安裝了最新版的殺毒軟件對系統進行保護,時常查看進程,自認安全防護措施萬無一失,放心大膽地接收、運行別人發來的文件。然而,一段時間之後,機器中的文件被修改了。為什麼防火牆、殺毒軟件沒有提示?為什麼查看系統進程卻找不到任何可疑的跡象?為什麼采取了這麼多安全防護措施還是會“失守”?偽裝,你忽略了偽裝……
相信大家已通過前幾期的“木馬屠城”欄目,學會了木馬的制作、應用和傳播方面的技巧。正所謂“師傅領進門,修行在個人”,今天大家就可依靠自己的力量,綜合“木馬屠城”曾介紹過的知識,使用目前最流行的木馬輔助工具,DIY一個安全性十足的後門程序,讓這個後門程序同時具備進程偽裝、後台下載安裝、安全通過殺毒軟件等本領。(本文為WWW.SQ120.COM電腦知識網推薦文章)
說干就干,找齊下表中所列出的工具後就可馬上開“攻”了。我們今天的目標就是要把一款優秀的AngelShell木馬(Angel.exe)修改成具有自動後台下載、安裝並且能免被殺毒軟件查殺等特點的後門程序,同時還將它完美地種植到合法程序中去,讓攻擊目標防不勝防。
下載地址:http://www.sixvee.com/520yy/cpcw/cytkk-5.rar
第一步:多重加殼求自保
如果木馬程序被殺毒軟件查了出來,那我們的入侵就前功盡棄了,所以說給木馬加上一層“殼”(保護層)是目前應先做的事。Tw.WiNGWIt.cOm對於廣大攻擊者而言,成功躲避殺毒軟件的追殺就可使自己的木馬順利地在別人的機器中安家,而要做到這一點會用到的技術就是多重加殼(偽裝殼+壓縮殼)。
我們要用到的軟件就是采用多重加殼技術的EncryptPE,運行主程序EncryptPE.exe(圖1),在“加密文件”框內選擇要加殼的木馬文件“Angel.exe”,也可從資源管理器中將要加密的文件(EXE、DLL等)直接拖到 EncryptPE主界面中來。需要注意的是,在左側要選擇“壓縮自定義資源”和“文件中植入殼所需的DLL”。最後,直接點擊“加密”按鈕即可完成木馬程序的偽裝(加殼後的文件和原文件同名)。如此一來,再高明的殺毒軟件也會對經過我們手工加密後的木馬不聞不問。圖1
提示:如果是NT服務程序,可選中“特征整數”右側的Service項。
相對於簡單的加殼程序而言,EncryptPE具備操作更簡便的優勢,而且可以避免新手在進行多重加殼時走入誤區,即“先加壓縮殼,再加偽裝殼”(壓縮殼在內,偽裝殼在外,這種加殼方法是不安全的,極易被檢測或反編譯出來)。
通過這一步,我們的木馬程序就不會被殺毒軟件檢測出來了。在自身安全有了高度保證的情況下,我們就可以進行下一步的偽裝,讓木馬程序在對方不知情的情況下自行下載並安裝。
第二步:暗度陳倉運木馬
普通的木馬程序的體積都很龐大,如果貿然發送給對方勢必會引起懷疑,所以,我們得先讓對方執行一個小巧的後台下載程序,從而間接種植真正的木馬。對於廣大攻擊者而言,這一技術無疑會讓木馬可以更隱蔽地在對方機器中安家。
我們可以使用KaoTan Web Downloader,它能即時或定時下載指定URL的文件,並能放到我們事先設置好的指定的系統目錄並執行(全部操作均在後台進行,前台無任何運行痕跡)。值得一提的是,它可將自身注入到系統進程中,即使用戶使用進程查看軟件也無法看出任何蛛絲馬跡,隱蔽性極強,這也是我們選擇它的主要原因。
運行主程序後,出現如圖2所示的界面,在Server選項卡中的“URL1”中輸入存放“Angel.exe”(由AngelShell.exe生成的服務端)的地址“http://www.***.com/Angel.exe”。“URL2”的功能與“URL1”相同,由於並不需要設置,所以可勾選“URL2”旁邊的“off”。然後在“Name1”中輸入程序下載後的程序名“name.exe”。圖2
接下來,進入Options選項卡。為了增強隱蔽性,筆者建議大家進行以下設置,將後台程序進程插入Explorer進程,存放目錄設為Temp目錄,同時設置後台程序1分鐘後自動下載運行。設置妥當後,點擊“Build”按鈕就可生成能自動下載後門程序的name.exe。
這樣一來,當別人運行name.exe後,程序會立即插入到系統的Explorer進程,並且會在60秒後自動下載我們指定的後門文件並運行,這樣一來就可以繼續我們進一步的入侵和控制了。
通過這一步的操作,我們的木馬程序就可通過“繞彎”法,被安裝到被攻擊的機器上,這樣“曲折”的安裝方式在一定程度上加強了木馬的隱蔽性。但是,我們還需要使它“合法”。
第三步:合法程序藏木馬
萬事俱備,只欠東風。木馬基本上偽裝完畢了,但是將這個“赤裸裸”的木馬程序發給別人,傻瓜才會上當呢。因此,最後的這一個環節,大家一定要將木馬程序植入到“合法”程序中去,讓對方“放心接受”。
對文件捆綁技巧,大家應該再熟悉不過了,正是因為它的流行,才造就了一批批木馬的擴散,不過樹大招風,在殺毒軟件的圍剿下,捆綁方式已經面臨淘汰。然而,正所謂“野火燒不盡,春風吹又生”,隨之而來的新“植入”方式也誕生了(即程序插入技術)。
運行主程序RobinPE.exe後(圖3),我們在“後門文件”欄中選擇了剛才生成的name.exe,然後在“整體植入”欄中選擇一個合法的應用程序。軟件會自動計算後門的空間和原程序的空間,並且會根據它們的大小得出結論,如果可以植入就會提醒我們“可以試試”。不過,我們生成的name.exe在經過EncryptPE壓縮後只有十幾KB,非常容易實現植入。圖3
提示:整體植入是將文件植入到一個exe文件之中。以後每次正常啟動文件,我們植入的文件就會悄悄的生成並執行。
設置完畢,點擊“開始植入”就完成了木馬植入工作。現在,當對方運行看似“合法”的程序時,木馬早已悄悄安家落戶了。
隨著這一步的完成,我們的木馬程序就已被包裝得有模有樣了,不僅有了可以躲避殺毒軟件的馬甲,更有可以躲過被攻擊者雙眼的“合法”的外衣。如此一來,最後生成的這個看似合法的程序實際上就是我們的“完美後門”了。
通過以上三個步驟的改造,試驗對象“AngelShell”(也可以是其他任何一款木馬程序)如虎添翼,對方想不中招都不行。這也說明了我們身邊有些工具在單獨使用時看似簡單無用,其實不然,只要我們有目的性地,巧妙地結合它們,這樣所創造出來的威力是不容小視的。
希望廣大讀者能夠真正體會到木馬世界的千變萬化,做到真正的“舉一反三”、“一通百通”。
小知識:AngelShell木馬
我們知道,網上能穿透硬件防火牆的後門程序非常少。但是,AngelShell不僅可以穿透防火牆實現反向連接,而且它還可以讓所有正向連接的程序都實現反向連接。
AngelShell的另外一個特色就是它能開啟一個專門用來保護自己的線程。它能每隔0.2秒就檢查一次注冊表,一旦發現對自己不利的修改都會進行阻止。另外,程序的加載采用服務共享的方式,程序在啟動之後是無法停止的,所以中招者無法停止服務也無法修改它的屬性,除了重裝系統沒有其他的清除辦法。如此強大的自我保護功能,非常有利於我們長期控制肉雞。
From:http://tw.wingwit.com/Article/Network/201309/1037.html