电脑爱好者,提供IT资讯信息及各类编程知识文章介绍,欢迎大家来本站学习电脑知识。 最近更新 | 联系我们 RSS订阅本站最新文章
电脑爱好者
站内搜索: 
当前位置:首页>> 网络安全>>哇!有黑客![3]:

哇!有黑客![3]

来源:远方网络 | 2005-8-8 15:43:12 | (有2770人读过)

哇!有黑客![3]- -


############################################################

难觅:驀然回首,那人却在

场景:

看着身后的光亮逐渐微弱,阴冷的风撕扯着elly的斗篷,仿佛黑暗的气息无孔不入。elly最后看了一眼遥远处微弱的光,握了握手中的剑--那是崔斯特赠予他的 "冰亡",这稍稍让他的心安静了些。elly把目光收回,待眼神适应这幽暗地域的黑暗之后,收紧精神,豹一般的义无反顾地向这幽暗地域漆黑的无底洞穴走去。 世界的这边,看着屏幕上黑色的终端窗口,闪烁的绿色字母像谜一样排列组合着, elly抿了一口微热的香茗,从容的在终端中打入: rkdetector.exe rkdetector输出:

============================================================
C:\WINNT\system32>rkdetector.exe
. .. ...: Rootkit Detector Profesional 2004 v0.62 :... .. .
Rootkit Detector Profesional 2004
Programmed by Andres Tarasco Acuna
Copyright (c) 2004 - 3wdesign Security
Url: http://www.3wdesign.es


-Gathering Service list Information... ( Found: 253 services )
-Gathering process List Information... ( Found: 48 process )
-Searching for Hidden process Handles. ( Found: 0 Hidden Process )
-Checking Visible Process.............
c:\winnt\system32\smss.exe
c:\winnt\system32\csrss.exe
c:\winnt\system32\winlogon.exe
c:\winnt\system32\services.exe
c:\winnt\system32\lsass.exe
c:\winnt\system32\svchost.exe
c:\winnt\system32\msdtc.exe
c:\program files\symantec\pcanywhere\awhost32.exe
c:\program files\dell\openmanage\omsa\bin\dcevt32.exe
c:\winnt\system32\dcomsvc.exe
c:\program files\dell\openmanage\omsa\bin\dcstor32.exe
c:\program files\symantec_client_security\symantec antivirus\defwatch.exe
c:\winnt\system32\svchost.exe
c:\winnt\system32\llssrv.exe
c:\program files\symantec_client_security\symantec antivirus\rtvscan.exe
c:\winnt\system32\mstask.exe
c:\progra~1\serv-u\servud~1.exe
c:\program files\dell\openmanage\iws\bin\win32\omaws32.exe
c:\winnt\system32\snmp.exe
c:\winnt\system32\termsrv.exe
c:\winnt\system32\wbem\winmgmt.exe
c:\winnt\system32\svchost.exe
c:\winnt\system32\inetsrv\inetinfo.exe
c:\winnt\system32\svchost.exe
c:\progra~1\dell\openma~1\oldiags\vendor\pcdoctor\bin\diagorb.exe
c:\winnt\system32\atiptaxx.exe
c:\program files\f-secure\ssh server\fsshd2.exe
c:\winnt\cmd\rkdetector.exe
c:\winnt\explorer.exe
c:\winnt\system32\svchost.exe
c:\program files\flashget\flashget.exe
c:\winnt\system32\bacstray.exe
c:\progra~1\symant~1\symant~1\vptray.exe
c:\program files\d-tools\daemon.exe
c:\winnt\system32\internat.exe
c:\progra~1\serv-u\servut~1.exe
c:\program files\f-secure\ssh server\fsshd2srv.exe
c:\program files\mercury interactive\loadrunner\launch_service\bin\magentproc.exe
c:\winnt\system32\conime.exe
c:\winnt\system32\termsrv.exe
c:\program files\internet explorer\iexplore.exe
c:\winnt\system32\cmd.exe
c:\winnt\system32\mmc.exe
c:\program files\f-secure\ssh server\fssh2console.exe
c:\program files\f-secure\ssh server\fsshsftpd.exe
c:\winnt\system32\cmd.exe
c:\program files\internet explorer\iexplore.exe
-Searching again for Hidden Services..
-Gathering Service list Information... ( Found: 0 Hidden Services)
-Searching for wrong Service Paths.... ( Found: 3 wrong Services )
-------------------------------------------------------------------------------
*SV: dcomsvc
34567890 (DCOM Services) PATH: c:\winnt\system32\dcomsvc.exe
-------------------------------------------------------------------------------
*SV: MsDoscDefenderDrv (MsDoscDefenderDrv) PATH: c:\winnt\system32\msdosdrv.sys
-------------------------------------------------------------------------------
*SV: PCDRDRV (Pcdr Helper Driver) PATH: c:\progra~1\dell\openma~1\oldiags\vendor\pcdoctor\modules\pcdrdrv.sys
-------------------------------------------------------------------------------
-Searching for Rootkit Modules........
-------------------------------------------------------------------------------
*SUSPICIOUS MODULE!! c:\winnt\system32\imm32.dll
-------------------------------------------------------------------------------
*SUSPICIOUS MODULE!! c:\winnt\system32\lpk.dll
-------------------------------------------------------------------------------
*SUSPICIOUS MODULE!! c:\winnt\system32\usp10.dll
-------------------------------------------------------------------------------
-Trying to detect hxdef with TCP data..( Found: 1 running rootkits)
-------------------------------------------------------------------------------
*ROOTKIT HACKER DEFENDER v1.0.0 IS INSTALLED IN YOUR HOST.
-------------------------------------------------------------------------------
-Searching for hxdef hooks............ ( Found: 1 running rootkits)
-------------------------------------------------------------------------------
*ROOTKIT HACKER DEFENDER >= v0.82 FOUND. Path not available
-------------------------------------------------------------------------------
-Searching for other rootkits......... ( Found: 0 running rootkits)

============================================================
rkdetector和Kproccheck一样,是一个强大的工具,它们都从系统内核空间读取数据,而rkdetector的功能则更多一些,就如同它的名字r(oot)k(it)detector,它能够自动的分析Windows系统中存在的多种rootkit(一种黑客后门和工具包的集合的通称)。就象上面的输出中,排除一些误报,有效的有下面几行:
-------------------------------------------------------------------------------
*SV: dcomsvc
34567890 (DCOM Services) PATH: c:\winnt\system32\dcomsvc.exe
-------------------------------------------------------------------------------
*SV: MsDoscDefenderDrv (MsDoscDefenderDrv) PATH: c:\winnt\system32\msdosdrv.sys
-------------------------------------------------------------------------------
-Trying to detect hxdef with TCP data..( Found: 1 running rootkits)
-------------------------------------------------------------------------------
*ROOTKIT HACKER DEFENDER v1.0.0 IS INSTALLED IN YOUR HOST.
-------------------------------------------------------------------------------
-Searching for hxdef hooks............ ( Found: 1 running rootkits)
-------------------------------------------------------------------------------
*ROOTKIT HACKER DEFENDER >= v0.82 FOUND. Path not available
-------------------------------------------------------------------------------
-Searching for other rootkits......... ( Found: 0 running rootkits)
-------------------------------------------------------------------------------
可以看到它检测出了2个异常服务dcomsvc和msdosdrv.sys,以及一个rootkit -- HACKER DEFENDER v1.0.0(后文简称hxdef100)。而hxdef100,恐怕就是本章中最大的boss -- 也是最难对付的。这是Windows系统下极为成功的一个rootkit,它作为一个系统服务运行在Windows系统当中,然后通过hook相关系统调用的方法来截获用户程序,并完成各项功能。它可以隐藏文件、目录、进程、服务、注册表键值、网络端口 等信息,使得用户通过常规的查询方法(sc或ps等)无法看到这些信息。同时他还可以直接监听某个TCP端口(在本机不可见的),或再运行和隐藏其他后门程序,来制造一个远程控制所用的通路,比特洛伊人的木马可强太多了,简直是居家旅行、杀人无形之必备良药! hxdef100不但本身隐性,还能让其他后门(进程、服务、文件)隐性,实在是有些棘手。而让它显形的唯一方法就是喊它的名字: net stop hxdef100 停止服务之后,它就会暂时失效,然后可以使用hxdef100.exe -:uninstall 来卸载自身。 但是这样有两个难题,首先是,我们并不知道它的服务名,而不知道服务名是无法停止的;其次,我们也不知道它的可执行文件和配置文件放在那里,这样我们即时停止了,也无法完整卸载它,更无法找出它所隐藏的更多后门了,那岂不是死无对证? 只好死马当成活马医先试一把,用前面发现的几个可能服务名试试看:
elly: 芝麻开门...(net stop hxdef100)
hxdef:...
elly: 西瓜开门...(net stop dcomsvc)
hxdef:...
elly: 土豆开门...(net stop ccproxy)
hxdef:...
elly: 香蕉开门...(net stop MsDoscDefenderDrv)
hxdef:...
elly: hxdef开门...(net stop spoolsv)
hxdef:...
看来hxdef是死都不肯回应我了,那么就只好...找软柿子捏,分析一下已经抓到的那几个尸体,看看能不能逼它们说出点什么来。 先把所有已经找到的异常文件拉到本机分析一下,包含刚发现的msdosdrv.sys,当然,有些文件知道它们是存在那儿的,但是系统还是报告找不到,不用想都是 hxdef搞得鬼。 在上面截获的文件累计有:
* 2004-04-07 11:52 55,296 list.gif
* 2004-04-07 11:53 45,056 finder.gif
* 2004-04-07 11:53 28,160 nlog.gif
* 2004-04-07 11:53 77,824 kill.gif
* 2004-04-07 11:53 131,072 info.gif
* 2004-04-07 11:53 14,747 TInject.Dll
* 2004-04-07 11:53 69,632 spinfo.dll
* 2004-04-07 11:57 8,464 sporder.dll
* 2004-04-07 11:57 49 mslsp.dat
* 2004-04-07 12:11 20,480 Dcomsvc.exe
* 2004-04-07 12:11 93 nt.bat
* 2005-02-10 03:03 405 Svclog.log
通过对文件信息分析以及反汇编取得的信息,基本功能分析如下:
* 2004-04-07 11:52 55,296 list.gif
* 2004-04-07 11:53 45,056 finder.gif
* 2004-04-07 11:53 28,160 nlog.gif
* 2004-04-07 11:53 77,824 kill.gif
* 2004-04-07 11:53 131,072 info.gif
以上5个分别是被改名后的黑客工具,功能: list.gif: pslist,sysinternal pslist,用于列出所有进程; finder.gif: 一个从winlogon进程直接查找当前登录用户口令明文的工具; nlog.gif: 实际上是nc(netcat.exe),一个多功能的网络程序; kill.gif: sysinternal kill,用于杀掉某进程; info.gif: sysinternal psinfo,用于查看当前主机系统信息。 * 2004-04-07 11:53 14,747 TInject.Dll 这个是一个进行线程插入的工具,用来执行和隐藏后门程序,创建寄生在其他进程空间内的无进程木马,需要用rundll32运行,参数不详。 * 2004-04-07 11:53 69,632 spinfo.dll 一个无进程(可能也无端口)的木马,利用了系统SPI(网络服务提供者)接口,把自己挂接在系统网络堆栈中,作为一个网络协议过滤器存在,当所有的数据流经这一层时,就会被分析和执行。在第二章中检测出来的网络接口状态为混杂模式应该就是spinfo.dll所为。 * 2004-04-07 11:57 8,464 sporder.dll 用于在系统SPI中插入模块的一个支持库,是spinfo.dll所依赖的一个链接库。 * 2004-04-07 12:11 20,480 Dcomsvc.exe skserver 1.0,一个sock5代理服务器。 * 2004-04-07 12:11 93 nt.bat 安装skserver的初始化脚本。 * 2005-02-10 03:03 405 Svclog.log * 2004-04-07 11:57 49 mslsp.dat 分别是spinfo.dll后门和另外某后门的日志文件。 分析完之后再来看看hxdef吧,刚才是拿它没办法,不过我忘了elly手上还有一样东西没有用过 -- 冰亡。 二话不说,马上上传了一个icesword,这也是一个用于检查系统隐藏信息的好工具,几乎把他忘了。 运行之后,在服务中发现了四个隐藏服务: spooler Spoolers iprip netddee 把它们一一停止,现在系统应该干净了吧。再使用netstat -na和fport查看系统状态,一切正常,该显示的也都显示出来了。 再次查找2004-04-07相关的文件:
============================================================
C:\>dir /O:D /T:C /S C: |findstr 2004-04-07
2004-04-07 12:05 280 administrator@www.hanzify[1].txt
2004-04-07 12:03 MSHist012004040720040408
2004-04-07 12:03 ..
2004-04-07 12:03 32,768 index.dat
2004-04-07 12:03 .
2004-04-07 11:53 151,552 spoolsv.exe
2004-04-07 11:53 90,112 admdll.dll
2004-04-07 11:53 29,408 raddrv.dll
2004-04-07 11:52 55,296 list.gif
2004-04-07 11:52 45,056 finder.gif
2004-04-07 11:53 28,160 nlog.gif
2004-04-07 11:53 77,824 kill.gif
2004-04-07 11:53 131,072 info.gif
2004-04-07 11:53 76,288 SvcHostDLL.dll
2004-04-07 11:53 62,464 sysinfo.dll
2004-04-07 11:53 14,747 reginfo.exe
2004-04-07 11:53 69,632 spinfo.dll
2004-04-07 11:54 944 ms29.ini
2004-04-07 11:55 14,747 TInject.Dll
2004-04-07 11:55 412 Svclog.log
2004-04-07 11:57 8,464 sporder.dll
2004-04-07 11:57 49 mslsp.dat
2004-04-07 12:01 16,384 Perflib_Perfdata_450.dat
2004-04-07 12:11 93 nt.bat
============================================================
这回多了以下一些文件:
C:\winnt\system32\spoolsv.exe
C:\winnt\admdll.dll
C:\winnt\raddrv.dll
C:\winnt\system32\SvcHostDLL.dll
C:\winnt\system32\sysinfo.dll
C:\winnt\system32\reginfo.exe
C:\winnt\system32\ms29.ini
分析如下: C:\winnt\system32\spoolsv.exe 原名hxdef100.exe,经过加壳的hxdef100.exe,也就是hxdef100后门的主程序! C:\winnt\admdll.dll 原名r_server2.exe,经过加壳DLL化的RAdmin 2.0,一个远程管理控制程序。 C:\winnt\raddrv.dll RAdmin运行所需的支持动态链接库。 C:\winnt\system32\SvcHostDLL.dll C:\winnt\system32\sysinfo.dll SVCHost后门,用于把线程注入SVCHost--系统服务主进程,并创建无进程后门。 SvcHostDLL.dll是它的支持库。 C:\winnt\system32\reginfo.exe Remote DLL Injector V1.6 Private Version By WinEggDrop,呵呵一个执行远程线程注入隐藏进程的程序,可能和前面的Tinject.dll有点关系。 这几个程序在系统中运行后,围绕在以hxdef100为首的木马队伍周围,伪装自己成 Spoolers,iprip,netddee等几个貌似良民的服务,在系统中为非作歹...至此整个后门团伙已经基本落网,最后我们再回顾一下它们的所作所为。那什么回顾呢?当然就是我早就惦记着的那份白名单啦!hxdef100配置文件: ms29.ini ms20.ini(原名hxdef[*].ini)全文摘录如下
============================================================
[H"i/d<h"xdef"*
svchostdll.dll
network.sys
spoolsv.exe
admdll.dll
raddrv.dll
syinfo.exe
ms29.ini
sysinto.gif
reginfo.exe
sysinfo.dll
#以上为配置hxdef负责隐藏的文件名,可惜装的东西太多,入侵者自己都疏漏了
#所以让我找到4月7日这个重要线索

[Root Processes]
hd:f<*
spoolsv.exe
<\r\c:\m\d.\e\x\e
#以上为隐藏进程表

[H"i/d<:ck"er//Def\ender*
spooler
Spoolers
iprip
Intranet
networks
netddee
#以上为隐藏服务

[H"i/d<

好吧,我们再推理一下案发现场......

代.本章结论:
1. 2004年4月7日,那是一个黑漆漆~~的夜晚...哦,对不起,是白天。
在一个阴雨绵绵的白天,一个叫domybest或ahai的"黑客",无意间来到这个网段,
(也可能他是蓄谋已久的...)他先拿出拿手的工具nmap和rpcscan,忽然发现
这台服务器竟然开放了TCP:21和TCP:135端口,而且运行的是号称Windows下
漏洞最多的ftp服务器Serv-U 5.0.0.4和IIS 5,这不由得让他欣喜若狂!
这台机器很可能具有一个RPC-DCOM远程溢出漏洞!而且竟然还没让震荡波蠕虫
感染。这个黑客gg喜上眉头,半年的入侵经验让他很快顺利的用RPC攻击程序
进入了系统,并获得了一个SYSTEM特权的cmd shell,可能有人要问,为什么
他没可能是用Serv-U的远程溢出的呢?原因是,那会儿Serv-U 5.0.0.4以及
它的漏洞都还没出来。

2. 黑客gg进入系统之后,先上传了几个工具,他用的很熟练的ps系列,pslist
和netstat之后,他很放心的确信在这台机器上,当前除了他没有其他人登录。
而且很可能系统管理员几个月都没有来看过了。psinfo之后,发现这台机器的
配置还不错,可以拿来做ftp哦^^ 但是他不稀罕这些,因为他已经有好几百台
肉鸡了么。所以他就开始上传他的一些后门,比如,修改过的TermServ,为了
不让人发现,他还特意把它的端口改成了TCP:4652。

3. 顺利的用终端服务登录上来之后,然后呢,他想,那他做什么呢?干脆就做一台
代理服务器吧。听说有个叫CCProxy的代理服务器蛮不错的,于是他就安装了一
个CCProxy,还顺便安装了一个Serv-U的汉化包。从吕达嵘那里下的。看来他
又多一个ftp服务器和攻击跳板了。不过几天之后,他发现CCProxy还是没有他
惯用的SKserver--那个黑客用得最多的sock5代理程序顺手,于是他停掉了
CCProxy,又安装了一个SKServer。

4. 不过黑客gg还是对自己的地位是否稳固不太放心,所以他又开始着受安插更多
的眼线,安装更多的后门,比如,WinEggDrop的无进程后门,一个叫SPIShell
的SPI后门,RAdmin2远程控制服务器,插入SVCHost的隐藏后门,可能是叫
PortLess Backdoor什么的,当然,其中有些程序是它自己修改过的,也稍微
根据这台机器的情况对一些信息作了相应的伪装,这足以证明他至少是一个老练
的入侵者,可以叫Cracker什么的,而绝不是普通的ScriptKids。

5. 最后为了证明他的水平,同样也为了骗过管理员的耳目,他还没忘了安装一个
自己用得最多的Windows后门之王--HackDefender 1.0.0,这个可是刚出来
四个月的新版本呢!

6. 在系统里溜达溜达,看看有没有管理员的Agent存在吧,顺手擦掉一些Eventlog。
不过Win2000也太菜了点了,默认连Security Log都不记,黑客gg可以放心大
胆的从TerminalServer或任何一个后门登录进入;装了Norton CE?更菜!
黑客gg的后门一个也没检查出来,再升级半年之后才报告了一次...发现
DcomSVC,可能是个后门,但是清除失败,黑客gg看到他都要有峙无恐了;
最后,黑客gg在自己的肉鸡数据库里添加了一条: xx.xx.xx.xx: 1432,1442,4652,4653
hxdef,spishell,svchost,radmin,termserv@4652
skserver@1432,ccproxy
user: by ahai
pass: domybest@#@#@#

[以上一段纯属虚构,如有雷同,概不负责。]
[BTW:在我查找资料的过程中,看到这个,大家可以对照学习下。]
[http://hehe26.blogchina.com/blog/article_150251.788458.html ]

本章遗留问题:
总算分析完了。不过还有几个遗留问题:
1.如果你是系统管理员,下面该怎么办?
2.那么多后门和木马,那些弱智杀毒软件又查不到,怎么清除?
3.他还在么?还会来么?
4.如果来了,那什么招待他?

欲知后事如何,请待下回分解。

//form: http://www.patching.net/bbs/viewgooddoc.asp?id=43743&bordid=1
上一篇哇!有黑客![2]
下一篇Shell下的快乐
网络安全热门文章排行
网站赞助商
购买此位置

 

关于我们 | 网站地图 | 文档一览 | 友情链接| 联系我们

Copyright © 2003-2024 电脑爱好者 版权所有 备案号:鲁ICP备09059398号