今期我省发现部分服务器被感染 “灰鸽子”木马病毒,现将有关处置和防范技术介绍如下:
一、“灰鸽子”木马介绍
灰鸽子是国内的一个著名后门程序,从最初发现至今已有好几年的时间,影响一直很大,变种木马运行后会自我复制到系统的Windows目录下,并自行删除安装程序、修改注册表,将病毒文件注册为服务项后实现开机自启。木马程序还会注入所有的进程中,隐藏自我,防止被杀毒软件发现和查杀,同时木马程序还会自动开启IE浏览器,以便与外界进行通信,侦听黑客指令,在用户不知情的情况下连接黑客指定站点,盗取用户信息、下载其它特定程序。
二、中马状态的判断
1、从本次中马症状来看,木马控制者是将灰鸽子默认插入到iexplore.exe进程中(方法如下图),并监听TCP3500端口。若用户在系统上未打开IE浏览器却在进程中发现:iexplore.exe,基本可判断被中马。
2、从控制端脚本的记录来看,木马控制者喜欢将guest(来宾)帐号修改为管理员权限或建立 xuejirb ,sqldebuger 之类的账号。在服务器开始菜单下-运行-CMD下,输入:net localgroup administrator,若发现管理员帐号中有sqldebugger ,
xuejirb ,guest之类账号 (如下图),也可以基本判断被中马。
3、灰鸽子木马会在系统中建立一个netdrilvervs(如下图)或“NVIDIA 360 Kernel Server”、“NetAccess Ative Servic”等服务,而木马病毒主程序会隐藏在c:windowss ystem dp
clip.exe,大小约为692 kb。若用户在“服务”中发现以上异常服务项,基本也可判断被中马。
4、部分被中马的服务器“粘滞键”已经被木马劫持或被替换为“cmd程序”(方法如下),并可在远程连接登录界面在服务器上随意执行任何操作。用户可对开放了远程服务的服务器进行在远程查看,在远程桌面窗口下连续按五下shift键,即可判断远程桌面服务中是否被添加了后门程序(如下图)。
木马控制者使用的脚本:
del c:windowssystem32sethc.exe
del c:windowssystem32dllcachesethc.exe #删除系统中sethc.exe,该程序对应远程桌面时的粘滞键
copy c:windowssystem32cmd.exe c:windows system32 sethc.exe
copy c:windowssystem32cmd.ex c:windowssystem32edllcachesethc.exe#将cmd替换为粘滞键
三、处置和防范措施
(一)中马服务器的处置
1、对确认已经中马的服务器,应立即断网并使用最新的“灰鸽子”专杀工具查杀木马,并进行全面查毒。
2、对服务器上发现被非法添加了管理员权限用户,应及时删除或停用该用户。
3、对发现已被非法添加木马执行服务的,请首先在“任务管理器”中结束iexplore.exe进程,并在该服务可执行路径下删除该可程序文件,避免系统重启后再次启动。
4、对发现远程桌面服务的粘滞键已被替换为cmd或其它后门程序的,须删除注册表中以下键值,并修复或删除c:windowssystem32sethc.exe程序。
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionImage File Execution Optionssethc.exe]
5、由于木马控制者在控制了一台服务器后可能会向本网段或可该服务器可访问的内网其它机器渗透,用户在处置完成后还应仔细检查内网其他服务器,特别是安装了sqlserver数据库并使用与被中马服务器相同密码服务器;同时木马控制者习惯将攻击工具放在C:winpub下,也须仔细检查。
(二)木马防范措施
1、关闭不必须要服务。对外提供服务的服务器上除必须的服务端口,其它服务需要关闭,特别是“远程桌面服务”,不允许对外部及内网用户开放,必须进行远程维护的,应只允许特定的管理电脑进行访问,并做好对服务器访问的审计监控。
2、设置访问控制。由于木马控制者须通过网络达到控制服务器或窃取数据的目的,因此应关闭服务器的上网功能(即不允许服务器访问外网),需要与外界服务器进行通讯的,应限制服务器可访问的外界地址。该措施可通过在防火墙、交换机等网络设备上设置,若无硬件网络设备防护条件的,也可以服务器上开启“TCP过滤功能”(如下图)以达到防护目的。
3、定期修改服务器上各类密码。用户应及时对服务器各类密码(如系统密码、数据库密码等)进行修改,密码采用:字母+数字+特殊字符组合的方式并应满足一定长度(原则上不应少于8位)要求。
4、用户应对系统上各类日志(包括服务器访问日志、数据库操作日志等)定期进行检查和分析,访问及操作日志等保存时间应不少于60天。
5、用户应及时做好服务器上的数据特别是重要数据的备份,备份数据应异地、异机保存,及时更新服务器及系统各类补丁。
