巧變系統(tǒng)合法服務(wù)為入侵后門

■木淼鑫@賽迪網(wǎng)□摘編整理牧馬人

入侵遠(yuǎn)程電腦，聰明的黑客會利用操作系統(tǒng)自帶的一些小工具來開啟后門并繞過安全軟件的檢測。譬如rcmdsvc.exe這個(gè)Windows 2000 Resource Kit中的小工具，它可以開啟系統(tǒng)中的Remote CommandService服務(wù)（遠(yuǎn)程命令服務(wù)）。因?yàn)檫@是微軟發(fā)布的一項(xiàng)系統(tǒng)服務(wù)，根本沒有殺毒軟件會認(rèn)為它是病毒或木馬，所以不少黑客都喜歡把它作為入侵后的后門使用。

注：本文僅為技術(shù)研究，文中相關(guān)軟件有技術(shù)研究興趣的讀者可在網(wǎng)上搜索下載。

安裝與控制

入侵遠(yuǎn)程電腦后，黑客常常會先把需要用到的一些工具（如rcmdsvc.exe）上傳并放到遠(yuǎn)程電腦的C盤根目錄下。然后，在Shell窗口里輸入命令“rcmdsvc –install”（不含引號，下同）并回車，即刻出現(xiàn)Remote Command Service服務(wù)安裝成功的提示。這時(shí)在“控制面板→管理工具→服務(wù)”中，就可以看到這項(xiàng)新安裝的系統(tǒng)服務(wù)了（如圖1）。

黑客小常識

Windows系統(tǒng)自帶的命令提示符窗口，在黑客本機(jī)中的叫CMD窗口，在遠(yuǎn)程電腦中的叫Shell窗口。

但是，該服務(wù)并沒有處于啟動狀態(tài)，所以還需要手工啟動才行。使用系統(tǒng)自帶的n e t命令，在Shell窗口里輸入“ne t s t a r trcmdsvc”并回車，Remote Command Service服務(wù)就啟動了（如圖2）。

現(xiàn)在，就可以用Windows 2000 Resource Kit中的rcmd.exe小工具進(jìn)行遠(yuǎn)程連接了！連接成功以后，黑客就可以擁有管理員的權(quán)限，從而任意地控制操作遠(yuǎn)程電腦了。因?yàn)檫@個(gè)后門是正常的系統(tǒng)服務(wù)，所以殺毒軟件不會管。

服務(wù)偽裝

Remote Command Service服務(wù)的開啟和使用，難免會被細(xì)心的用戶發(fā)現(xiàn)，所以有必要對它進(jìn)行偽裝?，F(xiàn)在，該sc.exe（Service Control的縮寫）出場了！這個(gè)工具在Windows 2000 Resource Kit和Windows XP中都可以找到，它可以管理系統(tǒng)中的服務(wù)。下面，我們就來看看sc.exe是如何把Remote Command Service服務(wù)偽裝成Messenger服務(wù)（即信使服務(wù)）的。

首先，在Shell窗口里輸入命令“sc delete Messenger”并回車，這樣就刪除了Messenger服務(wù)。然后，重新啟動遠(yuǎn)程電腦。最后，在Shell窗口里輸入命令“sc config rcmdsvcDisplayName= Messenger”并回車，這樣Remote CommandService服務(wù)就改名為Messenger了。

此時(shí)“Messenger服務(wù)”的“描述”內(nèi)容為空，為了使它看起來更真實(shí)，要把原Messenger服務(wù)的“描述”信息加進(jìn)來。在Shell窗口里輸入命令“sc descriptionrcmdsvc 發(fā)送和接收系統(tǒng)管理員或者‘警報(bào)器服務(wù)傳遞的消息”并回車（如圖3）。再用“net start”命令重啟一下“Messenger服務(wù)”，這樣就完成了Remote CommandService服務(wù)的偽裝。

系統(tǒng)防范

為了避免我們自己的電腦中出現(xiàn)以上的入侵后門，可以把不需要的服務(wù)都關(guān)閉掉，并經(jīng)常檢查已開啟的服務(wù)和端口。如果發(fā)現(xiàn)自己的電腦中啟用了Remote CommandService服務(wù)，或者該服務(wù)用的是別的服務(wù)名，那就要小心了，很有可能就是被別人安裝了連殺毒軟件都無法查出的“合法”后門。趕緊刪除它，并升級網(wǎng)絡(luò)防火墻，防范黑客通過網(wǎng)絡(luò)入侵破壞。