CN115659320A - 用于对客户端进行预设操作的方法、系统、装置及介质 - Google Patents
用于对客户端进行预设操作的方法、系统、装置及介质 Download PDFInfo
- Publication number
- CN115659320A CN115659320A CN202211693000.5A CN202211693000A CN115659320A CN 115659320 A CN115659320 A CN 115659320A CN 202211693000 A CN202211693000 A CN 202211693000A CN 115659320 A CN115659320 A CN 115659320A
- Authority
- CN
- China
- Prior art keywords
- file
- host
- target
- program
- executable file
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Information Transfer Between Computers (AREA)
Abstract
本申请实施例提供了用于对客户端进行预设操作的方法、系统、装置及介质,该方法包括:通过诱饵文件向目标客户端发送控制程序,其中,所述控制程序用于控制所述目标客户端从所述第一系统包括的多个主机中获得目标程序,所述多个主机用于存储隐藏所述目标程序的隐藏文件;通过所述目标程序对所述目标客户端进行预设操作,获得操作结果信息。通过本申请的一些实施例能够实现对控制程序的隐藏,从而对攻击设备进行无感知操作,进而能够直接反制攻击者,实现自动溯源反制。
Description
技术领域
本申请实施例涉及网络安全领域,具体涉及一种用于对客户端进行预设操作的方法、系统、装置及介质。
背景技术
随着现代互联网技术的发展,越来越多互联网企业出现,并且伴随着大量的互联网资产出现,由于实际业务中攻击方和防御方信息不对等的原因,单纯依靠网络安全产品(例如,入侵防御系统、入侵检测系统等),很难对攻击设备的入侵进行反制。相关技术中,通过可执行文件反射的方式实现无文件落地反制,但是目前的攻击设备已经能够识别该反制方式,导致反制效果不佳。
因此,如何对攻击设备进行高效反制成为需要解决的问题。
发明内容
本申请实施例提供一种用于对客户端进行预设操作的方法、系统、装置及介质,通过本申请的一些实施例至少能够实现对控制程序的隐藏,从而对攻击设备进行无感知操作,进而能够直接反制攻击者,实现自动溯源反制。
第一方面,本申请提供了一种用于对客户端进行预设操作的方法,应用于第一系统,所述方法包括:通过诱饵文件向目标客户端发送控制程序,其中,所述控制程序用于控制所述目标客户端从所述第一系统包括的多个主机中获得目标程序,所述多个主机用于存储隐藏所述目标程序的隐藏文件;通过所述目标程序对所述目标客户端进行预设操作,获得操作结果信息。
因此,与相关技术中仅通过可执行文件隐藏控制程序不同的是,本申请在第一系统的多个主机上均放置隐藏文件,从而能够对攻击设备进行无感知操作,进而能够直接反制攻击者,实现自动溯源反制。
结合第一方面,在本申请的一种实施方式中,所述多个主机包括第一主机和第二主机,所述隐藏文件包括可执行文件,其中,所述控制程序是通过所述第一主机向所述目标客户端发送的;所述控制程序还用于:控制所述目标客户端访问所述第二主机,并且下载所述第二主机中存储的所述可执行文件;通过执行所述可执行文件,将所述目标程序下载到所述可执行文件中,获得可执行目标程序;通过所述可执行目标程序对所述目标客户端进行预设操作,获得所述操作结果信息。
因此,本申请实施例通过将可执行文件作为其中一个隐藏文件,能够通过可执行文件进行后续的隐藏文件的操作,从而提升控制程序的隐藏效果。
结合第一方面,在本申请的一种实施方式中,所述多个主机还包括第三主机和第四主机,所述隐藏文件还包括下载指令文件;所述控制程序还用于:通过执行所述可执行文件,控制所述目标客户端访问所述第三主机;从所述第三主机中下载所述下载指令文件;通过执行所述下载指令文件访问第四主机,并且将所述目标程序下载到所述可执行文件中,获得可执行目标程序。
因此,本申请实施例通过从第三主机中下载下载指令文件,能够使目标客户端去第四主机下载目标程序,从而能够使目标客户端无感知的下载目标程序。
结合第一方面,在本申请的一种实施方式中,所述可执行文件包括第一可执行文件和第二可执行文件;所述控制程序还用于:控制所述目标客户端访问所述第二主机,并且下载所述第二主机中存储的所述第一可执行文件;通过执行所述第一可执行文件加载所述第二可执行文件;通过执行所述第二可执行文件,控制所述目标客户端访问所述第三主机。
因此,本申请实施例通过执行第一可执行文件加载第二可执行文件,能够更高效的隐藏下载目标程序的目的。
第二方面,本申请提供了一种用于对客户端进行预设操作的方法,应用于目标客户端,所述方法包括:获取第一系统通过诱饵文件发送的控制程序;运行所述控制程序,访问所述第一系统中包括的多个主机,获得目标程序,其中,所述多个主机用于存储隐藏所述目标程序的隐藏文件;运行所述目标程序,接受所述第一系统对所述目标客户端进行的预设操作得到操作结果信息。
因此,本申请实施例通过执行控制程序去多个主机获取目标程序,能够有效的实现无感知反制。
结合第二方面,在本申请的一种实施方式中,所述多个主机包括第一主机和第二主机,所述隐藏文件包括可执行文件,其中,所述控制程序是通过所述第一主机向所述目标客户端发送的;所述运行所述控制程序,访问所述第一系统中包括的多个主机,获得目标程序,包括:运行所述控制程序,访问所述第二主机,并且下载所述第二主机中存储的所述可执行文件;执行所述可执行文件,将所述目标程序下载到所述可执行文件中,获得可执行目标程序;所述运行所述目标程序,接受所述第一系统对所述目标客户端进行的预设操作得到操作结果信息,包括:运行所述可执行目标程序,接受所述第一系统对所述目标客户端进行的预设操作得到操作结果信息。
结合第二方面,在本申请的一种实施方式中,所述多个主机还包括第三主机和第四主机,所述隐藏文件还包括下载指令文件;所述执行所述可执行文件,将所述目标程序下载到所述可执行文件中,获得可执行目标程序,包括:执行所述可执行文件,访问所述第三主机;从所述第三主机中下载所述下载指令文件;执行所述下载指令文件,访问第四主机,并且将所述目标程序下载到所述可执行文件中,获得可执行目标程序。
结合第二方面,在本申请的一种实施方式中,所述可执行文件包括第一可执行文件和第二可执行文件;所述执行所述可执行文件,访问所述第三主机,包括:执行所述可执行文件,访问所述第二主机,并且下载所述第二主机中存储的所述第一可执行文件;执行所述第一可执行文件加载所述第二可执行文件;执行所述第二可执行文件,并且访问所述第三主机。
第三方面,本申请提供了一种用于对客户端进行预设操作的装置,应用于第一系统,所述装置包括:文件发送模块,被配置为通过诱饵文件向目标客户端发送控制程序,其中,所述控制程序用于控制所述目标客户端从所述第一系统包括的多个主机中获得目标程序,所述多个主机用于存储隐藏所述目标程序的隐藏文件;操作控制模块,被配置为通过所述目标程序对所述目标客户端进行预设操作,获得操作结果信息。
结合第三方面,在本申请的一种实施方式中,所述多个主机包括第一主机和第二主机,所述隐藏文件包括可执行文件,其中,所述控制程序是通过所述第一主机向所述目标客户端发送的;所述控制程序还用于:控制所述目标客户端访问所述第二主机,并且下载所述第二主机中存储的所述可执行文件;通过执行所述可执行文件,将所述目标程序下载到所述可执行文件中,获得可执行目标程序;通过所述可执行目标程序对所述目标客户端进行预设操作,获得所述操作结果信息。
结合第三方面,在本申请的一种实施方式中,所述多个主机还包括第三主机和第四主机,所述隐藏文件还包括下载指令文件;所述控制程序还用于:通过执行所述可执行文件,控制所述目标客户端访问所述第三主机;从所述第三主机中下载所述下载指令文件;通过执行所述下载指令文件访问第四主机,并且将所述目标程序下载到所述可执行文件中,获得可执行目标程序。
结合第三方面,在本申请的一种实施方式中,所述可执行文件包括第一可执行文件和第二可执行文件;所述控制程序还用于:控制所述目标客户端访问所述第二主机,并且下载所述第二主机中存储的所述第一可执行文件;通过执行所述第一可执行文件加载所述第二可执行文件;通过执行所述第二可执行文件,控制所述目标客户端访问所述第三主机。
第四方面,本申请提供了一种用于对客户端进行预设操作的装置,应用于目标客户端,所述装置包括:程序获取模块,被配置为获取第一系统通过诱饵文件发送的控制程序;程序运行模块,被配置为运行所述控制程序,访问所述第一系统中包括的多个主机,获得目标程序,其中,所述多个主机用于存储隐藏所述目标程序的隐藏文件;操作结果获取模块,被配置为运行所述目标程序,接受所述第一系统对所述目标客户端进行的预设操作得到操作结果信息。
结合第四方面,在本申请的一种实施方式中,所述多个主机包括第一主机和第二主机,所述隐藏文件包括可执行文件,其中,所述控制程序是通过所述第一主机向所述目标客户端发送的;所述程序运行模块还被配置为:运行所述控制程序,访问所述第二主机,并且下载所述第二主机中存储的所述可执行文件;执行所述可执行文件,将所述目标程序下载到所述可执行文件中,获得可执行目标程序;所述操作结果获取模块还被配置为:运行所述可执行目标程序,接受所述第一系统对所述目标客户端进行的预设操作得到操作结果信息。
结合第四方面,在本申请的一种实施方式中,所述多个主机还包括第三主机和第四主机,所述隐藏文件还包括下载指令文件;所述程序运行模块还被配置为:执行所述可执行文件,访问所述第三主机;从所述第三主机中下载所述下载指令文件;执行所述下载指令文件,访问第四主机,并且将所述目标程序下载到所述可执行文件中,获得可执行目标程序。
结合第四方面,在本申请的一种实施方式中,所述可执行文件包括第一可执行文件和第二可执行文件;所述程序运行模块还被配置为:执行所述可执行文件,访问所述第二主机,并且下载所述第二主机中存储的所述第一可执行文件;执行所述第一可执行文件加载所述第二可执行文件;执行所述第二可执行文件,并且访问所述第三主机。
第五方面,本申请提供了一种用于对客户端进行预设操作的系统,所述系统包括:第一系统,被配置为通过诱饵文件发送控制程序;目标客户端,被配置为获取所述控制程序,并且根据所述控制程序执行如第二方面任意实施例所述的方法,获得操作结果信息。
第六方面,本申请提供了一种电子设备,包括:处理器、存储器和总线;所述处理器通过所述总线与所述存储器相连,所述存储器存储有计算机程序,所述计算机程序由所述处理器执行时可实现如第一方面和第二方面任意实施例所述的方法。
第七方面,本申请提供了一种计算机可读存储介质,该计算机可读存储介质上存储有计算机程序,该计算机程序被执行时可实现如第一方面和第二方面任意实施例所述的方法。
附图说明
图1为本申请实施例示出的用于对客户端进行预设操作的系统;
图2为本申请实施例示出的用于对客户端进行预设操作的方法流程图之一;
图3为本申请实施例示出的用于对客户端进行预设操作的方法流程图之二;
图4为本申请实施例示出的用于对客户端进行预设操作的装置组成示意图;
图5为本申请实施例示出的电子设备组成示意图。
具体实施方式
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中附图,对本申请实施例中的技术方案进行清楚、完整的描述,显然,所描述的实施例仅仅是本申请的一部分实施例,而不是全部实施例。通常在此处附图中描述和示出的本申请实施例的组件可以以各种不同的配置来布置和设计。因此,以下对附图中提供的本申请的实施例的详情描述并非旨在限制要求保护的本申请的范围,而是仅仅表示本申请的选定实施例。基于本申请的实施例,本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本申请保护范围。
本申请实施例可以应用于蜜罐系统对攻击设备进行反制的场景,为了改善背景技术中的问题,在本申请的一些实施例中,蜜罐系统通过诱饵文件向攻击设备发送控制程序,以使攻击设备执行控制程序在蜜罐系统中下载目标程序。例如,在本申请的一些实施例中,蜜罐系统通过诱饵文件向攻击设备发送控制程序,控制程序控制攻击设备从蜜罐系统包括的多个主机中获得目标程序,多个主机用于存储隐藏目标程序的隐藏文件,之后蜜罐系统通过目标程序对攻击设备进行预设操作,获得操作结果信息。
下面结合附图详细描述本申请实施例中的方法步骤。
图1提供了本申请一些实施例中的用于对客户端进行预设操作的系统的结构图,该系统包括第一系统110和目标客户端120。具体的,第一系统110通过诱饵文件向目标客户端发送控制程序,控制程序控制攻击设备从第一系统包括的多个主机中获得目标程序,之后第一系统通过目标程序对目标客户端进行预设操作,获得操作结果信息。
与本申请实施例不同的是相关技术中,通过可执行文件反射的方式实现无文件落地反制,但是目前的攻击设备已经能够识别该反制方式,导致反制效果不佳。而本申请通过控制攻击设备获取多个隐藏文件,最终才去获取目标程序,因此本申请的实施例能够对攻击设备进行无感知操作,进而能够直接反制攻击者,实现自动溯源反制。
下面以蜜罐系统为例示例性的阐述本申请一些实施例提供的用于对客户端进行预设操作的方法的技术方案。
需要说明的是,在本申请的网络安全领域中,第一系统可以是蜜罐系统,目标客户端可以是攻击设备,目标程序可以是反制程序。
至少为了解决背景技术中的问题,如图2所示,本申请一些实施例提供了一种用于对客户端进行预设操作的方法,该方法包括:
S210,通过诱饵文件向目标客户端发送控制程序。
需要说明的是,蜜罐系统中设置了多个主机,多个主机中存储的是用于隐藏目标程序的隐藏文件和目标程序本身。作为本申请一具体实施,多个主机为第一主机、第二主机、第三主机和第四主机,第一主机存储的是诱饵文件(即A文件)和控制程序(即B文件),第二主机存储的是可执行文件,包括第一可执行文件(即C文件)和第二可执行文件(即D文件),第三主机存储的是下载指令文件,第四主机存储的是目标程序(即反制木马)。
可以理解的是,多个主机可以是任何形式的能够存储文件的设备,例如,服务器、电脑等。
在本申请的一种实施方式中,蜜罐系统在接收到发送控制程序的指令之后,通过第一主机中存储的诱饵文件向攻击设备发送控制程序,也就是说,将控制程序隐藏在诱饵文件中,以使攻击设备在下载诱饵文件的同时,触发控制程序的隐藏下载地址,进而下载到了控制程序。
具体的,作为本申请一具体实施例,在蜜罐系统监测到攻击设备打开了剪切板,说明攻击设备正在进行获取蜜罐系统中的信息,即正在进行攻击行为,那么,此时蜜罐系统立即获取剪切板的内容,之后输出剪切板原始的内容(即诱饵文件),并且清空剪切板,将替换的内容(即控制程序)拷贝给指定内存,并且将指定内存中的控制程序设置到剪切板中,由此,攻击设备下载到的就是控制程序,而不是蜜罐系统中的其他信息。
作为本申请另一具体实施例,蜜罐系统立即获取剪切板的内容之后,输出剪切板原始的内容(即诱饵文件)并且将诱饵文件留存在剪切板中,将替换的内容(即控制程序)拷贝给指定内存,并且将指定内存中的控制程序设置到剪切板中,也就是说,此时剪切板中即有诱饵文件又有控制程序,攻击设备将诱饵文件和控制程序一起进行下载。
作为本申请再一具体实施例,如果攻击设备是已知木马客户端且有相应的控制程序代码,则直接利用攻击设备的漏洞发送相应的控制程序,并且利用控制程序触发后续操作。如果是新的攻击设备则将攻击设备的信息传入缺省服务器,说明暂时没有攻击设备相对应的漏洞,无法通过漏洞的形式将控制程序发送到攻击设备,可以等待攻击设备主动下载诱饵文件。
在本申请的一种实施方式中,在攻击设备获取到控制程序之后,控制程序可以自动在攻击设备中运行,也可以人工点击控制程序之后开始运行。在控制程序开始运行之后,控制攻击设备执行如下步骤:
步骤一:运行控制程序,访问第二主机,并且下载第二主机中存储的可执行文件。
也就是说,通过漏洞或者引诱攻击设备的管理者双击运行控制程序,之后攻击设备进行注册、请求并且调用接口访问第二主机。在连接到第二主机之后,将第二主机上存储的可执行文件以DCOM方式注册到攻击设备。
具体的,第二主机中的可执行文件包括第一可执行文件和第二可执行文件,其中,第一可执行文件可以是exe文件(executable file),第二可执行文件可以是动态链接库(Dynamic Link Library,DLL)文件。在第二主机既存在exe文件又存在DLL文件的情况下,可以两个均下载;在第二主机只存在DLL文件的情况下,可以只下载DLL文件。
步骤二:执行可执行文件,将目标程序下载到可执行文件中,获得可执行目标程序。
首先,执行可执行文件,访问第三主机。
作为本申请一具体实施例,在第二主机既存在exe文件又存在DLL文件的情况下,先下载exe文件,之后执行exe文件加载DLL文件,之后再执行DLL文件,并且访问第三主机。
具体的,如果攻击设备注册了exe文件,控制程序会控制攻击设备调用执行进程DCOM接口运行第二主机中的DLL文件,此时,攻击设备的本机可以看到一个系统svchost进程运行了exe文件的进程,由于exe文件为一个安全文件(即白名单文件),攻击设备就会继续加载并执行第二主机中存储的DLL文件。
作为本申请另一具体实施例,在第二主机只存在DLL文件的情况下,只下载DLL文件,之后执行DLL文件,并且访问第三主机。
具体的,如果攻击设备直接注册了DLL文件,则会调用加载DLL文件的分布式组件对象模型( Distributed Component Object Model,DCOM)接口加载DLL文件,之后执行DLL文件,并且访问第三主机。
可以理解的是,在当前步骤中,攻击设备的本机可以看到一个新系统svchost被运行,整个过程通过DCOM实现,exe文件和DLL文件均没有在攻击设备上落地,以使攻击设备对执行可执行文件步骤无感知。
然后,从第三主机中下载下载指令文件,执行下载指令文件,访问第四主机,并且将目标程序下载到可执行文件中,获得可执行目标程序。
也就是说,在运行DLL文件之后,DLL文件可以控制攻击设备访问蜜罐系统的第三主机,下载第三主机中存储的ShellCode(即下载指令文件),其中,ShellCode的实际功能为控制第三主机进行下载操作。在运行ShellCode之后,攻击设备访问蜜罐系统的第四主机,下载第四主机中存储的目标程序。
具体的,DLL文件是一个控制第三主机进行下载操作的文件,以使攻击设备下载第三主机上的Shellcode并执行,Shellcode文件也是一个实际功能为控制攻击设备进行下载操作的文件,以使攻击设备下载蜜罐系统的第四主机的目标程序,将目标程序反射注入DLL文件并执行,反射注入DLL文件的目标程序为反制木马,之后连接攻击设备,以使整体过程没有文件在攻击设备中落地,同时也没有新进程新模块的加载。
S220,通过目标程序对目标客户端进行预设操作,获取操作结果信息。
具体的,将目标程序反射注入DLL文件之后,获得可执行目标程序,攻击设备执行可执行目标程序之后,蜜罐系统会获取到攻击设备中的攻击信息,其中,攻击信息可以包括攻击设备的真实IP地址、对真实IP地址伪装之后的伪装IP地址、攻击进程信息等,蜜罐系统在获取到攻击信息之后,将攻击信息发送给网络安全设备,网络安全设备根据攻击信息更新威胁情报,以使能够抵御攻击设备的攻击,保证系统安全。
也就是说,在本申请网络安全的场景中预设操作可以是获取到攻击设备中的攻击信息,操作结果信息也就对应的是获取的多种类型的攻击信息。
需要说明的是,本申请不限制于网络安全场景,本申请还可以应用于总体控制机器(第一系统)对内网中的目标客户端进行控制,快速读取目标客户端中的信息,提高信息交互的效率。本申请的使用场景不限于此。
作为本申请一具体实施例,相关技术中,存在针对于漏洞挖掘的方案,并没有利用漏洞以及与实际攻击场景相结合的方案。当前互联网协议群(Internet Protocol Suite,IPS)产品主要是在攻击设备进行攻击时检测到攻击行为并及时阻断,但缺乏后续进一步溯源反制行动。
因此,为了解决相关技术中的问题,本申请通过一种特殊的DCOM方式借助系统特性无文件落地执行反制代码(即目标程序)。基于组件对象模型(Component Object Model,COM) 和远程过程调用(Remote Procedure Call,RPC)通信机制,并结合具体攻击场景,直接反制攻击设备,最终达到自动化溯源反制这一目标。
具体的,如图3所示,第一主机310上存储有A诱饵文件和B反制程序(即控制程序),第二主机320上存储有C文件(exe文件)和D文件(DLL文件),第三主机330上存储有一段ShellCode,实际功能为控制客户端(即攻击设备)进行下载操作,第四主机340中存储了反射注入D文件的反制木马(即目标程序)。具体的实施过程为:蜜罐系统的第一主机通过诱饵文件将反制程序发送到攻击设备,通过漏洞或者引诱攻击者双击运行反制程序,之后在攻击设备中开始执行S350反制程序运行,控制攻击设备注册COM,请求第二主机以及调用第二主机文件,通过DCOM的方式获取第二主机中的exe文件和DLL文件,并且通过DCOM在系统进程360中通过第二主机中的C文件或D文件的执行接口,执行S370执行C文件或D文件,之后攻击设备访问第三主机,下载并执行ShellCode,通过执行ShellCode访问第四主机,并且将第四主机中的反制木马,反射注入到D文件中,最后,执行包含有反制木马的D文件,对攻击设备进行预设操作。
因此,本申请提出一种溯源反制方式,可以应用于企业内网蜜罐,或者其他拟态防御思想的场景里,当攻击设备入侵某家企业时,一旦下载了某处蜜罐服务器(蜜罐服务器上部署的蜜罐系统)上的诱饵文件,就会自动反制攻击设备,控制攻击设备,进一步达到溯源反制目的。
因此,本申请不仅可以做到传统意义上及时检测并阻断攻击设备的攻击,而且更可以进一步直接反制攻击设备,控制攻击设备,从而获取攻击设备上的各种信息,进而为进一步建立攻击设备画像提供准确的信息。本申请同时也兼顾漏洞挖掘与漏洞利用,并和实际场景相结合,反制攻击设备。
因此,本申请的技术关键点在于,通过劫持剪切板将控制程序发送到攻击设备,通过漏洞自动挖掘和漏洞自动利用使攻击设备运行控制程序,通过DCOM注册远程文件并执行,保证攻击设备无文件落地。
上文描述了本申请的一种用于对客户端进行预设操作的方法,下文将描述用于对客户端进行预设操作的装置。
如图4所示,本申请的一些实施例提供一种用于对客户端进行预设操作的装置400,该装置包括:文件发送模块410和操作控制模块420。
文件发送模块410,被配置为通过诱饵文件向目标客户端发送控制程序,其中,所述控制程序用于控制所述目标客户端从所述第一系统包括的多个主机中获得目标程序,所述多个主机用于存储隐藏所述目标程序的隐藏文件。
操作控制模块420,被配置为通过所述目标程序对所述目标客户端进行预设操作,获得操作结果信息。
在本申请的一种实施方式中,所述多个主机包括第一主机和第二主机,所述隐藏文件包括可执行文件,其中,所述控制程序是通过所述第一主机向所述目标客户端发送的;所述控制程序还用于:控制所述目标客户端访问所述第二主机,并且下载所述第二主机中存储的所述可执行文件;通过执行所述可执行文件,将所述目标程序下载到所述可执行文件中,获得可执行目标程序;通过所述可执行目标程序对所述目标客户端进行预设操作,获得所述操作结果信息。
在本申请的一种实施方式中,所述多个主机还包括第三主机和第四主机,所述隐藏文件还包括下载指令文件;所述控制程序还用于:通过执行所述可执行文件,控制所述目标客户端访问所述第三主机;从所述第三主机中下载所述下载指令文件;通过执行所述下载指令文件访问第四主机,并且将所述目标程序下载到所述可执行文件中,获得可执行目标程序。
在本申请的一种实施方式中,所述可执行文件包括第一可执行文件和第二可执行文件;所述控制程序还用于:控制所述目标客户端访问所述第二主机,并且下载所述第二主机中存储的所述第一可执行文件;通过执行所述第一可执行文件加载所述第二可执行文件;通过执行所述第二可执行文件,控制所述目标客户端访问所述第三主机。
本申请还提供了一种用于对客户端进行预设操作的装置,应用于目标客户端,所述装置包括:程序获取模块,被配置为获取第一系统通过诱饵文件发送的控制程序;程序运行模块,被配置为运行所述控制程序,访问所述第一系统中包括的多个主机,获得目标程序,其中,所述多个主机用于存储隐藏所述目标程序的隐藏文件;操作结果获取模块,被配置为运行所述目标程序,接受所述第一系统对所述目标客户端进行的预设操作得到操作结果信息。
在本申请的一种实施方式中,所述多个主机包括第一主机和第二主机,所述隐藏文件包括可执行文件,其中,所述控制程序是通过所述第一主机向所述目标客户端发送的;所述程序运行模块还被配置为:运行所述控制程序,访问所述第二主机,并且下载所述第二主机中存储的所述可执行文件;执行所述可执行文件,将所述目标程序下载到所述可执行文件中,获得可执行目标程序;所述操作结果获取模块还被配置为:运行所述可执行目标程序,接受所述第一系统对所述目标客户端进行的预设操作得到操作结果信息。
在本申请的一种实施方式中,所述多个主机还包括第三主机和第四主机,所述隐藏文件还包括下载指令文件;所述程序运行模块还被配置为:执行所述可执行文件,访问所述第三主机;从所述第三主机中下载所述下载指令文件;执行所述下载指令文件,访问第四主机,并且将所述目标程序下载到所述可执行文件中,获得可执行目标程序。
在本申请的一种实施方式中,所述可执行文件包括第一可执行文件和第二可执行文件;所述程序运行模块还被配置为:执行所述可执行文件,访问所述第二主机,并且下载所述第二主机中存储的所述第一可执行文件;执行所述第一可执行文件加载所述第二可执行文件;执行所述第二可执行文件,并且访问所述第三主机。
在本申请实施例中,图4所示模块能够实现图1、图2和图3方法实施例中的各个过程。图4中的各个模块的操作和/或功能,分别为了实现图1、图2和图3中的方法实施例中的相应流程。具体可参见上述方法实施例中的描述,为避免重复,此处适当省略详细描述。
如图5所示,本申请实施例提供一种电子设备500,包括:处理器510、存储器520和总线530,所述处理器通过所述总线与所述存储器相连,所述存储器存储有计算机可读取指令,当所述计算机可读取指令由所述处理器执行时,用于实现如上述所有实施例中任一项所述的方法,具体可参见上述方法实施例中的描述,为避免重复,此处适当省略详细描述。
其中,总线用于实现这些组件直接的连接通信。其中,本申请实施例中处理器可以是一种集成电路芯片,具有信号的处理能力。上述的处理器可以是通用处理器,包括中央处理器(Central Processing Unit,简称CPU)、网络处理器(Network Processor,简称NP)等;还可以是数字信号处理器(DSP)、专用集成电路(ASIC)、现成可编程门阵列(FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
存储器可以是,但不限于,随机存取存储器(Random Access Memory,RAM),只读存储器(Read Only Memory,ROM),可编程只读存储器(Programmable Read-Only Memory,PROM),可擦除只读存储器(Erasable Programmable Read-Only Memory,EPROM),电可擦除只读存储器(Electric Erasable Programmable Read-Only Memory,EEPROM)等。存储器中存储有计算机可读取指令,当所述计算机可读取指令由所述处理器执行时,可以执行上述实施例中所述的方法。
可以理解,图5所示的结构仅为示意,还可包括比图5中所示更多或者更少的组件,或者具有与图5所示不同的配置。图5中所示的各组件可以采用硬件、软件或其组合实现。
本申请实施例还提供一种计算机可读存储介质,该计算机可读存储介质上存储有计算机程序,该计算机程序被服务器执行时实现上述所有实施方式中任一所述的方法,具体可参见上述方法实施例中的描述,为避免重复,此处适当省略详细描述。
以上所述仅为本申请的优选实施例而已,并不用于限制本申请,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应所述以权利要求的保护范围为准。
Claims (12)
1.一种用于对客户端进行预设操作的方法,其特征在于,应用于第一系统,所述方法包括:
通过诱饵文件向目标客户端发送控制程序,其中,所述控制程序用于控制所述目标客户端从所述第一系统包括的多个主机中获得目标程序,所述多个主机用于存储隐藏所述目标程序的隐藏文件;
通过所述目标程序对所述目标客户端进行预设操作,获得操作结果信息。
2.根据权利要求1所述的方法,其特征在于,所述多个主机包括第一主机和第二主机,所述隐藏文件包括可执行文件,其中,所述控制程序是通过所述第一主机向所述目标客户端发送的;
所述控制程序还用于:
控制所述目标客户端访问所述第二主机,并且下载所述第二主机中存储的所述可执行文件;
通过执行所述可执行文件,将所述目标程序下载到所述可执行文件中,获得可执行目标程序;
通过所述可执行目标程序对所述目标客户端进行预设操作,获得所述操作结果信息。
3.根据权利要求2所述的方法,其特征在于,所述多个主机还包括第三主机和第四主机,所述隐藏文件还包括下载指令文件;
所述控制程序还用于:
通过执行所述可执行文件,控制所述目标客户端访问所述第三主机;
从所述第三主机中下载所述下载指令文件;
通过执行所述下载指令文件访问所述第四主机,并且将所述目标程序下载到所述可执行文件中,获得所述可执行目标程序。
4.根据权利要求3所述的方法,其特征在于,所述可执行文件包括第一可执行文件和第二可执行文件;
所述控制程序还用于:
控制所述目标客户端访问所述第二主机,并且下载所述第二主机中存储的所述第一可执行文件;
通过执行所述第一可执行文件加载所述第二可执行文件;
通过执行所述第二可执行文件,控制所述目标客户端访问所述第三主机。
5.一种用于对客户端进行预设操作的方法,其特征在于,应用于目标客户端,所述方法包括:
获取第一系统通过诱饵文件发送的控制程序;
运行所述控制程序,访问所述第一系统中包括的多个主机,获得目标程序,其中,所述多个主机用于存储隐藏所述目标程序的隐藏文件;
运行所述目标程序,接受所述第一系统对所述目标客户端进行的预设操作得到操作结果信息。
6.根据权利要求5所述的方法,其特征在于,所述多个主机包括第一主机和第二主机,所述隐藏文件包括可执行文件,其中,所述控制程序是通过所述第一主机向所述目标客户端发送的;
所述运行所述控制程序,访问所述第一系统中包括的多个主机,获得目标程序,包括:
运行所述控制程序,访问所述第二主机,并且下载所述第二主机中存储的所述可执行文件;
执行所述可执行文件,将所述目标程序下载到所述可执行文件中,获得可执行目标程序;
所述运行所述目标程序,接受所述第一系统对所述目标客户端进行的预设操作得到操作结果信息,包括:
运行所述可执行目标程序,接受所述第一系统对所述目标客户端进行的预设操作得到操作结果信息。
7.根据权利要求6所述的方法,其特征在于,所述多个主机还包括第三主机和第四主机,所述隐藏文件还包括下载指令文件;
所述执行所述可执行文件,将所述目标程序下载到所述可执行文件中,获得可执行目标程序,包括:
执行所述可执行文件,访问所述第三主机;
从所述第三主机中下载所述下载指令文件;
执行所述下载指令文件,访问第四主机,并且将所述目标程序下载到所述可执行文件中,获得可执行目标程序。
8.根据权利要求7所述的方法,其特征在于,所述可执行文件包括第一可执行文件和第二可执行文件;
所述执行所述可执行文件,访问所述第三主机,包括:
执行所述可执行文件,访问所述第二主机,并且下载所述第二主机中存储的所述第一可执行文件;
执行所述第一可执行文件加载所述第二可执行文件;
执行所述第二可执行文件,并且访问所述第三主机。
9.一种用于对客户端进行预设操作的装置,其特征在于,应用于第一系统,所述装置包括:
文件发送模块,被配置为通过诱饵文件向目标客户端发送控制程序,其中,所述控制程序用于控制所述目标客户端从所述第一系统包括的多个主机中获得目标程序,所述多个主机用于存储隐藏所述目标程序的隐藏文件;
操作控制模块,被配置为通过所述目标程序对所述目标客户端进行预设操作,获得操作结果信息。
10.一种用于对客户端进行预设操作的系统,其特征在于,所述系统包括:
第一系统,被配置为通过诱饵文件发送控制程序;
目标客户端,被配置为获取所述控制程序,并且根据所述控制程序执行如权利要求5-8任一项所述的方法,获得操作结果信息。
11.一种电子设备,其特征在于,包括:处理器、存储器和总线;
所述处理器通过所述总线与所述存储器相连,所述存储器存储有计算机程序,所述计算机程序由所述处理器执行时可实现如权利要求1-8任一项所述方法。
12.一种计算机可读存储介质,其特征在于,该计算机可读存储介质上存储有计算机程序,该计算机程序被执行时可实现如权利要求1-8任一项所述方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211693000.5A CN115659320B (zh) | 2022-12-28 | 2022-12-28 | 用于对客户端进行预设操作的方法、系统、装置及介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211693000.5A CN115659320B (zh) | 2022-12-28 | 2022-12-28 | 用于对客户端进行预设操作的方法、系统、装置及介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN115659320A true CN115659320A (zh) | 2023-01-31 |
| CN115659320B CN115659320B (zh) | 2023-04-21 |
Family
ID=85023662
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211693000.5A Active CN115659320B (zh) | 2022-12-28 | 2022-12-28 | 用于对客户端进行预设操作的方法、系统、装置及介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115659320B (zh) |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20120311691A1 (en) * | 2011-06-01 | 2012-12-06 | Raytheon Bbn Technologies Corp. | Systems and methods for decoy routing and covert channel bonding |
| CN114157454A (zh) * | 2021-11-16 | 2022-03-08 | 中国工商银行股份有限公司 | 攻击反制方法、装置、计算机设备和存储介质 |
| CN114205097A (zh) * | 2020-08-28 | 2022-03-18 | 奇安信科技集团股份有限公司 | 基于蜜罐系统的下载处理方法、装置和电子设备 |
-
2022
- 2022-12-28 CN CN202211693000.5A patent/CN115659320B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20120311691A1 (en) * | 2011-06-01 | 2012-12-06 | Raytheon Bbn Technologies Corp. | Systems and methods for decoy routing and covert channel bonding |
| CN114205097A (zh) * | 2020-08-28 | 2022-03-18 | 奇安信科技集团股份有限公司 | 基于蜜罐系统的下载处理方法、装置和电子设备 |
| CN114157454A (zh) * | 2021-11-16 | 2022-03-08 | 中国工商银行股份有限公司 | 攻击反制方法、装置、计算机设备和存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN115659320B (zh) | 2023-04-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11340890B2 (en) | Integrity assurance and rebootless updating during runtime | |
| US10552610B1 (en) | Adaptive virtual machine snapshot update framework for malware behavioral analysis | |
| US11036534B2 (en) | Techniques for serverless runtime application self-protection | |
| CN109684832B (zh) | 检测恶意文件的系统和方法 | |
| US9973531B1 (en) | Shellcode detection | |
| AU2016369460B2 (en) | Dual memory introspection for securing multiple network endpoints | |
| US9438623B1 (en) | Computer exploit detection using heap spray pattern matching | |
| US10649877B2 (en) | Macro-script execution control | |
| EP3374921A1 (en) | Launcher for setting analysis environment variations for malware detection | |
| CA3017936A1 (en) | System and method for reverse command shell detection | |
| CN114826787B (zh) | 一种针对后门攻击的主动对抗方法、系统、设备及介质 | |
| WO2013176711A2 (en) | Methods, systems, and media for inhibiting attacks on embedded devices | |
| AU2014254253A1 (en) | Executable component injection utilizing hotpatch mechanisms | |
| CN110839039A (zh) | 一种入侵者反制方法及装置 | |
| US20230275916A1 (en) | Detecting malicious activity on an endpoint based on real-time system events | |
| CN115659320B (zh) | 用于对客户端进行预设操作的方法、系统、装置及介质 | |
| CN111444509A (zh) | 基于虚拟机实现的cpu漏洞检测方法及系统 | |
| CN111444510A (zh) | 基于虚拟机实现的cpu漏洞检测方法及系统 | |
| EP2815350A2 (en) | Methods, systems, and media for inhibiting attacks on embedded devices | |
| Cherny et al. | Well, that escalated quickly! how abusing docker api led to remote code execution, same origin bypass and persistence in the hypervisor via shadow containers | |
| CN111382440A (zh) | 基于虚拟机实现的cpu漏洞检测方法及系统 | |
| CN111291368A (zh) | Cpu漏洞的防御方法及系统 | |
| US11636198B1 (en) | System and method for cybersecurity analyzer update and concurrent management system | |
| CN117640183A (zh) | 服务系统防护方法、装置、设备及存储介质 | |
| CN114362978A (zh) | Xss攻击防御方法及相关设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |