渗透测试-灰鸽子远控木马

木马概述

灰鸽子（ Huigezi），原本该软件适用于公司和家庭管理，其功能十分强大，不但能监视摄像头、键盘记录、监控桌面、文件操作等。还提供了黑客专用功能，如：伪装系统图标、随意更换启动项名称和表述、随意更换端口、运行后自删除、毫无提示安装等，并采用反弹链接这种缺陷设计，使得使用者拥有最高权限，一经破解即无法控制。最终导致被黑客恶意使用。原作者的灰鸽子被定义为是一款集多种控制方式于一体的木马程序。

自2001年，灰鸽子诞生之日起，就被反病毒专业人士判定为最具危险性的后门程序，并引发了安全领域的高度关注。2004年、2005年、2006年，灰鸽子木马连续三年被国内各大杀毒厂商评选为年度十大病毒，灰鸽子也因此声名大噪，逐步成为媒体以及网民关注的焦点。

当用户电脑“中马”后，黑客就会拥有用户电脑的最高管理权限，包括随意修改、窃取用户电脑的文件，监控电脑的键盘和屏幕、摄像头等等。

2007年3月21日，灰鸽子工作室决定全面停止对灰鸽子远程管理软件的开发、更新和注册，以实际行动和坚定的态度来抵制这种非法利用灰鸽子远程管理软件的不法行为，并诚恳接受广大网民的监督。”此外，灰鸽子工作室还发布了灰鸽子服务端卸载程序。

木马构成

“灰鸽子”木马，由两部分组成，一是控制端（主程序），一是服务端（也叫受控端）。任一部分都会被主流的杀毒软件查杀，但随着其不断衍生新的变种和一些免杀技巧经常绕过一些主动防御软件，使得用户防不胜防。

黑客利用客户端程序配置出服务端程序。可配置的信息主要包括上线类型（如等待连接还是主动连接）、主动连接时使用的公网IP（域名）、连接密码、使用的端口、启动项名称、服务名称，进程隐藏方式，使用的壳，代理，图标等等。

配置出来的服务端文件文件名为G_Server.exe（这是默认的，当然也可以改变）。然后黑客利用一切办法诱骗用户运行G_Server.exe程序。

运行过程

G_Server.exe运行后将自己拷贝到Windows目录下(98/xp下为系统盘的windows目录，2k/NT下为系统盘的Winnt目录)，然后再从体内释放G_Server.dll和G_Server_Hook.dll到windows目录下。G_Server.exe、G_Server.dll和G_Server_Hook.dll三个文件相互配合组成了灰鸽子服务端， G_Server_Hook.dll负责隐藏灰鸽子。通过截获进程的API调用隐藏灰鸽子的文件、服务的注册表项，甚至是进程中的模块名。截获的函数主要是用来遍历文件、遍历注册表项和遍历进程模块的一些函数。所以，有些时候用户感觉中了毒，但仔细检查却又发现不了什么异常。有些灰鸽子会多释放出一个名为G_ServerKey.dll的文件用来记录键盘操作。注意，G_Server.exe这个名称并不固定，它是可以定制的，比如当定制服务端文件名为A.exe时，生成的文件就是A.exe、A.dll和A_Hook.dll。

Windows目录下的G_Server.exe文件将自己注册成服务（9X系统写注册表启动项），每次开机都能自动运行，运行后启动G_Server.dll和G_Server_Hook.dll并自动退出。G_Server.dll文件实现后门功能，与控制端客户端进行通信；G_Server_Hook.dll则通过拦截API调用来隐藏病毒。因此，中毒后看不到病毒文件，也看不到病毒注册的服务项。随着灰鸽子服务端文件的设置不同，G_Server_Hook.dll有时候附在Explorer.exe的进程空间中，有时候则是附在所有进程中。

传播方式

灰鸽子自身并不具备传播性，一般通过捆绑的方式进行传播。灰鸽子传播的四大途径：网页传播、邮件传播、IM聊天工具传播、非法软件传播。

1. 网页传播：病毒制作者将灰鸽子病毒植入网页中，用户浏览即感染。
2. 邮件传播：灰鸽子被捆绑在邮件附件中进行传播。
3. 聊天工具传播：通过即时聊天工具传播携带灰鸽子的网页链接或文件。
4. 非法软件传播：病毒制作者将灰鸽子病毒捆绑进各种非法软件，用户下载解压安装即感染。

远控实验

实验环境

Windows 机器两台，网络拓扑见下图（主控端：10.1.1.228，被控端：10.1.1.40）：

打开两台Windows 实验台，运行 Windows xp系统（请提前关闭防火墙，实验中IP以实验机中为准）。

控制端配置

(1）安装HTTP服务器

（2）运行HTTP服务器，点击“Start”按钮。

（3）配置FTP服务器
进行如下配置：侦听端口：21；最大连接：100；账户名称及密码：自行填写；访问目录：为HTTP服务器根目录；设置好后点击“启动服务”。

（4）生成被控端（即服务器程序）
点击“更新IP”进行设置——FTP服务器：填写本机地址，端口：默认；用户名及密码：填写FTP服务器设置的用户名及密码；存放IP的文件：默认；IP文件内容：默认；最后点击“更新IP到FTP空间”。

查看是否更新成功：

配置鸽子：点击“配置服务器”——IP：填写http://本地IP地址/ip.txt；安装路径：Windows目录；安装名称：H_Srver.exe；连接密码：1234；上线分组：在线主机。

点击“生成服务端”，将服务端程序放到指定目录，点击“保存”：

至此，成功生成服务端程序。

服务端配置

接下来需要将服务端程序从控制端主机拷贝至被控端主机（本实验中使用文件共享的方式）。

（1）在控制端主机桌面新建一个空文件夹True，将灰鸽子木马的服务端程序拷贝到该文件夹中，并将其设置为共享文件夹：

（2）在被控制主机上访问该共享文件夹，拷贝木马程序的服务端到本机桌面：
（3）双击运行R_Server.exe文件（注意不会弹出页面），然后启动Internet Explorer浏览器。
（4）关闭控制端主机的防火墙，输入连接密码1234，然后点击“应用改变”，主控端和被控端连接成功。

至此，主控端和被控端连接成功。

灰鸽子体验

主控端和被控端连接成功后，我们就可以在主机上借助灰鸽子客户端对被控主机进行远程控制了，下面来体验一下。

屏幕监控

在主控端右击当前在线主机，选择“屏幕监控”，点击“启动”，即可监控被控端屏幕，被控端屏幕如下：

设备监控

右键选择“设备监控”，可进行视频读取、语音监听等操作。

文件控制

右键选择“文件管理”，找到一个文件或文件夹，右键选择“文件（夹）下载至本地”，即可下载被控端文件。

CMD操作

右键选择“CMD操作”，输入cmd命令可显示结果。
灰鸽子木马的对被控制主机的其他控制功能，如注册表管理、服务管理、进程管理等，此处不再介绍。

来源：CSDN

作者：ClearSky~

链接：https://blog.csdn.net/weixin_39190897/article/details/104149233