Windows 版 (精华区)

发信人: seaman (翩翩少年), 信区: OS
标  题:  WINDOWS NT WARDOC中文译本-(15)
发信站: 紫 丁 香 (Tue Aug 17 09:13:34 1999), 转信

    “游戏”规则：目标必须是NT主机，执行特洛伊木马程序的最终用户必须是管理员，
这样，攻击者就能把批处理文件放在管理员启动文件夹中，开始等待。当下一次管理员登
录到机器上时，批处理文件就执行和转储用户名/口令。然后，攻击者就会通过文件共享
连接到该机器上并收集结果。
    入侵者可能尝试的另一个可靠的攻击方法是把按键记录器批处理文件放到启动文件夹
中。这种方法可适用于任何用户，不仅仅是管理员。这样即可收集所有该用户发出的按键 
信息，但没有最初的登录身份资料（这是NT的结构所致，它会在登录过程中终止所有用户
方式进程）。然后，攻击者就可以连接到目标机上并收集记录下的按键信息。
    最致命的特洛伊木马攻击之一就是一个以管理员的身份运行并采用AT命令建立预定事
件的批处理文件。因为AT命令能作为系统运行，所以，它能生成SAM数据库和注册表的拷
贝。可以想象得出攻击者采用这种方法时会享受到多么大的乐趣。
    如何防止此类攻击呢？不要把文件共享给Everyone群组，并在您的环境中加强口令机
制。如果入侵者遇到一台每次都要向他提示输入身份证明信息的服务器，入侵者就会变得
灰心丧气，随即离开。不过，有耐心的入侵者会继续进行Brute Force攻击。
    无庸置疑，Brute Force NetBIOS攻击最常用的工具是NAT。NAT（NetBIOS检查工具）
工具让用户能够通过可能的用户名/口令列表使网络连接命令自动操作。NAT将通过所提供
的列表中的每一个用户名和每一个口令试着连接到远程机上。这是一个很漫长的过程，但
攻击者往往会使用一个常见口令的缩短列表。
    一个成功的入侵者会通过上述信息收集方法建立他自己的用户名列表。入侵者准备使
用的口令列表也是通过收集到的信息建立的。他们通常从不充实的口令列表开始，然后根
据用户名建立其余的口令列表。这对于那些能找到给用户名设置的口令的安全专业人士来
说完全是意料之中的事。
    攻击者可以指定一个要攻击的IP地址，也可以指定整个范围内的IP地址。NAT会尽力
完成这项任务，并一直生成格式化报告。    

--
※ 来源:．紫 丁 香 bbs.hit.edu.cn．[FROM: vilab.hit.edu.cn]