Система удалённого администрирования SHARK v. 2.3.2
(сервер и билдер под строгим надзором)
[Интро]
Вообщем многие наверно не раз слышали про неё, да и тут выкладывали ссылки на скачку, правда частенько на билдер склеенный со сгенерированным этим же билдером сервером, ну это так сказать обычная практика распространения прог-генераторов троянов..;-) Я не встречался с этой штукой и мне захотелось разобраться, что с чем едят в этом Shark`e.[Подготовка]
инструменты:- сам бэкдор
Где вы возьмёте данный трой это Ваше дело, я со своей стороны воспользовался двумя ссылками:
]]>http://static.irsoft..._hGhZtUjhhW.rar]]> - кто то выкладывал на ачате. (кстати с склеенный билдер с троем)
]]>http://static.irsoft...sharK_2.3.2.zip]]> - другая ссылка, тут вроде всё чисто на первый взгляд...
- Гостевая ОС под Virtual-PC (я использовал MS Virtual -PC 2007 с гостевой ОС - чистой WIN-XP-SP2)
- Антивирус со свежими базами с проактивной защитой и файрвол (Я использовал KIS 6.0 с последними базами и включенной проактивной защитой, фаер в режиме обучения).
- Process explorer.
- Отладчик (для продвинутых, я не пользовался, в этом случае, можно затестить обнаружение отладчика этим троем и его самоликвидацию из процессов)
Итак, ставим гостевую ОС, ставим туда Каспера, Process explorer, теперь можно скачать и распаковать нашего билдера троянца в отдельную папку: например C:\shark
[Настройка и генерация сервера Shark]
Билдер является по совместительству и клиентом для серверов shark.Мы будем тестировать всё на локалхосте, т. е. заражать самих себя (запускать сервер и клиента на одном компе)
После распаковки у нас три папки и несколько файлов:
c:\SHARK\Bin\ c:\SHARK\Download\ c:\SHARK\Stubs\ c:\SHARK\zlib.dll c:\SHARK\sharK.exe c:\SHARK\richtx32.ocx c:\SHARK\mswinsck.ocx c:\SHARK\MSCOMCTL.OCX c:\SHARK\menu.cfg c:\SHARK\history.db c:\SHARK\Comdlg32.ocx c:\SHARK\COMCTL32.OCX c:\SHARK\changelog.log c:\SHARK\cdkeys.dbИ так запускаем билдер sharK.exe. Каспер молчит, билдер сам никуда в Нэт не пытается ломиться, в Procced Explorer тоже ничего подозрительного не появилось из дополнительных процессов, посмотрим там его свойства, в частности вкладку TCP/IP, видим, что клиент ждёт подключений на 555 порту (сервер shark`а использует реверс-коннект, ну а как же иначе, ведь он бэкдор), но ведь никто не мешает постучать в этот порт, кому-то другому, поэтому для внешней сети мы прикроем этот порт файрволом на всякий пожарный...
]]>скрин1]]>
Топаем в меню Shark-> Create server (создать сервер) и топаем по левому меню вниз:
]]>скрин2]]>
- Основные установки: задаём Имя сервера, Имя файла сервера, Директория, куда будет установлен сервер, Имя группы, пароль сервера, интервал соединения (для теста я всё оставил по-умолчанию)
SIN-DNS Addresses - тут вы прописывайте IP или DNS-name, куда будут стучаться сервера Shark'a, я пока прописал localhost (или внутренний свой IP), тут же можно указать порт (я оставил по-умолчанию 555) и затестить соединение:
]]>скрин3]]> - ога файрвол ловит исходящее соединение с билдера на хост (в донном случае локалхост) смело разрешаем, тест пройден, о чём свидетельствует надпись Working!
]]>скрин4]]>
- АвтоЗапуск: тут предложено два варианта: через ActiveX (ключ компонента можно сгенерировать случайный) и Reg-HKCU (Рекомендованный для Висты - я галку снял, так как у мну XP)
]]>скрин5]]>
- Сообщения после установки: хотите выдать что-то, можете поставить нужные галки и/или выполнить файл, открыть страницу web (я всё оставил пустым).
]]>скрин6]]>
- Альтернативная установка: ещё два варианта, через реестр, если ActiveX компоненты блокируются и в альтернативную директорию (пользовательскую) если заблокирована системная (нет прав на запись).
]]>скрин7]]>
- Прикрепить файлы: тут можно склеить нашего троя ещё с чем-то и прикрепить необходимые файлы и задать параметры их запуска и папки назначения. Я ничего пока не стал прикреплять.
]]>скрин8]]>
- Чёрный список: очень интересная вкладка, тут можно добавить обнаружение противостоящих процессов и сервисов: антивирей, файрволов и др. и поведение сервера shark`a при их обнаружении. Остановлюсь подробно на ней:
задаёте имя процесса (без расширения) и реакцию на него:
- тихо убить процесс
- убить процесс и информировать всех подключенных к нему клиентов
- Опросить всех подключенных клиентов, что сделать теперь
и три режима паники ;-)) закрыть сервер, удалить сервер и разорвать соединение, пока процесс работает. Так как у меня Каспер и Process Explorer из установленного софта, то я решил добавить их сюда так:
]]>скрин9]]> - т. е сервис аантивиря мы будем пытаться остановить, а процессэксплорер постараемся убить по-тихому ;-))
- Стелс (невидимость)
[Мелкие манипуляции:]
1) сделать дату файла сервера такой же как дата инсталяция винды.
2) поставить атрибуты на файл сервера скрытый и системный.
3) таящий сервер (что имелось под этим, если честно то я не совсем понял...)
[Тип сервера:]
1) Видимый сервер (удобен для локального тестирования)
2) Скрытый сервер (запущен на заднем плане)
3) Агрессивный сервер (запущен на заднем плане и сам себя перезапускает каждые несколько секунд)
Ну я выбрал конечно агрессивный режим, так как мне интересно затестить бэкдор на всей его мощи...
[Фишки:]
1)Открывать порты только когда в онлайн
2)Спать до следующей перезагрузки (Рекомендовано при первом запуске)
я пока не ставил эти галки.
]]>скрин10]]> ]
- Антиотладка
1)Уничтожить сервер, когда отладчик обнаружен
2)Уничтожить сервер, когда обнаружена ВМ-варя (То есть трой в виртуалке под WM-Ware) и вывести сообщение об отказе работать под виртуалкой:
]]>скрин11]]>
Я все галки оставил, у меня не ВМ-Варя, а виртуал PC 2007 от мелкомягких, понадеюсь, что она не будет обнаружена.
- Резюме, тут всё понятно, наши настройки (параметры троя) в виде списка.
- Компиляция, тут я ставлю галку упаковать UPX-ом, чем меньше размер, тем лучше..
Всё готово! Можно жать кнопку Compile!
Жмяк! - сервер готов!
"server.exe" has successfully been built. Size: 113,83 KB Header: 336 Byte Pointer to Data: 1C600он в той же папке, где и билдер-вьювер.
Антивирь молчит, фаер тоже, всё вроде тихо и спокойно, похоже, что в этот раз нам попался чистый билдер ;-))
[Тестирование сервера Shark`a]
Ну перед запуском троя, я решил всё-таки сделать слепок состояния системы штатным средством, на случай, если помимо нашего троя в системе заведётся ещё какая-либо сторонняя живность или винда рухнет в противоборстве трояна и антивиря. Хоть и виртуалка, мне лень будет брать чистый образ системы, да и тестить надо близко к реальным условиям.И так, запускаем троя у себя на локалхосте!
Проактивка тут как тут: перехватывает доступ к реестру:
- разрешаем...
- разрешаем...
- тоже разрешаем...
И наконец наш сервер стучится в наш билдер-вьювер:
- разрешаем...
А вот он и у нас во вьювере:
]]>скрин16]]>
Процесс эксплорер действительно убился, при повторном вызове даже не запускается (тихо мрёт).
Смотрим штатным менеджером процессов:
]]>скрин17]]> - сервер видно, оба процесса антивируса живы.
Кликаем на сервер во вьювере и наслаждаемся всеми прелестями удалённого администрирования:
]]>скрин18]]>
Но не тут то было, каспер всё орёт и орёт (это наверно из-за переодических перезапусков сервера - Агрессивный режим, который мы выбрали) и бац:
- Процесс завершён (наверно такое поведение Каспер сочёл слишком наглым - частые перезапуски самого себя)
Предлагает сделать откат изменений в системе, но обламывается, откат завершился неудачно!
- значит у нашего троянчика есть шансы ожить вновь после перезагрузки!
вот лог проактивки:
Проактивная защита ------------------ Обнаружено ---------- Статус Объект ------ ------ обнаружено: потенциально опасное ПО Trojan.generic Процесс: C:\shark\server.exe обнаружено: потенциально опасное ПО Invader (loader) Процесс: D:\WINDOWS\System32\My_Server.exe 01.08.2007 20:10:11 C:\shark\server.exe Процесс пытается зарегистрировать свою копию для автоматического запуска при старте компьютера. Такие действия характерны для троянских программ. 01.08.2007 20:10:11 C:\shark\server.exe Попытка завершения процесса 01.08.2007 20:25:35 C:\shark\server.exe Попытка завершения процесса: успешно 01.08.2007 20:25:36 D:\WINDOWS\system32\My_Server.exe Откат изменений 01.08.2007 20:25:36 \REGISTRY\MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{C901C080-FE40-DDC6-FADC-FA0F80DAA996}\Version Откат изменений 01.08.2007 20:25:36 \REGISTRY\MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{C901C080-FE40-DDC6-FADC-FA0F80DAA996}\Locale Откат изменений 01.08.2007 20:25:36 \REGISTRY\MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{C901C080-FE40-DDC6-FADC-FA0F80DAA996}\ComponentID Откат изменений 01.08.2007 20:25:36 \REGISTRY\MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{C901C080-FE40-DDC6-FADC-FA0F80DAA996}\StubPath Откат изменений 01.08.2007 20:25:36 \REGISTRY\MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{C901C080-FE40-DDC6-FADC-FA0F80DAA996} Откат изменений 01.08.2007 20:25:36 \REGISTRY\USER\S-1-5-21-507921405-1604221776-725345543-1003\Software\VB and VBA Program Settings\Windows Update\Windows Update\b Откат изменений 01.08.2007 20:25:36 \REGISTRY\USER\S-1-5-21-507921405-1604221776-725345543-1003\Software\VB and VBA Program Settings\Windows Update\Windows Update\s Откат изменений 01.08.2007 20:25:36 \REGISTRY\USER\S-1-5-21-507921405-1604221776-725345543-1003\Software\VB and VBA Program Settings\Windows Update\Windows Update\g Откат изменений 01.08.2007 20:25:36 \REGISTRY\USER\S-1-5-21-507921405-1604221776-725345543-1003\Software\VB and VBA Program Settings\Windows Update\Windows Update\i Откат изменений 01.08.2007 20:25:36 \REGISTRY\USER\S-1-5-21-507921405-1604221776-725345543-1003\Software\VB and VBA Program Settings\Windows Update\Windows Update Откат изменений 01.08.2007 20:25:36 \REGISTRY\USER\S-1-5-21-507921405-1604221776-725345543-1003\Software\VB and VBA Program Settings\Windows Update Откат изменений 01.08.2007 20:25:36 \REGISTRY\USER\S-1-5-21-507921405-1604221776-725345543-1003\Software\VB and VBA Program Settings Откат изменений 01.08.2007 20:25:36 \REGISTRY\MACHINE\SOFTWARE\X Откат изменений: Объект не найден 01.08.2007 20:25:36 D:\Documents and Settings\Admin\Application Data\tXmpX Откат изменений: Объект не найден 01.08.2007 20:25:36 C:\shark\server.exe Откат изменений 01.08.2007 20:10:11 C:\shark\server.exe Откат завершен с ошибками 01.08.2007 20:28:09 C:\shark\server.exe Процесс пытается зарегистрировать свою копию для автоматического запуска при старте компьютера. Такие действия характерны для троянских программ. 01.08.2007 20:28:09 C:\shark\server.exe Процесс пытается зарегистрировать свою копию для автоматического запуска при старте компьютера. Такие действия характерны для троянских программ. Действие разрешено. 01.08.2007 20:28:11 C:\shark\server.exe Процесс пытается зарегистрировать свою копию для автоматического запуска при старте компьютера. Такие действия характерны для троянских программ. 01.08.2007 20:28:11 C:\shark\server.exe Процесс пытается зарегистрировать свою копию для автоматического запуска при старте компьютера. Такие действия характерны для троянских программ. Действие разрешено. 01.08.2007 20:28:15 D:\WINDOWS\System32\My_Server.exe Процесс пытается внедрить модуль D:\WINDOWS\system32\My_Server.exe во все процессы. 01.08.2007 20:28:15 D:\WINDOWS\System32\My_Server.exe Процесс пытается внедрить модуль D:\WINDOWS\system32\My_Server.exe во все процессы. Действие разрешено. 01.08.2007 20:32:38 D:\WINDOWS\System32\My_Server.exe Процесс пытается зарегистрировать свою копию для автоматического запуска при старте компьютера. Такие действия характерны для троянских программ. 01.08.2007 20:32:38 D:\WINDOWS\System32\My_Server.exe Процесс пытается зарегистрировать свою копию для автоматического запуска при старте компьютера. Такие действия характерны для троянских программ. Действие разрешено. 01.08.2007 20:33:53 D:\WINDOWS\System32\My_Server.exe Процесс пытается зарегистрировать свою копию для автоматического запуска при старте компьютера. Такие действия характерны для троянских программ. 01.08.2007 20:33:53 D:\WINDOWS\System32\My_Server.exe Процесс пытается зарегистрировать свою копию для автоматического запуска при старте компьютера. Такие действия характерны для троянских программ. Действие разрешено. 01.08.2007 20:37:35 D:\WINDOWS\System32\My_Server.exe Процесс пытается зарегистрировать свою копию для автоматического запуска при старте компьютера. Такие действия характерны для троянских программ. 01.08.2007 20:37:35 D:\WINDOWS\System32\My_Server.exe Процесс пытается зарегистрировать свою копию для автоматического запуска при старте компьютера. Такие действия характерны для троянских программ. Действие разрешено. 01.08.2007 20:37:48 D:\WINDOWS\System32\My_Server.exe Процесс пытается зарегистрировать свою копию для автоматического запуска при старте компьютера. Такие действия характерны для троянских программ. 01.08.2007 20:37:48 D:\WINDOWS\System32\My_Server.exe Попытка завершения процесса 01.08.2007 20:37:50 D:\WINDOWS\System32\My_Server.exe Попытка завершения процесса: успешно 01.08.2007 20:42:05 \REGISTRY\MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{C901C080-FE40-DDC6-FADC-FA0F80DAA996}\Version Откат изменений 01.08.2007 20:42:05 \REGISTRY\MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{C901C080-FE40-DDC6-FADC-FA0F80DAA996}\Locale Откат изменений 01.08.2007 20:42:05 \REGISTRY\MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{C901C080-FE40-DDC6-FADC-FA0F80DAA996}\ComponentID Откат изменений 01.08.2007 20:42:05 \REGISTRY\MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{C901C080-FE40-DDC6-FADC-FA0F80DAA996} Откат изменений 01.08.2007 20:42:05 \REGISTRY\MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{C901C080-FE40-DDC6-FADC-FA0F80DAA996}\StubPath Откат изменений 01.08.2007 20:42:05 \REGISTRY\USER\S-1-5-21-507921405-1604221776-725345543-1003\Software\VB and VBA Program Settings\m\k\l Откат изменений 01.08.2007 20:42:05 \REGISTRY\USER\S-1-5-21-507921405-1604221776-725345543-1003\Software\VB and VBA Program Settings\m\k Откат изменений 01.08.2007 20:42:05 \REGISTRY\USER\S-1-5-21-507921405-1604221776-725345543-1003\Software\VB and VBA Program Settings\m Откат изменений 01.08.2007 20:42:05 D:\WINDOWS\system32\mswinsck.ocx Откат изменений 01.08.2007 20:42:05 \REGISTRY\MACHINE\SOFTWARE\X Откат изменений: Объект не найден 01.08.2007 20:42:05 D:\Documents and Settings\Admin\Application Data\tXmpX Откат изменений: Объект не найден 01.08.2007 20:42:05 D:\WINDOWS\system32\My_Server.exe Откат изменений 01.08.2007 20:37:48 D:\WINDOWS\System32\My_Server.exe Откат завершен с ошибками Макросы ------- Время Имя Статус ----- --- ------ Реестр ------ Время Приложение Ключ Значение Данные Тип данных Тип операции Статус ----- ---------- ---- -------- ------ ---------- ------------ ------ 28.07.2007 11:23:32 D:\Program Files\Util\procexp.exe HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\PROCEXP90 ImagePath \??\D:\WINDOWS\system32\Drivers\PROCEXP90.SYS Строка Unicode, заканчивающаяся нулем Создание обнаружено 28.07.2007 11:23:32 D:\Program Files\Util\procexp.exe HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\PROCEXP90 ImagePath \??\D:\WINDOWS\system32\Drivers\PROCEXP90.SYS Строка Unicode, заканчивающаяся нулем Создание разрешен 01.08.2007 20:08:13 C:\shark\server.exe HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{C901C080-FE40-DDC6-FADC-FA0F80DAA996} StubPath D:\WINDOWS\system32\My_Server.exe Строка Unicode, заканчивающаяся нулем Создание обнаружено 01.08.2007 20:08:13 C:\shark\server.exe HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{C901C080-FE40-DDC6-FADC-FA0F80DAA996} StubPath D:\WINDOWS\system32\My_Server.exe Строка Unicode, заканчивающаяся нулем Создание разрешен 01.08.2007 20:28:06 C:\shark\server.exe HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{C901C080-FE40-DDC6-FADC-FA0F80DAA996} StubPath D:\WINDOWS\system32\My_Server.exe Строка Unicode, заканчивающаяся нулем Создание обнаружено 01.08.2007 20:28:06 C:\shark\server.exe HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{C901C080-FE40-DDC6-FADC-FA0F80DAA996} StubPath D:\WINDOWS\system32\My_Server.exe Строка Unicode, заканчивающаяся нулем Создание разрешен
- пришлось запускать сервер на ноуте, на реальной системе, для теста а не на виртуалке...
PS. Статья не окончена, продолжение следует...
В разработке часть 2 "Перезагрузка" :D
автор lebed <52nn.net>