| 一個(gè)成功的木馬必須實(shí)現(xiàn)一種既可靠,又不易被宿主發(fā)現(xiàn)的通訊方案,下面在我所知的范圍內(nèi)對(duì)各種方案的實(shí)現(xiàn)方法,可靠性,安全性做一些探討。文中錯(cuò)誤之處一定很多,歡迎大家指出,更希望能有木馬開發(fā)經(jīng)驗(yàn)的高手寫一些這方面的文章,能讓不管是黑客,還是普通用戶,都得到一定的提高。至于什么警告的我也不多說(shuō)了,反正看了文章你去做壞事與我是毫無(wú)關(guān)系的。下面進(jìn)入正題。
首先應(yīng)該明確的是受害者的機(jī)器上運(yùn)行的木馬程序我們稱之為服務(wù)端,控制者機(jī)器上運(yùn)行的我們稱之為客戶端(其實(shí)對(duì)于現(xiàn)代的木馬,已經(jīng)很難說(shuō)誰(shuí)是客戶,誰(shuí)是服務(wù)了,不過(guò)我們還是繼續(xù)用這種叫法)。另外雖然Windows9x仍然有巨大的用戶基礎(chǔ),但是Windows9x向Windows XP遷徙只是早晚問(wèn)題,所以這里的討論主要是針對(duì)NT/2000/XP平臺(tái)的。 1.使用TCP協(xié)議,服務(wù)端偵聽,客戶端連接 這是最簡(jiǎn)單,最早,最廣泛使用的一種通訊方案。使用過(guò)冰河或者被冰河客戶端掃過(guò)的對(duì)此一定不會(huì)陌生。這種通訊方案是服務(wù)端在宿主機(jī)器上開一個(gè)TCP端口,然后等待客戶端的連接,在通過(guò)對(duì)客戶端的認(rèn)證后,客戶端就可以控制服務(wù)端了。由于是建立在TCP協(xié)議基礎(chǔ)上,所以通訊的可靠性是得到保證的。但是通訊的安全性卻很成問(wèn)題。首先,使用像fport,tcpview pro這樣的工具可以很容易的發(fā)現(xiàn)在某一端口上偵聽的進(jìn)程,以及進(jìn)程對(duì)應(yīng)的可執(zhí)行文件。其次,在安裝了防火墻的機(jī)器上,當(dāng)客戶端連接到服務(wù)端時(shí),很容易引起防火墻報(bào)警。 2.使用TCP協(xié)議,客戶端偵聽,服務(wù)端連接 這就是所謂的反向連接技術(shù)了。為了克服服務(wù)端在某一端口上偵聽易被發(fā)現(xiàn)這一缺點(diǎn),現(xiàn)在服務(wù)端不再偵聽端口,而是去連接客戶端在偵聽的某一端口。這樣用一般的port scanner或者fport就很發(fā)現(xiàn)不了服務(wù)端了。而為了更好的麻痹宿主機(jī),客戶端偵聽的端口一般是21,80,23這種任何人都要訪問(wèn)的端口。雖然在安裝了防火墻的機(jī)器上,服務(wù)端去連接客戶端還是要引起防火墻報(bào)警,但是一個(gè)粗心的用戶很可能會(huì)忽略“應(yīng)用程序xxxxx試圖訪問(wèn)xxx.xxx.xxx.xxx通過(guò)端口80”這樣的警告。 這種反向連接技術(shù)要解決的一個(gè)問(wèn)題是,服務(wù)端如何找到客戶端。由于一般客戶端都是撥號(hào)上網(wǎng)的,沒有一個(gè)固定的IP,所以客戶端IP不可能硬編碼在服務(wù)端程序中。當(dāng)然由于撥號(hào)上網(wǎng)用戶的IP一般都是處于一個(gè)固定的IP地址范圍內(nèi),服務(wù)端也可以掃描這個(gè)范圍,然后根據(jù)被掃描主機(jī)的反饋來(lái)確定是否是自己的客戶端,但是服務(wù)端掃描一個(gè)IP地址范圍也太……另一個(gè)方法是客戶端通過(guò)一個(gè)有固定IP或者固定域名的第三方發(fā)布自己的IP,實(shí)現(xiàn)的方法就很多了,比如通過(guò)一個(gè)公共的郵箱,通過(guò)一個(gè)個(gè)人主頁(yè),就看你有多大的想象力的。 3.使用UDP協(xié)議,服務(wù)端偵聽,客戶端連接;客戶端偵聽,服務(wù)端連接 方法和安全性與使用TCP協(xié)議差不多。需要注意的是UDP不是一個(gè)可靠的協(xié)議,所以,必須在UDP協(xié)議的基礎(chǔ)上設(shè)計(jì)一個(gè)自己的可靠的報(bào)文傳遞協(xié)議。 4.解決防火墻問(wèn)題,無(wú)論是服務(wù)端被動(dòng)偵聽,還是服務(wù)端主動(dòng)連接,在服務(wù)端和客戶端試圖建立連接時(shí)都會(huì)引起防火墻得報(bào)警 畢竟粗心得用戶不會(huì)很多,所以,解決防火墻報(bào)警是服務(wù)端必須要解決的一個(gè)問(wèn)題。一種方法是代碼注入,服務(wù)端將自己注入到一個(gè)可以合法的與外界進(jìn)行網(wǎng)絡(luò)通訊的進(jìn)程(比如 IE, ICQ, OICQ, TELNTED, FTPD, IIS等)的地址空間中,然后或者可以以一個(gè)新線程的形式運(yùn)行,或者只是修改宿主進(jìn)程,截獲宿主進(jìn)程的網(wǎng)絡(luò)系統(tǒng)調(diào)用(WinSock)。后者的實(shí)現(xiàn)可能要麻煩一些。如果是以新線程的形式運(yùn)行,那么然后或者可以被動(dòng)偵聽,或者可以主動(dòng)連接。 無(wú)論哪種情況都不會(huì)引起防火墻的報(bào)警(當(dāng)然不是百分之百不會(huì)引起防火墻報(bào)警)。但要注意的是如果是被動(dòng)偵聽的話,比如寄生在IE內(nèi),用fport會(huì)發(fā)現(xiàn)IE在某一個(gè)端口偵聽,這有可能會(huì)引起細(xì)心的用戶的警覺。所以比較好得方法是在新線程內(nèi)去主動(dòng)連接客戶端,而且連的是客戶端的80端口;如果是寄生在OICQ內(nèi),何不連接客戶端的8000端口。使用代碼注入需要服務(wù)端具有若干特權(quán),考慮到一般用戶都是以Admin身份啟動(dòng)NT的,這應(yīng)該不是一個(gè)問(wèn)題(如果服務(wù)端是作為一個(gè)service啟動(dòng)的話,就更沒問(wèn)題了)。 5.再討論一下服務(wù)端主動(dòng)連接時(shí)客戶端IP的公布問(wèn)題 使用第三方公布客戶端IP不是一種可靠的方法。比如如果是通過(guò)一個(gè)個(gè)人主頁(yè)發(fā)布客戶端IP的話,一旦由于種種原因,這個(gè)個(gè)人主頁(yè)被主頁(yè)提供商取消的話,服務(wù)端就找不到客戶端了。而這種個(gè)人主頁(yè)被主頁(yè)提供商取消的可能性是很大的。同時(shí)客戶端也要冒暴露自己的IP的風(fēng)險(xiǎn)。所以更好的方法是客戶端通過(guò)某種方法主動(dòng)告訴服務(wù)端自己的IP和端口,然后服務(wù)端來(lái)連接。這樣可以保證最大的可靠性,安全性和靈活性。 服務(wù)端怎么收到客戶端的通知呢?一種方法是我們截獲其他進(jìn)程收到的TCP數(shù)據(jù)或者UDP包,然后分析截獲的數(shù)據(jù),從中確定是否客戶端發(fā)來(lái)了一個(gè)報(bào)告其IP的數(shù)據(jù)片斷。另一種方法是使用RAW socket來(lái)收聽ECHO REPLY類型的ICMP包,在ICMP數(shù)據(jù)包的數(shù)據(jù)去就包含了客戶端IP。而對(duì)于普通用戶來(lái)說(shuō),由于要上網(wǎng)瀏覽,這樣的ICMP包是很少過(guò)濾掉的。 6.用ICMP來(lái)通訊 既然客戶端可以通過(guò)發(fā)一個(gè)ICMP(ECHO REPLY)來(lái)告訴服務(wù)端它的IP,那為什么不把所有服務(wù)端和客戶端的通訊都建立在ICMP的基礎(chǔ)上呢?服務(wù)端向客戶端發(fā)ICMP(ECHO REQUEST),客戶端向服務(wù)端發(fā)ICMP(ECHO REPLY),然后可以在ICMP基礎(chǔ)上建立一個(gè)自己的可靠數(shù)據(jù)報(bào)通訊協(xié)議。如果不怕煩的話,還可以建立一個(gè)TCP over ICMP。由于一般的用戶這兩類ICMP包都是設(shè)為無(wú)警告放行的,這種方法的隱秘性還是很強(qiáng)的。 7. 用自定義的協(xié)議來(lái)通訊 我們知道IP頭的協(xié)議字段指定了這個(gè)IP包承載得數(shù)據(jù)的協(xié)議,比如TCP,UDP,ICMP等等。我們完全可以把這個(gè)字段設(shè)為我們自己定義的值(??80),定義自己的通訊協(xié)議。不過(guò)估計(jì)這種IP包將會(huì)被所有的防火墻過(guò)濾掉。 8.關(guān)于服務(wù)器上的木馬的通訊隱藏 前面所說(shuō)都是針對(duì)個(gè)人用戶(大部分都是撥號(hào)用戶,包括Modem,ISDN,ADSL,FTTX+LA,Cable Modem)。對(duì)這類機(jī)器來(lái)說(shuō),一般都沒有開什么服務(wù),而且一般都使用了個(gè)人防火墻,同時(shí)ICMP ECHO REPLY/REQUEST都是放行的,所有才有我們上述的各種方案。而對(duì)于服務(wù)器來(lái)說(shuō),至少要開HTTP服務(wù),同時(shí),又一般位于專門的防火墻之后。這個(gè)專門的防火墻很可能過(guò)濾掉除類型為TCP,且目的端口為80的IP包之外的所有的IP包,更不要說(shuō)各類ICMP包了。向下的方案通不過(guò),我們可以試試向上的方案。一種方法就是注射到IIS服務(wù)的進(jìn)程空間中,然后在IIS接受到木馬客戶端的請(qǐng)求前來(lái)個(gè)預(yù)處理,在IIS將數(shù)據(jù)發(fā)給木馬客戶端時(shí)來(lái)個(gè)后處理,不過(guò)我不知道怎么實(shí)現(xiàn),不知哪為高手知道。 另一種方法就是寫一個(gè)ISAPI AP,這樣,木馬客戶端發(fā)個(gè) http://xxx.xxx.xxx.xxx/backdoor.dll?cmd=dir+c: 請(qǐng)求來(lái)發(fā)命令了。當(dāng)然,一切信息都是加密得。RPC除了RPC over SMB,RPC over TCP等等外,還有一個(gè)RPC over HTTP,事實(shí)上QQ的http代理就是他自己定義的一個(gè)rpc over http,至少Q(mào)Q自己是這么叫的。現(xiàn)在,我們也來(lái)了個(gè)rpc over http。 通訊隱藏技術(shù)只是木馬隱藏諸技術(shù)中得一部分,但也是最重要的一部分。因?yàn)樗坏Wo(hù)木馬,還要保護(hù)木馬得控制者,所以不管是木馬編寫者,還是防火墻編寫者,都應(yīng)該對(duì)這一部分給于足夠的重視。 |