牛排大餐过后,略带醉意的Jack没有放纵自己沉沉睡去,为了查证使用了被盗QQ的目标用户身份,Jack知道他必须尽快开始工作。在帮助Sun申请了密码保护之后,Jack已成功的说服了Sun这两天暂时不要修改QQ密码也不要使用这个QQ,目的当然是为了避免打草惊蛇喽。面对Sun微微失望的眼神,Jack不由得在心中哀叹了一声,都是正义惹的祸。
要想真正确实的完成调查,进入目标用户的计算机是必要的,但是使用什么方法呢?根据对方被成功感染了QQ木马的情况来看,目标计算机上的恶意软件防范措施似乎不是很完善,Jack决定故伎重施,利用远程控制木马完成调查工作。
Jack的家 2006.1.16 星期一 23:08
经过了一番搜寻,Jack选中了Beast 2.07,这是一款功能相当全面的远程控制程序。通过将木马服务端植入到目标计算机,可以远程对该计算机执行几乎所有管理工作。
首先要生成一个木马服务端,通过Beast程序主界面上的Build Server按钮可以启动该功能。通常对于直接联入互联网的计算机来说选择缺省的Direct Connection连接方式即可,当然为了更好的穿透防火墙的保护也可以选择Reverse Connection(反向连接)。Listen Port一项Jack保留了默认的6666作为木马服务端的连接端口,而连接密码一项Jack设为了1234。木马服务端的的文件名Jack设为了svchost.exe以加强隐藏能力,该服务端的放置位置被预设为Windows目录。
|
什么是反向连接
反向连接也被称为反弹式连接,是为了突破防火墙保护而形成的一种网络连接方法。由于防火墙规则通常禁止由外网向内网的网络连接但是却允许从内网向外网发起连接,所以很多恶意程序通过监听特定端口并使目标计算机主动连接自己的方式使防火墙保护失效。反向连接也有一些弱点,例如采用了反向连接的木马程序往往包含了所连接计算机的地址信息,这使得在目标用户在发现了木马程序之后可以很容易的的发现执行远程操控的计算机。
|
在设置好所有选项之后,点击Save Server按钮可以在Beast程序所在的目录生成一个名为server.exe的木马服务端程序。为了测试实际功能,Jack首先在自己的计算机上执行了该木马服务端,服务端被启动之后会自动将自己删除,而这时木马程序已经在悄悄的运行了。
可以看到Windows XP的防火墙检测到了svchost.exe也就是Beast服务端的启动,为了增加木马服务端成功感染的可能性,Jack还需要再进行一些配置才行。在木马服务端生成界面的左侧有一些高级的设置选项,点击AV-FW Kill按钮可以进入关闭防病毒软件和防火墙的界面,Beast可以在启动时关闭高达500种防病毒软件和防病毒软件以使自己不会被检测出来。Jack选中了Disable XP Firewall禁用Windows XP系统的防火墙功能,但是对于关闭防病毒软件和防火墙软件的选项Jack没有选择,因为这样相对容易被用户察觉。
在成功启动了木马服务端之后,Jack使用Beast的主程序尝试进行连接。在输入了本地计算机的IP地址、默认的连接端口、连接密码等信息之后,点击Go BEAST!按钮,Beast程序成功的连接到了正在运行的Beast服务端,从Beast程序主界面的状态栏可以查看到连接状态。连接完成之后就可以尝试各种管理功能了,例如点击Files按钮,Jack能够通过Beast程序以远程的方式管理该计算机上的文件。
Jack的家 2006.1.16 星期一 23:51
为了起到隐蔽的效果,Jack仍要将该木马程序与蒸汽男孩的图片绑定在一起。目前能实现可执行文件与图片捆绑的程序通常都是以网页机制生成木马,所以Jack在本地计算机的Web服务器上来进行木马的捆绑生成。
|
利用网页机制生成捆绑式木马
这种捆绑机制与在本地将正常文件和木马进行捆绑有很大的不同,与正常文件进行捆绑的并不是实际的木马程序而只是其启动程序,通常被称之为木马下载器(Trojan-Downloader)。当目标用户受到了木马下载器的感染,该程序会访问预先定义的Web地址并从该地址下载实际的木马程序。这种捆绑和感染机制的主要优点在于木马下载器远远小于实际的木马程序,所以具有更好的隐蔽性。另外非常重要的一点在于,通常以本地方式工作的文件捆绑程序生成的捆绑结果都是以.exe结尾的文件。尽管可以通过更换图标的方式将其制作成图片文件的样式,但是对于那些设置了显示文件扩展名的计算机,还是有很大的可能暴露木马程序的真面目。
|
Jack将前面生成的木马服务端程序和要捆绑的图片上传到了Web服务器的根目录,并启动了一个名为图片木马生成器的捆绑工具。在这个工具程序中设置好木马服务端所在的Web地址以及所要捆绑图片的Web地址,点击生成木马按钮就可以在指定文件路径生成一个捆绑好带有木马下载器的图片文件。执行这个捆绑后的图片,除了正常的图片仍能显示之外,计算机还会秘密的连接到捆绑木马时所设置的木马服务端地址下载该服务端程序。
Jack的家 2006.1.17 星期二 8:23
胸有成竹的Jack昨晚美美的睡了一觉,今天起床之后就要准备在一个公开的互联网服务器上进行木马服务端的捆绑染了木马下载器之后成功的被种入木马程序。不过非常奇怪的是这次捆绑后的图片文件却不能成功的启动木马程序,在试验了多个服务器之后都是如此。在经过一番检查之后,Jack并没有在这些服务器中找到上传的木马服务端,最大的可能就是服务器上的防病毒系统清除了木马程序,Jack不由得烦恼万分。
互动提示:
Jack
应该如何完成木马的捆绑工作呢?一种可能的方法就是仍旧在一台自己能完全控制的计算机上进行捆绑,不过这样的计算机往往不具有固定的IP地址;或者应该请教一下Ivon,他是公司的信息安全专家,也许他有办法使得木马程序不被防病毒系统清除。
本文转自 离子翼 51CTO博客,原文链接:http://blog.51cto.com/ionwing/61198,如需转载请自行联系原作者
