反向木馬的主要種植手段是通過IE的眾多漏洞,bt下載時(shí)不小心運(yùn)行,或者來路不明的軟件,使未打補(bǔ)丁的用戶點(diǎn)擊之后下載運(yùn)行了木馬程序,而這些用戶基本都是擁有動(dòng)態(tài)IP的個(gè)人用戶,若不使用反向連接的方式,勢必?zé)o法長久控制。
下面讓我們來討論一下如何查出木馬的最關(guān)鍵的要素――反向連接域名,知道了反向連接域名,你就可以隨時(shí)了解到幕后元兇究竟在哪,是否在線等隱私資料,甚至可以進(jìn)行域名劫持,從而使他所控制的單位全都連到你所設(shè)置的IP上去,可見反向域名一旦暴露,要抓住幕后黑手是輕而易舉的事情。木馬反向連接必須先向域名服務(wù)器發(fā)送查詢要求,然后由域名服務(wù)器返回查詢結(jié)果――域名對(duì)應(yīng)的IP,有了IP之后再去連接主控端。而許多木馬都通過修改系統(tǒng)文件,進(jìn)程插入,API HOOK等眾多方式實(shí)現(xiàn)了在系統(tǒng)中服務(wù)隱藏,進(jìn)程隱藏,文件隱藏,端口隱藏,所以此時(shí)系統(tǒng)的輸出已經(jīng)不是可靠的輸出了,可能你的抓包數(shù)據(jù)已經(jīng)被惡意篡改,抹去了木馬的相關(guān)數(shù)據(jù)(事后發(fā)現(xiàn)我的測試對(duì)象灰鴿子并沒有這么做…但不排除別的木馬會(huì)這么做…)。于是我想到了通過物理上的方法,木馬雖然可以在系統(tǒng)中隱藏,但是這個(gè)域名查詢的請(qǐng)求無論如何都會(huì)經(jīng)過網(wǎng)線或者無線信號(hào)傳送出去。
為了查出反向連接域名,構(gòu)建以下網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu):
一臺(tái)NOTEBOOK和一臺(tái)PC連接在HUB上,ADSL MODEM接到HUB的UPLINK口上(注意:一般HUB的UPLINK口與旁邊的接口絕對(duì)不能同時(shí)使用),選用HUB而不是寬帶路由器的原因是我沒錢…呵呵,其實(shí)真正的原因是HUB可以把任意一個(gè)端口發(fā)送的數(shù)據(jù)轉(zhuǎn)發(fā)到除了本身端口外的其他任何一個(gè)端口,所以NOTEBOOK網(wǎng)卡的所有數(shù)據(jù)都會(huì)流經(jīng) PC的網(wǎng)卡,NOTEBOOK系統(tǒng)中可能被木馬隱藏的網(wǎng)絡(luò)數(shù)據(jù),都會(huì)毫無保留的暴露再PC機(jī)的網(wǎng)卡上。
需要真正透徹理解從而提高技術(shù)還是需要實(shí)踐,下面我就拿國內(nèi)比較著名的灰鴿子木馬做試驗(yàn),嘗試找出灰鴿子木馬的反向連接域名(大家完全可以用別的木馬做測試,因?yàn)槲业臋C(jī)器不小心中了灰鴿子所以才將計(jì)就計(jì))。PC機(jī)上的監(jiān)聽工具選擇了TcpDump的WINDOWS版本W(wǎng)inDump,現(xiàn)在想來多余了,PC 上裝著LINUX呢,可以直接使用TcpDump。WinDump的使用需要先安裝WinPcap 3.1,然后下載WinDump version 3.9.3,就可以直接運(yùn)行了。
WinDump的下載地址:
http://www.winpcap.org/windump/install/bin/windump_3_9_3/WinDump.exe
WinPcap 3.1下載地址:
http://www.winpcap.org/install/bin/WinPcap_3_1.exe
監(jiān)聽前介紹一下NOTEBOOK的狀態(tài),中了灰鴿子木馬。查到服務(wù)名的方法很簡單,使用入侵檢測工具icesword,那么更容易了,打開就可以查看到所有進(jìn)程和所有服務(wù),無論是否隱藏的,一目了然發(fā)現(xiàn)IEXPLORER進(jìn)程和lente服務(wù)是隱藏的(見圖1和圖2),于是禁止lente服務(wù)。(假如沒有 icesword也沒問題,進(jìn)入安全模式,system32文件夾下搜索_hook.dll,發(fā)現(xiàn)一個(gè)systen_Hook.dll,明顯是灰鴿子,注冊(cè)表中搜索systen,發(fā)現(xiàn)關(guān)聯(lián)的服務(wù)名為lente),把中了灰鴿子的NOTEBOOK一切有關(guān)網(wǎng)絡(luò)的第三方開機(jī)自啟動(dòng)程序都禁止,防止引起不必要的域名查詢混淆監(jiān)聽結(jié)果,把lente服務(wù)改成Manual方式,最后啟動(dòng)服務(wù),?C機(jī)上觀察監(jiān)聽結(jié)果。
