Безопасность -> Хакеры -> NetBus — троянец-игрушка!

NetBus — троянец-игрушка!

Идея заслать во вражеский стан <своего> человека, который мог бы собирать информацию, совершать диверсии и вообще выполнять любые задания центра, далеко не нова. Но лишь в относительно недавнее время она стала так массово и успешно применяться для компьютерных диверсий. По-видимому, изготовители хакерских утилит наконец прониклись идеями дяди Билли, который уже давно пропагандировал технологию клиент-сервер.

Итак, по порядку. Предположим, что кто-то хочет собрать некоторую информацию или совершить какое-либо действие на чужой машине. Есть 2 способа это сделать. Можно заранее проинструктировать программу, что делать. Типа: <По прибытии отыщешь мне каталог Windows, в нем соберешь все файлы с расширением PWL и отправишь мне по почте>. Но это старо, нединамично, неинтерактивно и пошло - в общем, не прикалывает. Лучше сказать программе так: <По прибытии выходишь со мной на связь и выполняешь мои указания>. Таким образом программа становится <глазами> и <руками> в чужом компьютере. Имея их, можно выполнить многое. Не буду расписывать все команды, реализованные в конкретной версии двух наиболее популярных (на мой взгляд) троянов - НетБаса (NetBus) или БэкОрифиса (Back Orifice). Их увидит любой, запустив программу управления соответствующего трояна. Для примера приведу лишь несколько самых прикольных/полезных команд НетБаса.

. Открыть/закрыть подставку для чашки кофе, один раз или с интервалом

. Поменять местами клавиши мыши

. Выполнить команду/запустить программу/перейти на определенный URL

. Управлять координатами курсора мыши

. Показать диалог с выбором и сообщить выбор

. Зашатдаунить винды/отлогинить пользователя

. Посылать/принимать нажатия клавиш (текст)

. Получить снимок экрана

. Просмотреть содержимое жестких дисков, скачать/заслать/удалить файл

. Записать текущий звук и прислать

. Открыть/закрыть/сфокусировать окно

Вернемся к технологии. Итак, центральное место в работе этих программ занимает связь между сервером (засланным на чужой компьютер) и клиентом (управляющим инструментом).

Для начала поймем, как происходит связь 2-х компьютеров через Интернет. В случае НетБаса используется протокол TCP. Это похоже на разговор по телефону. Представь себе, что в компьютере есть более 30 тысяч телефонов (портов) и с каждого можно позвонить на каждый данный компьютер или на удаленный. После соединения можно передавать/принимать информацию. Правда, по некоторым телефонам не дозвониться, так как они уже заняты системными службами.

Сервер НетБаса действует следующим образом. Попав на компьютер и запустившись, он устраивается у условленного телефона и ждет звонка. Когда ему звонят, он снимает трубку и представляется: <Здравствуйте! НетБас версии 1.62 слушает. Чем я могу Вам помочь?> До версии 1.70 номер порта был фиксированный - 12345. Таким образом проверить наличие на машине сервера было крайне просто: надо просто законнектиться на этот порт и посмотреть, будет ли ответ. (В нормальном случае либо никто не ответит, либо просто пошлют.). Начиная с версии 1.70, номер порта можно задать самому. Когда номер порта неизвестен, можно лишь последовательно прозванивать все незарезервированные порты (после 1024). Руками это делать - умаешься, тут потребуется программа с возможностью сканирования диапазона портов (Port Scanner).

<А если какой-то гад засунул этот твой НетБас на мою машину?> - спросишь ты. А вот тогда тебе нужно в любой момент времени посмотреть список текущих соединений, и если кто-то на твоей машине уже полчаса треплется с порта 12345 - значит, у тебя ночует НетБас. Проверить текущие соединения легко: для этого запусти netstat.exe в командной строке. И эта прога тебе все покажет: кто, когда, с кем, во сколько, сколько заплатил и что он ел на завтрак.

Ну и самый простой и надежный способ - исследовать свой registry. Для этого достаточно запустить regedit.exe. В разделе HKEY_CURRENT_USER есть подраздел PATCH. И если ты сам не играл с сервером НетБаса, значит, им у тебя поиграл кто-то другой или ты сам, о том не подозревая, его установил ;-).

Гораздо более профессионально и продуманно сработан БэкОрифис. Приведу два примера.

Первый - протокол связи. Описанным выше способом отслеживаются сеансы связи NetBus, но не Back Orifice, потому как он не пользуется телефонной связью (TCP). Возникает законный вопрос: как же он держит связь, если не через телефон? А очень просто - через пейджер (протокол UDP). Как видно из аналогии, подобная связь менее удобна - при ней нет соединения как такового. То есть ты посылаешь сообщение и не знаешь, получил ли его абонент (может, он сейчас в метро ;-). Более того, посылаемые UDP - пакеты шифруются. В отличие от НетБаса, который общается открытым текстом.

Второй - открытый интерфейс. БэкОрифис предусматривает использование плагинов (plug-in). Чтобы добавить функцию, которая не была включена в стандартный набор, достаточно написать плагин в виде ДЛЛ и в нем ее реализовать. Спецификации прилагаются. Не так уж сложно для программиста средней руки. Зато какое поле для фантазии и экспериментов над чужими машинами!

Но хватит теории - перейдем к практике. Посмотрим, как можно побаловаться с НетБасом и даже хакнуть его <подручными> средствами, пользуясь ламерским программным исполнением оного. Для данной лабораторной работы нам понадобится НетБас до версии 1.70 и программа telnet.exe (входит в стандартный набор Windows).

1. Запускаем <patch.exe /noadd >

2. Запускаем telnet.exe

Опция noadd говорит серверу НетБаса не прописывать себя в автозагрузку виндов, а сработать одноразово. (Надеюсь, ты не хочешь сам себя заразить трояном?)

Теперь надо связаться с засевшим у тебя на компе агентом. Если помнишь, он ждет на порте 12345. В программе телнет выбираешь меню connect пункт Remote System. В поле hostname набираешь localhost (то есть коннектишься к собственному компьютеру), а в поле port - 12345 и давишь на пимпу connect.

Если троян на месте, он живо откликнется, сообщив свою версию. Например, <NetBus 1.60>.

Он готов к работе. Можешь набрать GetInfo и нажать ввод - НетБас выдаст тебе информацию о компьютере.

Я еще не упомянул о возможности задать серверу НетБаса пароль, чтобы никто, кроме установивших его, не могли этим сервером воспользоваться. В этом случае НетБас тебя поприветствует чуть иначе. На конце появится буква <х> : <NetBus 1.60 х>.

Для установки пароля достаточно набрать <ServerPwd;твой пароль>.

Чтобы убедиться, что пароль задан, можно сделать Disconnect в телнете и заново попробовать законнектиться. Теперь сервер будет отказываться выполнять твои команды, резонно требуя пароль. Пароль передается следующим образом: <Password;0;твой пароль>.

Сервер отвертит <Access;1>, если пароль подходит, и <Access;0>, если пароль задан неверно.

Пытливый ум непременно заинтересуется: <А что означает этот ноль в команде ввода пароля? А если я туда поставлю не ноль, а, скажем, единицу? Например, <Password;1;я от Иван Иваныча>. И будет прав. Произойдет чудо. В этом случае сервер примет от тебя абсолютно любой пароль. Даже такой бредовый. Ну, вот ты и хакнул пароль в НетБасе. Мелочь, а приятно. Ну а как установить свой пароль, ты уже знаешь. Побалуйся, поиграй, только когда наиграешься, не забудь выгрузить сервер НетБаса из памяти - <patch.exe /remove> (если не хочешь, чтобы кто-нибудь другой поиграл с тобой. Например, я :)).

Программа

Установка пароля на программу

Файловые операции

Передача сообщений

Управление виндами

FTP/HTTP сервер

Номер порта

Управление мышью

Дамп экрана

Тащит

пароли

Встроеный I.P. сканер

Acid Shiver Нет Есть Нет Есть FTP Задается Нет Нет Нет Нет

Backdoor

Control Есть Есть Есть FTP Есть

Back Orifice Есть Есть Есть Есть UDP/TCP Задается Есть Есть Есть

FTP

BO FTP FTP Задается

ButtSniffer Есть

Speakeasy FTP

Deep Throat Есть Есть Есть Есть оба 31338 Есть Есть Есть

Evil FTP Есть Есть FTP 23456 Нет Нет Нет

Executor

Fatal Есть

Network

FTP Commander 99 Есть Есть TCP Есть Есть

Gate 6969

Crasher

Girl Friend Есть Есть Есть Есть Задается Есть Есть

Hacker's Paradise Есть Есть Есть Есть TCP 40426 Есть Есть Есть

ICQ Trojan Есть FTP

Master's Paradise Есть Есть Есть Есть FTP 40426 Есть Есть

Millineum Есть Есть Есть TCP 20001 Есть Есть

Netbus Есть Есть Есть Есть FTP Задается Есть Есть Есть

NetMonitor

NetSpy Есть Есть TCP 1024-25

Phase Zero Про- Есть Есть Есть FTP Задается Есть

верка IP

Remote Wave Server Есть TCP

Setup Trojan Откл. Есть Есть TCP Есть

Shock Rave Есть FTP

Socket's of Troy Есть Есть Есть FTP Есть

Senna Trojan Builder Есть Есть Есть Есть FTP Задается

Stealth Spy Есть Есть TCP

Remote Win Shutdown Есть Есть TCP

Tele Commando Есть Есть TCP

Voodoo Doll TCP

Win Crash Есть Есть Есть Есть FTP 1213-1213 Есть

5714-5741

WinHack Gold Откл. Есть Есть TCP Есть

Doc

www.informika.by.ru