組策略欺騙，最隱蔽的后門

組策略后門更加隱蔽。往冊表中添加相應(yīng)鍵值實現(xiàn)隨系統(tǒng)啟動而運行是木馬常用的伎倆，也為大家所熟知。其實，在最策略中也可以實現(xiàn)該功能，不僅如此它還可以實現(xiàn)在系統(tǒng)關(guān)機時進(jìn)行某些操作。這就是通過最策略的“腳本（啟動/關(guān)機）”項來說實現(xiàn)。具體位置在“計算機配置→Windows設(shè)置”項下。因為其極具隱蔽性，因此常常被攻擊者利用來做服務(wù)器后門。

攻擊者獲得了服務(wù)器的控制權(quán)就可以通過這個后門實施對對主機的長期控制。它可以通過這個后門運行某些程序或者腳本，最簡單的比如創(chuàng)建一個管理員用戶，他可以這樣做：

（1）創(chuàng)建腳本

創(chuàng)建一個批處理文件add.bat，add.bat的內(nèi)容是：

@echo off & net user gslw$ test168 /add && netlocalgroup administrators gslw$ /add & exit 

（創(chuàng)建一個用戶名為gslw$密碼為test168的管理員用戶）。

（2）后門利用

在“運行”對話框中輸入gpedit.msc，定位到“計算機配置一>Windows設(shè)置一>腳本（啟動/關(guān)機）”， 雙擊右邊窗口的“關(guān)機”，在其中添加add.bat。就是說當(dāng)系統(tǒng)關(guān)機時創(chuàng)建gslw$用戶。對于一般的用戶是根本不知道在系統(tǒng)中有一個隱藏用戶，就是他看見并且刪除了該帳戶，當(dāng)系統(tǒng)關(guān)機時又會創(chuàng)建該帳戶。所以說，如果用戶不知道組策略中的這個地方那他一定會感到莫名其妙。

其實，對于組策略中的這個“后門”還有很多利用法，攻擊者通過它來運行腳本或者程序，嗅探管理員密碼等等。當(dāng)他們獲取了管理員的密碼后，就不用在系統(tǒng)中創(chuàng)建帳戶了，直接利用管理員帳戶遠(yuǎn)程登錄系統(tǒng)。因此它也是“雙刃劍”，希望大家重視這個地方。當(dāng)你為服務(wù)器被攻擊而莫名其妙時，說不定攻擊者就是通過它實現(xiàn)的。（圖6）

【編輯推薦】

1. 后門木馬隱藏技術(shù)分析
2. WINDOWS系統(tǒng)后門實例一
3. 如何全面清除計算機電腦病毒
4. WINDOWS系統(tǒng)后門實例二 圖
5. Windows組策略保障共享目錄安全
6. 安全設(shè)置Windows組策略有效阻止黑客