基于Arduino的改良型云木马设计与实现.pdf
《基于Arduino的改良型云木马设计与实现.pdf》由会员分享,可在线阅读,更多相关《基于Arduino的改良型云木马设计与实现.pdf(4页珍藏版)》请在咨信网上搜索。
1、第 13 期2023 年 7 月无线互联科技Wireless Internet TechnologyNo.13July,2023作者简介:王东海(1977),男,湖南永顺人,讲师,硕士;研究方向:计算机网络技术。基于 Arduino 的改良型云木马设计与实现王东海,张 昊(苏州工业职业技术学院,江苏 苏州 215104)摘要:Badusb 是柏林的安全研究人员 Jakob Lell 和 Karste Nohl 在 2014 年 Blactk Hat 黑客大会上公布的渗透工具,可以攻破大部分使用 USB 端口的设备,若将 Badusb 和 Cobalt strike 连接在一起使用,将极大地增强
2、 Badusb 的渗透入侵能力,威胁到大部分安全防范不到位的 PC 机。为了更好地了解和防范 Badusb 的攻击方式,文章设计了一种改良型的木马,主要是将特征码进行分割加密,再组合起来解密,然后对执行木马的方式转换成 arduino 程序,烧录到 badusb 中。本设计采用将木马放置于云服务器上,使用 Badusb 来模拟键盘下载木马,以 Shellcode 的方式启动。测试结果表明,Arduino 增加了Badusb 的执行能力,可以绕过更多的杀毒软件的安全防护。关键词:Badusb;Arduino;木马;设计中图分类号:TP393 文献标志码:A0 引言 随着计算机技术的飞速发展和网络
3、的普及,给人们的生活带来极大便捷的同时,网络攻击也日益增多,大量的企业和个人都面临被攻击和入侵的风险。在 2014 年 DerbyCon 的黑客大会上1,柏林的安全研究人员公布了 Badusb 的危害,这种漏洞会危及大部分带有 USB 接口的主机,而现在使用 USB 接口的设备越来越多2,含有恶意代码的 USB 设备一旦插入电脑,可控制电脑并传播事先准备好的 USB 病毒3。因此,Badusb 的攻击手段引起了各个企业和研究人员的重视,研究其防范措施也变得十分重要。1 开发工具1.1 Arduino Arduino 是一款操作方便、易于学习的开源电子平台。电子板上的微处理器可以通过 Ardui
4、no 的编程语言进行程序编写,生成编译出的 hex 文件烧录进电子板,就可以通过微处理器来控制电路板上的各种硬件。1.2 Cobalt Strike Cobalt Strike 是一款用来进行渗透测试的工具,可以控制木马,主要功能有端口转发、端口扫描、生成木马、克隆站点等。1.3 Arduino Leonardo 芯片 Arduino Leonardo 芯片是 Atmel ATmega32u4 型微控制器,可以提供 20 个数字 IO(其中 7 个可以用来PWM 输出,12 个用作模拟输入)、一个 16 MHz 晶体振荡器、一个微型 USB 连接、一个电源插孔、一个ICSP 接头盒和一个复位开
5、关。ATmega32U4 MCU 内置了 USB 的通信模块,不需要辅助处理器,允许Leonardo 作为 HID 设备连接计算机4。2 木马设计 一般情况下,普通的木马都是通过互联网进入目标主机,但要入侵主机,需要满足的条件比较苛刻,主要有以下几个因素:(1)需要在互联网上伪装成正常软件,诱导用户下载。(2)需要通过浏览器的安全检测。(3)需要通过杀毒软件的安全检测。(4)在运行时,需要通过杀毒软件的行为侦查检测。可以看出,普通木马想要大展身手,最关键的就是如何进入被控制的主机,这种攻击手法无法针对某台特定主机进行攻击。因此,通过具有社会工程学性的攻击(即直接对物理设备)是一种比较好的选择,
6、将 Shellcode 放在服务器上,利用 Badusb 触发下载Shellcode,并运行 Shellcode,由于这个过程没有文件落地,目标主机即使发现了入侵行为,也无法将木马清除。2.1 设计思路 本设计选择采用病毒免杀技术,即通过修改源码,避免杀毒软件通过检测 MD5 值进行查杀。具体步骤如下:551第 13 期2023 年 7 月无线互联科技网络互联No.13July,2023(1)将主要函数内容复制出来。(2)将内容加密成 Base64 编码。(3)将编码分别赋值给函数$a1-$a5。(4)设置函数$a6,即将$a1-$a5 赋值给它,base64 解码并运行。2.2 Arduin
7、o 程序设计2.2.1 中文输入法绕过 Badusb 搭载 Arduino 驱动,通过 Arduino IDE 接收到 Arduino 代码后,调用 Arduino 官方的键盘库,进行模拟键盘操作控制主机,调用 Keyboard.h 库后,启动键盘模拟,用 Keyboard.println 函数对主机发送键盘的指令。Keyboard.println 函数向连接的主机发送一个键盘按键动作,以换行符和回车符结束。但在仿真环境测试中,由于中文输入法的原因,影响到该函数的回车符,回车会变成中文输入法,从而导致运行失败。为了防止这种情况发生,用 Keyboard.press(KEY_CAPS_LOCK)
8、函数调用 KEY_CAPS_LOCK 后,可以打开大写状态,绕过中文输入法,在输入完成后再将大写状态关闭。实现的关键代码如下:Keyboard.press(KEY_CAPS_LOCK);/利用打开大写绕过输入法Keyboard.release(KEY_CAPS_LOCK);2.2.2 敏感程序绕过 由于杀毒软件会对某些函数进行行为探测,例如火绒、360 安全卫士、腾讯管家等,他们会对-w hidden隐藏窗口进行检测。因此,设计过程中使用 CMD 窗口打开 PowerShell,并将 CMD 的窗口大小 cols 设置为15,lines 设置为 1,命令为:CMD/t:01/k ECHO OF
9、F&MODE CON:cols=15 lines=1。使用这种方法可以有效避免弹出警告窗口。2.2.3 云木马攻击设计 主机一般都安装了杀毒软件,木马存放在磁盘里非常容易被查杀,因此将木马放置在云服务器上,在本地下载执行,可以避免被杀毒软件查杀。云木马攻击实现的关键代码如下:Delay(1000)Keyboard.begin();delay(1500);Keyboard.press(KEY_LEFT_GUI);delay(500);Keyboard.press(r)delay(500);Keyboard.release(KEY_LEFT_GUI);Keyboard.release(r);del
10、ay(500);Keyboard.press(KEY_CAPS_LOCK);Keyboard.release(KEY_CAPS_LOCK);Keyboard.println(“CMD/t:01/k ECHO OFF&MODE CON:cols=15 lines=1”);delay(500);Keyboard.press(KEY_RETURN);Keyboard.release(KEY_RETURN);3 测试 由于云木马需要存放在公网服务器上,所以必须先搭建一台公网服务器。在公网服务器上安装 Java环境,使用 CS 框架实现云木马攻击。3.1 搭建公网服务器 搭建公网服务器的具体步骤如下:(
11、1)在阿里云上购买一台主机。(2)选择轻量级服务器。(3)将系统配置为 Centos7。(4)远程连接设置服务器密码。(5)使用 SSH 连接工具登录服务器。3.2 设置 Java 环境(1)在安装 Java 环境之前需要先更新 Yum 源,Yum 源是 Centos 的软件包管理器,主要功能是自动升级。只有更新完 Yum 源之后,安装的 Java 环境才会是最新的。执行命令如下:root iZ2ze1e64qek16ztlp1f3tZ#yum install update。(2)安装 Java 库。执行命令如下:root iZ2ze1e64qek16ztlp1f3tZ#yum-y list
12、java。(3)安装 Java11。执行命令如下:root iZ2ze1e64qek16ztlp1f3tZ#yum-y install java-11-openjdk.x86_64。(4)查看 Java 版本。安装好 Java 后,测试 Java 命令是否可以使用,执行命令如下:root iZ2ze1e64qek16ztlp1f3tZ#java-version。3.3 安装 Cobalt strike (1)使用 FTP 工具将 Cobalt strike 上传到阿里云服务器。(2)给 Teamserver 增加执行权限。具体操作步骤如下:root iZ2ze1e64qek16ztlp1f3t
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 基于 Arduino 改良 木马 设计 实现
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【自信****多点】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【自信****多点】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。