试验06监控与侦测特洛伊木马.PPTVIP

* * * * * 實驗6　監控與偵測特洛伊木馬 國立雲林科技大學電腦與通訊工程系 國立雲林科技大學 電腦與通訊工程系 教育部資通訊人才培育先導型計畫 寬頻有線教學推動聯盟中心 實驗六 監控與偵測特洛伊木馬 前言 本實驗將學習如何建立木馬及隱匿通道，接著進行相關之防護操作與設定，以使了解木馬程式之運作原理與防護方法。 本實驗用來分析攻擊的硬體設備為NUSOFT的NUS-MS2800，NUS-MS2800是網路型的整合式威脅管理系統(Unified Threat Management)，可有效防止電腦病毒、特洛依木馬...的威脅，並能偵測及阻擋網路惡意攻擊程式 ( 蠕蟲、緩衝溢位... )以及產生警告及記錄。 本實驗將會使用Spy-Net軟體產生木馬程式，Spy-Net是一個Remote Administration Tool(RAT)中文稱做“遠端存取特洛伊木馬程式”，可讓不法份子經由網際網路連線控制受害者的電腦。RAT讓不法份子可檢視並變更電腦上的檔案與功能、監視並記錄受害者的活動，並可能在受害者不知情的情況下利用受害者的電腦攻擊其他電腦。 下圖為本實驗的網路連結示意圖。 實驗6　監控與偵測特洛伊木馬 * LAN: MS-2800 實驗場景 WAN:40 Hacker IP:6 設定Spy-Net 下載名為Spy-Net[RAT]v1.5.rar的檔案之後解壓縮就可以看到資Spy-Net的資料夾(如下圖)。 各檔案夾與檔案之用途： spynet.exe:為Spy-Net之主程式。 Language:為Spy-Net之語言檔案，內有英文、西班牙文、法文、葡萄牙文。 Icons:為Spy-Net產生木馬程式產生時時可以選擇的Icon檔案。 實驗6　監控與偵測特洛伊木馬 * 設定Spy-Net 開啟spynet.exe後可以看到Spy-Net的主視窗。 由於預設語言不是英文，因此必須先更改語言設定。 按下Spy-Net的主視窗最左下方的按鈕進入設定介面(如右圖)。 接著按下“Idioma”後選擇“English.ini”，選擇完畢後按下“Salavr”(如下圖)就可以完成語言的變更，介面的語言也更換成英文。 實驗6　監控與偵測特洛伊木馬 * 設定Spy-Net 接著選擇“Connection”設定連線參數，在此視窗可以設定與受害主機連線時所使用的通行密碼以及與受害者主機連線時所監聽的埠號。 “ Notification ”可以設定當受害者與駭客電腦連線時Spy-Net程式所發出的提醒設定，在此視窗可以設定與受害者電腦連接時所發出的提醒音、提醒視窗的透明度、受害電腦連線數的提醒出現時間(以秒為單位) 。 實驗6　監控與偵測特洛伊木馬 * 設定Spy-Net “Columns visible”這個設定決定不法份子在主視窗可以看到哪些被害者電腦的資訊。 當全部設定完成之後按下“Save”就可以將之前的設定全部記錄下來。 實驗6　監控與偵測特洛伊木馬 * 產生特洛伊木馬 接下來將介紹如何產生特洛伊木馬。 由於Spy-Net屬於逆向連接的RAT，因此必須產生Server檔案，讓受害者點擊。 按下主視窗左下方的“New”(如右下方圖)，來設定即將產生的特洛伊木馬。 按下後會跳出設定視窗(如下圖) 。 首先我們必須設定特洛伊木馬執行時所連接的IP、傳送回的識別文字、與受害者電腦連接的密碼、埠號以及嘗試連線的間隔時間。 實驗6　監控與偵測特洛伊木馬 * 產生特洛伊木馬 “Installation Server”設定當特洛伊木馬執行時，惡意程式安裝到受害者電腦中的哪一個資料夾以及設定惡意程式的檔案類型與名稱。 “Install The Server”這個選項若是不選擇則惡意程式就會直接安裝在受害者執行時的目錄位置。 實驗6　監控與偵測特洛伊木馬 * 產生特洛伊木馬 “Boot”設定當受害者安裝特洛伊木馬之後，在登錄檔中寫入的名稱，這個設定可以確保每次受害者重新進入作業系統後，特洛伊木馬可以自動執行。 實驗6　監控與偵測特洛伊木馬 * 產生特洛伊木馬 “Add File”設定特洛伊木馬所夾帶的檔案、檔案所要存放的位置、如何處理檔以及處理檔案的參數為何，透過這項設定，不法份子可以將一些惡意軟體一起安裝在受害者的電腦中，造成更強大的破壞。 實驗6　監控與偵測特洛伊木馬 * 產生特洛伊木馬 “Anti Debugging”設定該木馬是否需要避免在虛擬機器中運作，或者避免載“Sandbox”中運作。 Sandbox：“ Sandbox ”技術是國際反病毒業界近年來必威体育精装版提出的反病毒新概念， “Sandbox”技術與主動防禦技 術原理截然不同。主動防禦是發現程