黑客木马服务器挖矿案例（恶意样本分析及HGZ木马控制目标服务器）

一.虚拟机安装Windows Server

前一篇文章详细讲解虚拟机及Windows XP系统安装，这篇文章将搭建Windows Server 2003服务器，并通过HGZ制作控制目标服务器的目录。这里仅简单讲解Windows Server 2003服务器的流程，如果虚拟机已经安装好的直接跳过。

1.创建虚拟机

(1) 打开虚拟机，点击“文件”->“新建虚拟机”。

(2) 默认选项大家常规选择即可，点击下一步，如下图所示。

(3) 此处选择稍后再安装系统，稍后我们才会将已经下载的镜像文件进行安装。

(4) 选择Microsoft Windows(W)，版本选择Windows Server 2003 Standard Edition，接着点击““下一步”。

(5) 设置虚拟机内存，这里设置为512MB。

(6) 网络类型设置“使用网络地址转换（NAT）”，接着其他选择推荐选项即可。

(7) 选择“使用现有虚拟磁盘”。

从本地选择“Windows 2003.vmdk”文件。

(8) 保持现有格式点击“完成”即可。

2.设置Windows Server服务器

接下来我们安装Windows Server 2003操作系统。

(1) 当虚拟机设置完成之后，我们点击“开启此虚拟机”，如下图所示。

(2) 设置完毕之后，开启虚拟机，如下图所示。

(3) 将Windows XP和Windows Server 2003设置为相同的连接方式，比如桥接或NAT模式。

(4) 如果设置第一步的时候没有进行ip设置，那么这两台虚拟机默认就在统一网段内，可以在虚拟机检查看是否在统一个网段中。在CMD中输入ipconfig查看网络连接情况。

• Windows Server 2003：192.168.44.131

Windows XP系统：192.168.44.130

如果两台虚拟机的IP地址前三个相同，类似如图192.168.44.*，那么就在同一个网段内，如果不在同一个网段内，就需要分别设置ip地址在同一网段了。网上也有很多设置IP的教程，在这就不累赘了。

(5) 接着使用Ping命令保证虚拟机XP系统（攻击者）和Server 2003（受害者）能通信。

(6) 建议恶意样本分析实验在虚拟机中，某些样本还需要断网、断共享等功能。

• 关闭Windows XP防火墙

关闭Windows Server 2003防火墙

二.虚拟机文件共享设置

如果我们想从主机Windows 10系统传递资料给虚拟机Windows XP系统，或者Windows XP系统和Windows Server 2003系统传递文件，怎么办呢？

这就涉及到主机和虚拟机文件共享的功能。

(1) 首先，安装VMware Tool工具。

(2) 在安装向导中点击“下一步”进行安装。

(3) 选择“典型安装”。

(4) 点击“安装”即可，如下图所示：

安装成功如下图所示。

(5) 设置共享文件夹，先在主机Windows 10系统创建一个虚拟机与主机的共享文件夹，比如“ShareFiles”。

(6) 选择“虚拟机”->“设置”菜单。

(7) 弹出的对话框如下图所示，其中“共享文件夹”默认是禁用的，我们设置为“总是启用”。我们勾选“在Windows客户机中映射为网络驱动器”，并添加我们的共享文件夹。

点击"浏览"，选择主机中共享文件夹的路径。

(8) “启用此共享”必须选上。“只读”可根据需要选择，如果选择，则以后访问实体机的文件夹时，里边所有的内容都不可修改和移动，只能进行访问。这里作者仅选择“启用此共享”，点击完成。

写到这里，主机和虚拟机之间的共享文件夹就设置成功。我们打开磁盘，可以看到虚拟机磁盘多了一个Z盘，它就是共享的文件夹。

然后打开Z盘里面的“ShareFiles”文件夹，可以看到主机复制过去的文件。

三.HGZ制作木马

接着我们开始讲解木马制作过程，在Windows 10操作系统中将软件共享给虚拟机系统。

• HGZ：木马制作
• Procmon：进程和注册表分析
• Wireshark：网络流量分析

推荐前文：

十二.Wireshark安装入门及抓取网站用户名密码（一）

十三.Wireshark抓包原理（ARP劫持、MAC泛洪）及数据流追踪和图像抓取（二）

四十九.Procmon软件基本用法及文件进程、注册表查看

五十.虚拟机基础之安装XP系统、文件共享、网络快照设置及Wireshark抓取BBS密码

HGZ软件是一款集多种控制方式于一体的木马程序，适用于公司和家庭渗透和管理，其功能十分强大，不但能监视摄像头、键盘记录、监控桌面、文件操作等。还提供了黑客专用功能，如：伪装系统图标、随意更换启动项名称和表述、随意更换端口、运行后自删除、毫无提示安装等，并采用反弹链接这种缺陷设计，使得使用者拥有最高权限，一经破解即无法控制。最终导致被黑客恶意使用。

第一步，下载共享的软件并安装。

第二步，使用HGZ制作木马。HGZ软件运行如下图所示。左边显示自动上线主机（肉鸡），凡是中木马的肉鸡都会自动上线，木马会主动连接控制方并请求被完全控制。

第三步，我们先要点击“配置服务程序”生成木马。

第四步，IP通常是黑客电脑的IP地址，因为生成的木马需要植入目标，它会自动连接黑客并发送信息，故填写“192.168.44.130”地址。

第五步，在“安装选项”中，通常会勾选“安装成功后自动删除安装文件”选项。而提示安装成功和运行显示图标会暴露恶意软件。

第六步，设置启动项，这里的显示名称设置为“hgz”。

注意，有的木马为什么比较难找？因为我们会将木马服务名称和描述修改，伪装成正常程序所运行的服务。比如服务名称修改为“windows system”，描述信息修改为“system重要进程”。

本地服务查找如下图所示：

第七步，高级选项可以将木马伪装成“IEXPLORE.EXE”进程，这里不加壳。

第八步，接着点击底部的方块，选择所制作木马的保存路径。这里设置为“eastmount_csdn.exe”。

第九步，最后点击“生成服务器”，成功制作木马。

此时，桌面产生了一个“eastmount_csdn.exe”程序，即为我们的木马。

四.木马劫持远程主机实验

接下来我们想办法将木马发送给目标主机Windows Server 2003。这里作者直接通过文件共享功能让Windows Server 2003服务器主动下载，但真实场景的木马如何发送给目标也是一个难点，比如之前我们的是通过IPC$漏洞上传的，其他方法包括远程共享漏洞、网站钓鱼、社会工程学、0day漏洞等。

推荐前文：

四十三.木马原理详解、远程服务器IPC$漏洞及木马植入实验

第一步，将生成的木马“eastmount_csdn”文件共享给Windows Server 2003。

• 攻击机（黑客）：Windows XP
• 受害机（肉鸡）：Windows Server 2003

第二步，双击木马运行之后，我们的攻击机XP系统可以看到目标主机已经上线。

第三步，由于目标服务器只有C盘，我们现在创建一个“hello.txt”文件，如下图所示。

攻击机XP系统可以下载目标主机的文件，比如“hello.txt”。

第四步，点击“屏幕截获”可以监控目标的屏幕。

点击“传送鼠标和键盘操作”按钮，可以操作目标肉鸡。

第五步，点击“视频语音”可以检测目标的视频和语音，所以大家的麦克风和摄像头一定做好保护措施。

第六步，点击“Telnet”可以进入控制台执行相关操作，比如输入“ipconfig”查看网络，“md xxx”创建文件夹。

再次强调：一定不能通过该方法去控制别人的机器，这是违法行为。本人坚决反对利用教学方法进行犯罪的行为，一切犯罪行为必将受到严惩，绿色网络需要我们共同维护，更推荐大家了解它们背后的原理，虚拟机中测试，更好地进行防护。

五.Procmon解析恶意样本进程和注册表

Process Monitor是微软推荐的一款系统监视工具，能够实时显示文件系统、注册表（读写）、网络连接与进程活动的高级工具。它整合了旧的Sysinternals工具、Filemon与Regmon，其中Filemon专门用来监视系统中的任何文件操作过程，Regmon用来监视注册表的读写操作过程。

Filemon：文件监视器

Regmon：注册表监视器

推荐前文： 四十九.Procmon软件基本用法及文件进程、注册表查看

第一步，打开Procmon软件并检测灰鸽子木马。

第二步，点击filter->filter，设置过滤器。进程名设置为包含“灰鸽子”。

在弹出的对话框中Architecture下拉框，选择Process Name填写要分析的应用程序名字，点击Add添加，最后点击右下角的Apply。

第三步，在灰鸽子远程控制软件点击刷新，然后查看灰鸽子软件相关信息。

输出结果中包括序号、时间点、进程名称、PID、操作、路径、结果、描述等，监控项通常包括文件系统、注册表、进程、剖析事件。

通过分析，我们发现灰鸽子木马在“C:Windows”目录下生成了一个临时程序，名称为“Hacker.com.cn.exe”。同时，读者可以尝试更深入地分析，去了解该恶意样本究竟加载了哪些DLL、EXE文件，从而实现视频监控、键盘记录、远程连接等。

由于作者能力有限，后续随着系统安全学习深入，也会尝试逆向分析一些恶意样本。下面的代码是灰鸽子逆向的部分截图，其表示复制文件成“C:WindowsHacker.com.cn.exe”。

我们在Procmon软件中选中文件，右键“Jump to”可以查看对应的源文件。

第四步，我们在攻击机中使用Process Mointor监控相关行为。可以看到生成的服务是“IEXPLORE”，如下图所示。

最后，我们通过分析注册表行为发现HGZ木马是通过服务启动的。

注册表中对应“Hacker.com.cn”的字段。

下面是隐藏的“hgz”服务，同时每次开机都会自启动。

思考：如果我们中了灰鸽子木马，将怎么清除呢？在Windows Server 2003系统进程中关闭“IEXPLORE.EXE”进程，则控制主机Windows XP会自动下线。

如下图所示，肉鸡已经消失。但是重启后又会自动上线，那么，如何才能成功清除了吗？我们需要修改注册表、删除文件等一系列操作。

六.Wireshark解析恶意样本网络

流量分析也是恶意样本分析的重要手段。本文采用Wireshark监控灰鸽子木马与控制端的网络通信，包括tcp三次握手连接、被控端与控制端之间的通信过程、流量信息等。

推荐前文：十二.Wireshark安装入门及抓取网站用户名密码（一）

第一步，安装Wirkshark并选择本地网络进行流量监控。

第二步，由于灰鸽子是使用tcp通信的，故将条件设置为tcp，此时可以看到很多抓到的tcp连接的包。

显示的流量信息如下图所示：

同样，我们可以设置“ip.addr==192.168.44.131”查看相关流量信息。

七.防御及总结

写到这里，这篇文章就介绍完毕，主要包括三部分内容：

• 虚拟机中制作HGZ木马
• 控制目标服务器
• 通过Procmon分析恶意样本的文件加载及注册表操作
• 通过Wireshark分析恶意样本的流量

HGZ木马整体流程如下：

我们可以采用下列方式进行防御：

提高警惕性，别占小便宜，别点击垃圾链接或邮件

从官网下载程序，密码设置复杂，防止弱口令（数字大小写符号）爆破

设置防火墙、安装杀毒软件，定期杀毒并清理电脑

防止社会工程学诱骗或攻击

关于软件或系统漏洞，及时关闭远程服务或端口

摄像头、麦克风、路由器、网关、服务器等系统漏洞及人为防御

恶意样本库建立、黑白名单建立

希望这系列文章对您有所帮助，真的感觉自己技术好菜，要学的知识好多。这是第49篇原创的安全系列文章，从网络安全到系统安全，从木马病毒到后门劫持，从恶意代码到溯源分析，从渗透工具到二进制工具，还有Python安全、顶会论文、黑客比赛和漏洞分享。未知攻焉知防，人生漫漫其路远兮，作为初学者，自己真是爬着前行，感谢很多人的帮助，继续爬着，继续加油！

,