Система удалённого администрирования SHARK v. 2.3.2
(сервер и билдер под строгим надзором)
[Интро]
Вообщем многие наверно не раз слышали про неё, да и тут выкладывали ссылки на скачку, правда частенько на билдер склеенный со сгенерированным этим же билдером сервером, ну это так сказать обычная практика распространения прог-генераторов троянов..;-) Я не встречался с этой штукой и мне захотелось разобраться, что с чем едят в этом Shark`e.
[Подготовка]
инструменты:
- сам бэкдор
Где вы возьмёте данный трой это Ваше дело, я со своей стороны воспользовался двумя ссылками:
http://static.irsoft.de/sniper/sharK_2.3_hGhZtUjhhW.rar - кто то выкладывал на ачате. (кстати с склеенный билдер с троем)
http://static.irsoft.de/sniper/sharK_2.3.2.zip - другая ссылка, тут вроде всё чисто на первый взгляд...
- Гостевая ОС под Virtual-PC (я использовал MS Virtual -PC 2007 с гостевой ОС - чистой WIN-XP-SP2)
- Антивирус со свежими базами с проактивной защитой и файрвол (Я использовал KIS 6.0 с последними базами и включенной проактивной защитой, фаер в режиме обучения).
- Process explorer.
- Отладчик (для продвинутых, я не пользовался, в этом случае, можно затестить обнаружение отладчика этим троем и его самоликвидацию из процессов)
Итак, ставим гостевую ОС, ставим туда Каспера, Process explorer, теперь можно скачать и распаковать нашего билдера троянца в отдельную папку: например C:\shark
[Настройка и генерация сервера Shark]
Билдер является по совместительству и клиентом для серверов shark.
Мы будем тестировать всё на локалхосте, т. е. заражать самих себя (запускать сервер и клиента на одном компе)
После распаковки у нас три папки и несколько файлов:
Код:
c:\SHARK\Bin\
c:\SHARK\Download\
c:\SHARK\Stubs\
c:\SHARK\zlib.dll
c:\SHARK\sharK.exe
c:\SHARK\richtx32.ocx
c:\SHARK\mswinsck.ocx
c:\SHARK\MSCOMCTL.OCX
c:\SHARK\menu.cfg
c:\SHARK\history.db
c:\SHARK\Comdlg32.ocx
c:\SHARK\COMCTL32.OCX
c:\SHARK\changelog.log
c:\SHARK\cdkeys.db
И так запускаем билдер sharK.exe. Каспер молчит, билдер сам никуда в Нэт не пытается ломиться, в Procced Explorer тоже ничего подозрительного не появилось из дополнительных процессов, посмотрим там его свойства, в частности вкладку TCP/IP, видим, что клиент ждёт подключений на 555 порту (сервер shark`а использует реверс-коннект, ну а как же иначе, ведь он бэкдор), но ведь никто не мешает постучать в этот порт, кому-то другому, поэтому для внешней сети мы прикроем этот порт файрволом на всякий пожарный...
скрин1
Топаем в меню Shark-> Create server (создать сервер) и топаем по левому меню вниз:
скрин2
- Основные установки: задаём Имя сервера, Имя файла сервера, Директория, куда будет установлен сервер, Имя группы, пароль сервера, интервал соединения (для теста я всё оставил по-умолчанию)
SIN-DNS Addresses - тут вы прописывайте IP или DNS-name, куда будут стучаться сервера Shark'a, я пока прописал localhost (или внутренний свой IP), тут же можно указать порт (я оставил по-умолчанию 555) и затестить соединение:
скрин3 - ога файрвол ловит исходящее соединение с билдера на хост (в данном случае локалхост) смело разрешаем, тест пройден, о чём свидетельствует надпись Working!
скрин4
- АвтоЗапуск: тут предложено два варианта: через ActiveX (ключ компонента можно сгенерировать случайный) и Reg-HKCU (Рекомендованный для Висты - я галку снял, так как у мну XP)
скрин5
- Сообщения после установки: хотите выдать что-то, можете поставить нужные галки и/или выполнить файл, открыть страницу web (я всё оставил пустым).
скрин6
- Альтернативная установка: ещё два варианта, через реестр, если ActiveX компоненты блокируются и в альтернативную директорию (пользовательскую) если заблокирована системная (нет прав на запись).
скрин7
- Прикрепить файлы: тут можно склеить нашего троя ещё с чем-то и прикрепить необходимые файлы и задать параметры их запуска и папки назначения. Я ничего пока не стал прикреплять.
скрин8
- Чёрный список: очень интересная вкладка, тут можно добавить обнаружение противостоящих процессов и сервисов: антивирей, файрволов и др. и поведение сервера shark`a при их обнаружении. Остановлюсь подробно на ней:
задаёте имя процесса (без расширения) и реакцию на него:
- тихо убить процесс
- убить процесс и информировать всех подключенных к нему клиентов
- Опросить всех подключенных клиентов, что сделать теперь
и три режима паники ;-)) закрыть сервер, удалить сервер и разорвать соединение, пока процесс работает. Так как у меня Каспер и Process Explorer из установленного софта, то я решил добавить их сюда так:
скрин9 - т. е сервис аантивиря мы будем пытаться остановить, а процессэксплорер постараемся убить по-тихому ;-))
- Стелс (невидимость)
[Мелкие манипуляции:]
1) сделать дату файла сервера такой же как дата инсталяция винды.
2) поставить атрибуты на файл сервера скрытый и системный.
3) таящий сервер (что имелось под этим, если честно то я не совсем понял...)
[Тип сервера:]
1) Видимый сервер (удобен для локального тестирования)
2) Скрытый сервер (запущен на заднем плане)
3) Агрессивный сервер (запущен на заднем плане и сам себя перезапускает каждые несколько секунд)
Ну я выбрал конечно агрессивный режим, так как мне интересно затестить бэкдор на всей его мощи...
[Фишки:]
1)Открывать порты только когда в онлайн
2)Спать до следующей перезагрузки (Рекомендовано при первом запуске)
я пока не ставил эти галки.
скрин10 ]
- Антиотладка
1)Уничтожить сервер, когда отладчик обнаружен
2)Уничтожить сервер, когда обнаружена ВМ-варя (То есть трой в виртуалке под WM-Ware) и вывести сообщение об отказе работать под виртуалкой:
скрин11
Я все галки оставил, у меня не ВМ-Варя, а виртуал PC 2007 от мелкомягких, понадеюсь, что она не будет обнаружена.
- Резюме, тут всё понятно, наши настройки (параметры троя) в виде списка.
- Компиляция, тут я ставлю галку упаковать UPX-ом, чем меньше размер, тем лучше..
Всё готово! Можно жать кнопку Compile!
Жмяк! - сервер готов!
Код:
"server.exe" has successfully been built.
Size: 113,83 KB
Header: 336 Byte
Pointer to Data: 1C600
он в той же папке, где и билдер-вьювер.
Антивирь молчит, фаер тоже, всё вроде тихо и спокойно, похоже, что в этот раз нам попался чистый билдер ;-))
[Тестирование сервера Shark`a]
Ну перед запуском троя, я решил всё-таки сделать слепок состояния системы штатным средством, на случай, если помимо нашего троя в системе заведётся ещё какая-либо сторонняя живность или винда рухнет в противоборстве трояна и антивиря. Хоть и виртуалка, мне лень будет брать чистый образ системы, да и тестить надо близко к реальным условиям.
И так, запускаем троя у себя на локалхосте!
Проактивка тут как тут: перехватывает доступ к реестру:
- разрешаем...
- разрешаем...
- тоже разрешаем...
И наконец наш сервер стучится в наш билдер-вьювер:
- разрешаем...
А вот он и у нас во вьювере:
скрин16
Процесс эксплорер действительно убился, при повторном вызове даже не запускается (тихо мрёт).
Смотрим штатным менеджером процессов:
скрин17 - сервер видно, оба процесса антивируса живы.
Кликаем на сервер во вьювере и наслаждаемся всеми прелестями удалённого администрирования:
скрин18
Но не тут то было, каспер всё орёт и орёт (это наверно из-за переодических перезапусков сервера - Агрессивный режим, который мы выбрали) и бац:
- Процесс завершён (наверно такое поведение Каспер сочёл слишком наглым - частые перезапуски самого себя)
Предлагает сделать откат изменений в системе, но обламывается, откат завершился неудачно!
- значит у нашего троянчика есть шансы ожить вновь после перезагрузки!
вот лог проактивки:
PHP код:
Проактивная защита
------------------
Обнаружено
----------
Статус Объект
------ ------
обнаружено: потенциально опасное ПО Trojan.generic Процесс: C:\shark\server.exe
обнаружено: потенциально опасное ПО Invader (loader) Процесс: D:\WINDOWS\System32\My_Server.exe
01.08.2007 20:10:11 C:\shark\server.exe Процесс пытается зарегистрировать свою копию для автоматического запуска при старте компьютера. Такие действия характерны для троянских программ.
01.08.2007 20:10:11 C:\shark\server.exe Попытка завершения процесса
01.08.2007 20:25:35 C:\shark\server.exe Попытка завершения процесса: успешно
01.08.2007 20:25:36 D:\WINDOWS\system32\My_Server.exe Откат изменений
01.08.2007 20:25:36 \REGISTRY\MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{C901C080-FE40-DDC6-FADC-FA0F80DAA996}\Version Откат изменений
01.08.2007 20:25:36 \REGISTRY\MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{C901C080-FE40-DDC6-FADC-FA0F80DAA996}\Locale Откат изменений
01.08.2007 20:25:36 \REGISTRY\MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{C901C080-FE40-DDC6-FADC-FA0F80DAA996}\ComponentID Откат изменений
01.08.2007 20:25:36 \REGISTRY\MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{C901C080-FE40-DDC6-FADC-FA0F80DAA996}\StubPath Откат изменений
01.08.2007 20:25:36 \REGISTRY\MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{C901C080-FE40-DDC6-FADC-FA0F80DAA996} Откат изменений
01.08.2007 20:25:36 \REGISTRY\USER\S-1-5-21-507921405-1604221776-725345543-1003\Software\VB and VBA Program Settings\Windows Update\Windows Update\b Откат изменений
01.08.2007 20:25:36 \REGISTRY\USER\S-1-5-21-507921405-1604221776-725345543-1003\Software\VB and VBA Program Settings\Windows Update\Windows Update\s Откат изменений
01.08.2007 20:25:36 \REGISTRY\USER\S-1-5-21-507921405-1604221776-725345543-1003\Software\VB and VBA Program Settings\Windows Update\Windows Update\g Откат изменений
01.08.2007 20:25:36 \REGISTRY\USER\S-1-5-21-507921405-1604221776-725345543-1003\Software\VB and VBA Program Settings\Windows Update\Windows Update\i Откат изменений
01.08.2007 20:25:36 \REGISTRY\USER\S-1-5-21-507921405-1604221776-725345543-1003\Software\VB and VBA Program Settings\Windows Update\Windows Update Откат изменений
01.08.2007 20:25:36 \REGISTRY\USER\S-1-5-21-507921405-1604221776-725345543-1003\Software\VB and VBA Program Settings\Windows Update Откат изменений
01.08.2007 20:25:36 \REGISTRY\USER\S-1-5-21-507921405-1604221776-725345543-1003\Software\VB and VBA Program Settings Откат изменений
01.08.2007 20:25:36 \REGISTRY\MACHINE\SOFTWARE\X Откат изменений: Объект не найден
01.08.2007 20:25:36 D:\Documents and Settings\Admin\Application Data\tXmpX Откат изменений: Объект не найден
01.08.2007 20:25:36 C:\shark\server.exe Откат изменений
01.08.2007 20:10:11 C:\shark\server.exe Откат завершен с ошибками
01.08.2007 20:28:09 C:\shark\server.exe Процесс пытается зарегистрировать свою копию для автоматического запуска при старте компьютера. Такие действия характерны для троянских программ.
01.08.2007 20:28:09 C:\shark\server.exe Процесс пытается зарегистрировать свою копию для автоматического запуска при старте компьютера. Такие действия характерны для троянских программ. Действие разрешено.
01.08.2007 20:28:11 C:\shark\server.exe Процесс пытается зарегистрировать свою копию для автоматического запуска при старте компьютера. Такие действия характерны для троянских программ.
01.08.2007 20:28:11 C:\shark\server.exe Процесс пытается зарегистрировать свою копию для автоматического запуска при старте компьютера. Такие действия характерны для троянских программ. Действие разрешено.
01.08.2007 20:28:15 D:\WINDOWS\System32\My_Server.exe Процесс пытается внедрить модуль D:\WINDOWS\system32\My_Server.exe во все процессы.
01.08.2007 20:28:15 D:\WINDOWS\System32\My_Server.exe Процесс пытается внедрить модуль D:\WINDOWS\system32\My_Server.exe во все процессы. Действие разрешено.
01.08.2007 20:32:38 D:\WINDOWS\System32\My_Server.exe Процесс пытается зарегистрировать свою копию для автоматического запуска при старте компьютера. Такие действия характерны для троянских программ.
01.08.2007 20:32:38 D:\WINDOWS\System32\My_Server.exe Процесс пытается зарегистрировать свою копию для автоматического запуска при старте компьютера. Такие действия характерны для троянских программ. Действие разрешено.
01.08.2007 20:33:53 D:\WINDOWS\System32\My_Server.exe Процесс пытается зарегистрировать свою копию для автоматического запуска при старте компьютера. Такие действия характерны для троянских программ.
01.08.2007 20:33:53 D:\WINDOWS\System32\My_Server.exe Процесс пытается зарегистрировать свою копию для автоматического запуска при старте компьютера. Такие действия характерны для троянских программ. Действие разрешено.
01.08.2007 20:37:35 D:\WINDOWS\System32\My_Server.exe Процесс пытается зарегистрировать свою копию для автоматического запуска при старте компьютера. Такие действия характерны для троянских программ.
01.08.2007 20:37:35 D:\WINDOWS\System32\My_Server.exe Процесс пытается зарегистрировать свою копию для автоматического запуска при старте компьютера. Такие действия характерны для троянских программ. Действие разрешено.
01.08.2007 20:37:48 D:\WINDOWS\System32\My_Server.exe Процесс пытается зарегистрировать свою копию для автоматического запуска при старте компьютера. Такие действия характерны для троянских программ.
01.08.2007 20:37:48 D:\WINDOWS\System32\My_Server.exe Попытка завершения процесса
01.08.2007 20:37:50 D:\WINDOWS\System32\My_Server.exe Попытка завершения процесса: успешно
01.08.2007 20:42:05 \REGISTRY\MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{C901C080-FE40-DDC6-FADC-FA0F80DAA996}\Version Откат изменений
01.08.2007 20:42:05 \REGISTRY\MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{C901C080-FE40-DDC6-FADC-FA0F80DAA996}\Locale Откат изменений
01.08.2007 20:42:05 \REGISTRY\MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{C901C080-FE40-DDC6-FADC-FA0F80DAA996}\ComponentID Откат изменений
01.08.2007 20:42:05 \REGISTRY\MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{C901C080-FE40-DDC6-FADC-FA0F80DAA996} Откат изменений
01.08.2007 20:42:05 \REGISTRY\MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{C901C080-FE40-DDC6-FADC-FA0F80DAA996}\StubPath Откат изменений
01.08.2007 20:42:05 \REGISTRY\USER\S-1-5-21-507921405-1604221776-725345543-1003\Software\VB and VBA Program Settings\m\k\l Откат изменений
01.08.2007 20:42:05 \REGISTRY\USER\S-1-5-21-507921405-1604221776-725345543-1003\Software\VB and VBA Program Settings\m\k Откат изменений
01.08.2007 20:42:05 \REGISTRY\USER\S-1-5-21-507921405-1604221776-725345543-1003\Software\VB and VBA Program Settings\m Откат изменений
01.08.2007 20:42:05 D:\WINDOWS\system32\mswinsck.ocx Откат изменений
01.08.2007 20:42:05 \REGISTRY\MACHINE\SOFTWARE\X Откат изменений: Объект не найден
01.08.2007 20:42:05 D:\Documents and Settings\Admin\Application Data\tXmpX Откат изменений: Объект не найден
01.08.2007 20:42:05 D:\WINDOWS\system32\My_Server.exe Откат изменений
01.08.2007 20:37:48 D:\WINDOWS\System32\My_Server.exe Откат завершен с ошибками
Макросы
-------
Время Имя Статус
----- --- ------
Реестр
------
Время Приложение Ключ Значение Данные Тип данных Тип операции Статус
----- ---------- ---- -------- ------ ---------- ------------ ------
28.07.2007 11:23:32 D:\Program Files\Util\procexp.exe HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\PROCEXP90 ImagePath \??\D:\WINDOWS\system32\Drivers\PROCEXP90.SYS Строка Unicode, заканчивающаяся нулем Создание обнаружено
28.07.2007 11:23:32 D:\Program Files\Util\procexp.exe HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\PROCEXP90 ImagePath \??\D:\WINDOWS\system32\Drivers\PROCEXP90.SYS Строка Unicode, заканчивающаяся нулем Создание разрешен
01.08.2007 20:08:13 C:\shark\server.exe HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{C901C080-FE40-DDC6-FADC-FA0F80DAA996} StubPath D:\WINDOWS\system32\My_Server.exe Строка Unicode, заканчивающаяся нулем Создание обнаружено
01.08.2007 20:08:13 C:\shark\server.exe HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{C901C080-FE40-DDC6-FADC-FA0F80DAA996} StubPath D:\WINDOWS\system32\My_Server.exe Строка Unicode, заканчивающаяся нулем Создание разрешен
01.08.2007 20:28:06 C:\shark\server.exe HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{C901C080-FE40-DDC6-FADC-FA0F80DAA996} StubPath D:\WINDOWS\system32\My_Server.exe Строка Unicode, заканчивающаяся нулем Создание обнаружено
01.08.2007 20:28:06 C:\shark\server.exe HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{C901C080-FE40-DDC6-FADC-FA0F80DAA996} StubPath D:\WINDOWS\system32\My_Server.exe Строка Unicode, заканчивающаяся нулем Создание разрешен
[После перезагрузки]
Перезагружаемся и пробуем запустить procced explorer - не запускается, наш троян значит работает! Посмотрим штатным менеджером процессов: видим что процесс My-server.exe к нашему сожалению присутствует в списке, коннектимся к серверу, проверяем - всё работает, глянем Каспером установленные соединения:
Код:
MY_SERVER.EXE 1 TCP Исходящее 127.0.0.1 3576 127.0.0.1 555 00:17:28 6.5 КБ 17.4 КБ
SHARK.EXE TCP Входящее 127.0.0.1 555 127.0.0.1 3576 00:17:35 17.5 КБ 6.6 КБ
[Заключение]
Как видим, ни о какой скрытности сервера Шарка речи идти не может, видно в процессах, видно соединения, сервис Антивируса Касперского отрубить ему так же не удалось и при попытке трояна установления соединения с вьювером (билдером) файрвол запалит исходящее соединение, а значит и Ваш IP, так что думайте сами юзать или не юзать, на проверку он оказался бессилен против KIS 6, хотя сервер трояна и не палится как троян (после перезагрузки) и благополучно работает, но его палит проактивная защита при запуске по подозрительным действиям так же он заметен в процессах и его активность тоже, стоит отметить несомненный плюс убивать по тихому прописанные заранее процессы и останавливать некоторые сервисы. То что он работает не на реальной системе, а в MS Virtual PC 2007 он так же не обнаружил (ну вроде как заложено обнаружение только WM-Ware).
Резюме: Бэкдор можно использовать, там где нежелательно применение Радмина... может делать скриншоты экрана, имеет встроенный кейллогер, может перехватывать изображение с подключенной к жертве Веб-камеры, можно запустить проксю, посмотреть запущенные процессы, инсталированные сервисы и т. д. на компьютере- жертве.
Тестим SHARK v. 2.3.2
Похожие темы
Линейный вид
