就可以使用这些功能,但是,通常情况下,这些功能是可选的。
(5) 完成Install配置项的配置后,单击“Advanced”就可以打开如图5所示的高级配置界面。
图5 高级配置界面
在高级配置界面,主要完成进程注入和注入格式的设置。同样,这些功能都是可选的,如果没有什么特殊的要求,可以在此保持默认设置。
现在,poison ivy服务端的配置全部完成,只要再单击“Build”按钮,就可以按照上述的配置生成我们想要的客户端。
完成poison ivy服务端的生成工作后,我们还必需为些服务端生成一个新的客户端,主要用来与些服务端配套使用,监听从服务端反向回来的连接。与此同时,为了确保poison ivy客户端能够监听到服务端的反向连接信息,必需确保防火墙开放了客户端监听的端口。
要生成poison ivy的客户端,可以通过在其主界面中,选择“File”——“New Client”菜单,打开如图6所示的生成客户端界面。
图6 poison ivy生成客户端界面
在生成客户端界面的“Listen on Port”下拉框中选择建立服务端时设置的端口号,在“Password”文本框中输入建立服务端时设置的密码,或直接导入软件产生的“KEY”文件,然后单击“Start”按钮就可以开始新的监听服务。
当然,要想poison ivy的客户端能够监听到来自与此匹配服务端的连接信息,首长必需确保服务端已经在被监控和管理的系统上运行了。而完成这些工作,可以由我们直接安装,或者通过木马常用的手段进行安装,安装方式可以由你自由选择。至于poison ivy其它更多的功能,还是留给你自己慢慢去发现吧!
通过我们的简单配置,一个