Тестим SHARK v. 2.3.2
 

Система удалённого администрирования SHARK v. 2.3.2

(сервер и билдер под строгим надзором)

Вообщем многие наверно не раз слышали про неё, да и тут выкладывали ссылки на скачку, правда частенько на билдер склеенный со сгенерированным этим же билдером сервером, ну это так сказать обычная практика распространения прог-генераторов троянов..;-) Я не встречался с этой штукой и мне захотелось разобраться, что с чем едят в этом Shark`e.

инструменты:
- сам бэкдор
Где вы возьмёте данный трой это Ваше дело, я со своей стороны воспользовался двумя ссылками:
http://static.irsoft.de/sniper/sharK_2.3_hGhZtUjhhW.rar - кто то выкладывал на ачате. (кстати с склеенный билдер с троем)
http://static.irsoft.de/sniper/sharK_2.3.2.zip - другая ссылка, тут вроде всё чисто на первый взгляд...
- Гостевая ОС под Virtual-PC (я использовал MS Virtual -PC 2007 с гостевой ОС - чистой WIN-XP-SP2)
- Антивирус со свежими базами с проактивной защитой и файрвол (Я использовал KIS 6.0 с последними базами и включенной проактивной защитой, фаер в режиме обучения).
- Process explorer.
- Отладчик (для продвинутых, я не пользовался, в этом случае, можно затестить обнаружение отладчика этим троем и его самоликвидацию из процессов)
Итак, ставим гостевую ОС, ставим туда Каспера, Process explorer, теперь можно скачать и распаковать нашего билдера троянца в отдельную папку: например C:\shark

Билдер является по совместительству и клиентом для серверов shark.
Мы будем тестировать всё на локалхосте, т. е. заражать самих себя (запускать сервер и клиента на одном компе)
После распаковки у нас три папки и несколько файлов:
И так запускаем билдер sharK.exe. Каспер молчит, билдер сам никуда в Нэт не пытается ломиться, в Procced Explorer тоже ничего подозрительного не появилось из дополнительных процессов, посмотрим там его свойства, в частности вкладку TCP/IP, видим, что клиент ждёт подключений на 555 порту (сервер shark`а использует реверс-коннект, ну а как же иначе, ведь он бэкдор), но ведь никто не мешает постучать в этот порт, кому-то другому, поэтому для внешней сети мы прикроем этот порт файрволом на всякий пожарный...
скрин1
Топаем в меню Shark-> Create server (создать сервер) и топаем по левому меню вниз:
скрин2
- Основные установки: задаём Имя сервера, Имя файла сервера, Директория, куда будет установлен сервер, Имя группы, пароль сервера, интервал соединения (для теста я всё оставил по-умолчанию)
SIN-DNS Addresses - тут вы прописывайте IP или DNS-name, куда будут стучаться сервера Shark'a, я пока прописал localhost (или внутренний свой IP), тут же можно указать порт (я оставил по-умолчанию 555) и затестить соединение:
скрин3 - ога файрвол ловит исходящее соединение с билдера на хост (в данном случае локалхост) смело разрешаем, тест пройден, о чём свидетельствует надпись Working!
скрин4
- АвтоЗапуск: тут предложено два варианта: через ActiveX (ключ компонента можно сгенерировать случайный) и Reg-HKCU (Рекомендованный для Висты - я галку снял, так как у мну XP)
скрин5
- Сообщения после установки: хотите выдать что-то, можете поставить нужные галки и/или выполнить файл, открыть страницу web (я всё оставил пустым).
скрин6
- Альтернативная установка: ещё два варианта, через реестр, если ActiveX компоненты блокируются и в альтернативную директорию (пользовательскую) если заблокирована системная (нет прав на запись).
скрин7
- Прикрепить файлы: тут можно склеить нашего троя ещё с чем-то и прикрепить необходимые файлы и задать параметры их запуска и папки назначения. Я ничего пока не стал прикреплять.
скрин8
- Чёрный список: очень интересная вкладка, тут можно добавить обнаружение противостоящих процессов и сервисов: антивирей, файрволов и др. и поведение сервера shark`a при их обнаружении. Остановлюсь подробно на ней:
задаёте имя процесса (без расширения) и реакцию на него:
- тихо убить процесс
- убить процесс и информировать всех подключенных к нему клиентов
- Опросить всех подключенных клиентов, что сделать теперь
и три режима паники ;-)) закрыть сервер, удалить сервер и разорвать соединение, пока процесс работает. Так как у меня Каспер и Process Explorer из установленного софта, то я решил добавить их сюда так:
скрин9 - т. е сервис аантивиря мы будем пытаться остановить, а процессэксплорер постараемся убить по-тихому ;-))
- Стелс (невидимость)
[Мелкие манипуляции:]
1) сделать дату файла сервера такой же как дата инсталяция винды.
2) поставить атрибуты на файл сервера скрытый и системный.
3) таящий сервер (что имелось под этим, если честно то я не совсем понял...)
[Тип сервера:]
1) Видимый сервер (удобен для локального тестирования)
2) Скрытый сервер (запущен на заднем плане)
3) Агрессивный сервер (запущен на заднем плане и сам себя перезапускает каждые несколько секунд)
Ну я выбрал конечно агрессивный режим, так как мне интересно затестить бэкдор на всей его мощи...
[Фишки:]
1)Открывать порты только когда в онлайн
2)Спать до следующей перезагрузки (Рекомендовано при первом запуске)
я пока не ставил эти галки.
скрин10 ]
- Антиотладка
1)Уничтожить сервер, когда отладчик обнаружен
2)Уничтожить сервер, когда обнаружена ВМ-варя (То есть трой в виртуалке под WM-Ware) и вывести сообщение об отказе работать под виртуалкой:
скрин11
Я все галки оставил, у меня не ВМ-Варя, а виртуал PC 2007 от мелкомягких, понадеюсь, что она не будет обнаружена.
- Резюме, тут всё понятно, наши настройки (параметры троя) в виде списка.
- Компиляция, тут я ставлю галку упаковать UPX-ом, чем меньше размер, тем лучше..

Всё готово! Можно жать кнопку Compile!
Жмяк! - сервер готов!
он в той же папке, где и билдер-вьювер.
Антивирь молчит, фаер тоже, всё вроде тихо и спокойно, похоже, что в этот раз нам попался чистый билдер ;-))
Ну перед запуском троя, я решил всё-таки сделать слепок состояния системы штатным средством, на случай, если помимо нашего троя в системе заведётся ещё какая-либо сторонняя живность или винда рухнет в противоборстве трояна и антивиря. Хоть и виртуалка, мне лень будет брать чистый образ системы, да и тестить надо близко к реальным условиям.
И так, запускаем троя у себя на локалхосте!
Проактивка тут как тут: перехватывает доступ к реестру:
- разрешаем...
http://lebed.ucoz.ru/screenshots/screen13.gif - разрешаем...
http://lebed.ucoz.ru/screenshots/screen14.gif - тоже разрешаем...
И наконец наш сервер стучится в наш билдер-вьювер:
http://lebed.ucoz.ru/screenshots/screen15.gif - разрешаем...
А вот он и у нас во вьювере:
скрин16
Процесс эксплорер действительно убился, при повторном вызове даже не запускается (тихо мрёт).
Смотрим штатным менеджером процессов:
скрин17 - сервер видно, оба процесса антивируса живы.
Кликаем на сервер во вьювере и наслаждаемся всеми прелестями удалённого администрирования:
скрин18
Но не тут то было, каспер всё орёт и орёт (это наверно из-за переодических перезапусков сервера - Агрессивный режим, который мы выбрали) и бац:
http://lebed.ucoz.ru/screenshots/screen19.gif - Процесс завершён (наверно такое поведение Каспер сочёл слишком наглым - частые перезапуски самого себя)
Предлагает сделать откат изменений в системе, но обламывается, откат завершился неудачно!
http://lebed.ucoz.ru/screenshots/screen20.gif - значит у нашего троянчика есть шансы ожить вновь после перезагрузки!
вот лог проактивки:
Перезагружаемся и пробуем запустить procced explorer - не запускается, наш троян значит работает! Посмотрим штатным менеджером процессов: видим что процесс My-server.exe к нашему сожалению присутствует в списке, коннектимся к серверу, проверяем - всё работает, глянем Каспером установленные соединения:
Как видим, ни о какой скрытности сервера Шарка речи идти не может, видно в процессах, видно соединения, сервис Антивируса Касперского отрубить ему так же не удалось и при попытке трояна установления соединения с вьювером (билдером) файрвол запалит исходящее соединение, а значит и Ваш IP, так что думайте сами юзать или не юзать, на проверку он оказался бессилен против KIS 6, хотя сервер трояна и не палится как троян (после перезагрузки) и благополучно работает, но его палит проактивная защита при запуске по подозрительным действиям так же он заметен в процессах и его активность тоже, стоит отметить несомненный плюс убивать по тихому прописанные заранее процессы и останавливать некоторые сервисы. То что он работает не на реальной системе, а в MS Virtual PC 2007 он так же не обнаружил (ну вроде как заложено обнаружение только WM-Ware).
Резюме: Бэкдор можно использовать, там где нежелательно применение Радмина... может делать скриншоты экрана, имеет встроенный кейллогер, может перехватывать изображение с подключенной к жертве Веб-камеры, можно запустить проксю, посмотреть запущенные процессы, инсталированные сервисы и т. д. на компьютере- жертве.

ИМХО poison ivy получше будет
-poison весит всего 8кб
-в отличии от шарка работает невидимость в системе

Я выкладывал уже его..тему удалили т.к. думали что там вирь )

help по тузле == статья?????

По той ссылке, что ты давал, там действительно трой склеен с билдером...

help по тулзе это один только пункт, а тут тестирование... На статью не претендует, поэтому и не в статьях...

ЗЫ Шарк хвалили, вот и захотел проверить, а на самом деле оказался далеко не очень хороший трой...

Подробнее напиши Каким антивирусом и палятся как кто?
По второй ссылке билдер чистый был (на момент когда я его качал, щас - не знаю). В Понедельник выложу зеркальную ссылку на скачку (того что я скачал и протестил).

нод32
"вероятно модифицированный Win32/VB.BCO троян"

Результаты проверки на virustotal.com архива по второй ссылке:

Отдельно результаты проверки билдера: