发信人: rawrence()
整理人: jiaxu2000(2004-03-30 09:53:44), 站内信件
|
“游戏”规则:目标必须是NT主机,执行特洛伊木马程序的最终用户必须是管理
员,
这样,攻击者就能把批处理文件放在管理员启动文件夹中,开始等待。当下一次
管理员登
录到机器上时,批处理文件就执行和转储用户名/口令。然后,攻击者就会通过文
件共享
连接到该机器上并收集结果。
入侵者可能尝试的另一个可靠的攻击方法是把按键记录器批处理文件放到启动文
件夹
中。这种方法可适用于任何用户,不仅仅是管理员。这样即可收集所有该用户发
出的按键
信息,但没有最初的登录身份资料(这是NT的结构所致,它会在登录过程中终止
所有用户
方式进程)。然后,攻击者就可以连接到目标机上并收集记录下的按键信息。
最致命的特洛伊木马攻击之一就是一个以管理员的身份运行并采用AT命令建立预
定事
件的批处理文件。因为AT命令能作为系统运行,所以,它能生成SAM数据库和注册
表的拷
贝。可以想象得出攻击者采用这种方法时会享受到多么大的乐趣。
如何防止此类攻击呢?不要把文件共享给Everyone群组,并在您的环境中加强口
令机
制。如果入侵者遇到一台每次都要向他提示输入身份证明信息的服务器,入侵者
就会变得
灰心丧气,随即离开。不过,有耐心的入侵者会继续进行Brute Force攻击。
无庸置疑,Brute Force NetBIOS攻击最常用的工具是NAT。NAT(NetBIOS检查工
具)
工具让用户能够通过可能的用户名/口令列表使网络连接命令自动操作。NAT将通
过所提供
的列表中的每一个用户名和每一个口令试着连接到远程机上。这是一个很漫长的
过程,但
攻击者往往会使用一个常见口令的缩短列表。
一个成功的入侵者会通过上述信息收集方法建立他自己的用户名列表。入侵者准
备使
用的口令列表也是通过收集到的信息建立的。他们通常从不充实的口令列表开始
,然后根
据用户名建立其余的口令列表。这对于那些能找到给用户名设置的口令的安全专
业人士来
说完全是意料之中的事。
攻击者可以指定一个要攻击的IP地址,也可以指定整个范围内的IP地址。NAT会尽
力
完成这项任务,并一直生成格式化报告。
--
阿鲁的阿,阿鲁的鲁!
※ 来源:.月光软件站 http://www.moon-soft.com.[FROM: 202.101.163.44]
|
|