Перейти к содержимому

 Друзья: Всё для вебмастера | [ Реклама на форуме ]


Rutor
Rutor


[ DDos Услуги. DDos атака. Заказать ДДос ]


Тестим SHARK v. 2.3.2

Автор Nood1e , 04 Aug 2007 12:08

  • Авторизуйтесь для ответа в теме
В теме одно сообщение

#1
Nood1e
Отправлено 04 August 2007 - 12:08

Nood1e

    Бит

  • Members
  • 10 сообщений

Система удалённого администрирования SHARK v. 2.3.2


(сервер и билдер под строгим надзором)



[Интро]

Вообщем многие наверно не раз слышали про неё, да и тут выкладывали ссылки на скачку, правда частенько на билдер склеенный со сгенерированным этим же билдером сервером, ну это так сказать обычная практика распространения прог-генераторов троянов..;-) Я не встречался с этой штукой и мне захотелось разобраться, что с чем едят в этом Shark`e.

[Подготовка]

инструменты:
- сам бэкдор
Где вы возьмёте данный трой это Ваше дело, я со своей стороны воспользовался двумя ссылками:
]]>http://static.irsoft..._hGhZtUjhhW.rar]]> - кто то выкладывал на ачате. (кстати с склеенный билдер с троем)
]]>http://static.irsoft...sharK_2.3.2.zip]]> - другая ссылка, тут вроде всё чисто на первый взгляд...
- Гостевая ОС под Virtual-PC (я использовал MS Virtual -PC 2007 с гостевой ОС - чистой WIN-XP-SP2)
- Антивирус со свежими базами с проактивной защитой и файрвол (Я использовал KIS 6.0 с последними базами и включенной проактивной защитой, фаер в режиме обучения).
- Process explorer.
- Отладчик (для продвинутых, я не пользовался, в этом случае, можно затестить обнаружение отладчика этим троем и его самоликвидацию из процессов)
Итак, ставим гостевую ОС, ставим туда Каспера, Process explorer, теперь можно скачать и распаковать нашего билдера троянца в отдельную папку: например C:\shark

[Настройка и генерация сервера Shark]

Билдер является по совместительству и клиентом для серверов shark.
Мы будем тестировать всё на локалхосте, т. е. заражать самих себя (запускать сервер и клиента на одном компе)
После распаковки у нас три папки и несколько файлов:
c:\SHARK\Bin\
c:\SHARK\Download\
c:\SHARK\Stubs\
c:\SHARK\zlib.dll
c:\SHARK\sharK.exe
c:\SHARK\richtx32.ocx
c:\SHARK\mswinsck.ocx
c:\SHARK\MSCOMCTL.OCX
c:\SHARK\menu.cfg
c:\SHARK\history.db
c:\SHARK\Comdlg32.ocx
c:\SHARK\COMCTL32.OCX
c:\SHARK\changelog.log
c:\SHARK\cdkeys.db
И так запускаем билдер sharK.exe. Каспер молчит, билдер сам никуда в Нэт не пытается ломиться, в Procced Explorer тоже ничего подозрительного не появилось из дополнительных процессов, посмотрим там его свойства, в частности вкладку TCP/IP, видим, что клиент ждёт подключений на 555 порту (сервер shark`а использует реверс-коннект, ну а как же иначе, ведь он бэкдор), но ведь никто не мешает постучать в этот порт, кому-то другому, поэтому для внешней сети мы прикроем этот порт файрволом на всякий пожарный...
]]>скрин1]]>
Топаем в меню Shark-> Create server (создать сервер) и топаем по левому меню вниз:
]]>скрин2]]>
- Основные установки: задаём Имя сервера, Имя файла сервера, Директория, куда будет установлен сервер, Имя группы, пароль сервера, интервал соединения (для теста я всё оставил по-умолчанию)
SIN-DNS Addresses - тут вы прописывайте IP или DNS-name, куда будут стучаться сервера Shark'a, я пока прописал localhost (или внутренний свой IP), тут же можно указать порт (я оставил по-умолчанию 555) и затестить соединение:
]]>скрин3]]>  - ога файрвол ловит исходящее соединение с билдера на хост (в донном случае локалхост) смело разрешаем, тест пройден, о чём свидетельствует надпись Working!
]]>скрин4]]>
- АвтоЗапуск: тут предложено два варианта: через ActiveX (ключ компонента можно сгенерировать случайный) и Reg-HKCU (Рекомендованный для Висты - я галку снял, так как у мну XP)
]]>скрин5]]>
- Сообщения после установки: хотите выдать что-то, можете поставить нужные галки и/или выполнить файл, открыть страницу web (я всё оставил пустым).
]]>скрин6]]>
- Альтернативная установка: ещё два варианта, через реестр, если ActiveX компоненты блокируются и в альтернативную директорию (пользовательскую) если заблокирована системная (нет прав на запись).
]]>скрин7]]>
- Прикрепить файлы: тут можно склеить нашего троя ещё с чем-то и прикрепить необходимые файлы и задать параметры их запуска и папки назначения. Я ничего пока не стал прикреплять.
]]>скрин8]]>
- Чёрный список: очень интересная вкладка, тут можно добавить обнаружение противостоящих процессов и сервисов: антивирей, файрволов и др. и поведение сервера shark`a при их обнаружении. Остановлюсь подробно на ней:
задаёте имя процесса (без расширения) и реакцию на него:
- тихо убить процесс
- убить процесс и информировать всех подключенных к нему клиентов
- Опросить всех подключенных клиентов, что сделать теперь
и три режима паники ;-)) закрыть сервер, удалить сервер и разорвать соединение, пока процесс работает. Так как у меня Каспер и Process Explorer из установленного софта, то я решил добавить их сюда так:
]]>скрин9]]> - т. е сервис аантивиря мы будем пытаться остановить, а процессэксплорер постараемся убить по-тихому ;-))
- Стелс (невидимость)
[Мелкие манипуляции:]
1) сделать дату файла сервера такой же как дата инсталяция винды.
2) поставить атрибуты на файл сервера скрытый и системный.
3) таящий сервер (что имелось под этим, если честно то я не совсем понял...)
[Тип сервера:]
1) Видимый сервер (удобен для локального тестирования)
2) Скрытый сервер (запущен на заднем плане)
3) Агрессивный сервер (запущен на заднем плане и сам себя перезапускает каждые несколько секунд)
Ну я выбрал конечно агрессивный режим, так как мне интересно затестить бэкдор на всей его мощи...
[Фишки:]
1)Открывать порты только когда в онлайн
2)Спать до следующей перезагрузки (Рекомендовано при первом запуске)
я пока не ставил эти галки.
]]>скрин10]]> ]
- Антиотладка
1)Уничтожить сервер, когда отладчик обнаружен
2)Уничтожить сервер, когда обнаружена ВМ-варя (То есть трой в виртуалке под WM-Ware) и вывести сообщение об отказе работать под виртуалкой:
]]>скрин11]]>
Я все галки оставил, у меня не ВМ-Варя, а виртуал PC 2007 от мелкомягких, понадеюсь, что она не будет обнаружена.
- Резюме, тут всё понятно, наши настройки (параметры троя) в виде списка.
- Компиляция, тут я ставлю галку упаковать UPX-ом, чем меньше размер, тем лучше..

Всё готово! Можно жать кнопку Compile!
Жмяк! - сервер готов!
"server.exe" has successfully been built.

Size: 113,83 KB
Header: 336 Byte
Pointer to Data: 1C600
он в той же папке, где и билдер-вьювер.
Антивирь молчит, фаер тоже, всё вроде тихо и спокойно, похоже, что в этот раз нам попался чистый билдер ;-))

[Тестирование сервера Shark`a]

Ну перед запуском троя, я решил всё-таки сделать слепок состояния системы штатным средством, на случай, если помимо нашего троя в системе заведётся ещё какая-либо сторонняя живность или винда рухнет в противоборстве трояна и антивиря. Хоть и виртуалка, мне лень будет брать чистый образ системы, да и тестить надо близко к реальным условиям.
И так, запускаем троя у себя на локалхосте!
Проактивка тут как тут: перехватывает доступ к реестру:
- разрешаем...
Изображение - разрешаем...
Изображение - тоже разрешаем...
И наконец наш сервер стучится в наш билдер-вьювер:
Изображение - разрешаем...
А вот он и у нас во вьювере:
]]>скрин16]]>
Процесс эксплорер действительно убился, при повторном вызове даже не запускается (тихо мрёт).
Смотрим штатным менеджером процессов:
]]>скрин17]]>  - сервер видно, оба процесса антивируса живы.
Кликаем на сервер во вьювере и наслаждаемся всеми прелестями удалённого администрирования:
]]>скрин18]]>
Но не тут то было, каспер всё орёт и орёт (это наверно из-за переодических перезапусков сервера - Агрессивный режим, который мы выбрали) и бац:
Изображение - Процесс завершён (наверно такое поведение Каспер сочёл слишком наглым - частые перезапуски самого себя)
Предлагает сделать откат изменений в системе, но обламывается, откат завершился неудачно!
Изображение - значит у нашего троянчика есть шансы ожить вновь после перезагрузки!

вот лог проактивки:
Проактивная защита
------------------

Обнаружено
----------
Статус	Объект
------	------
обнаружено: потенциально опасное ПО Trojan.generic	Процесс: C:\shark\server.exe
обнаружено: потенциально опасное ПО Invader (loader)	Процесс: D:\WINDOWS\System32\My_Server.exe
01.08.2007 20:10:11	C:\shark\server.exe	Процесс пытается зарегистрировать свою копию для автоматического запуска при старте компьютера. Такие действия характерны для троянских программ.
01.08.2007 20:10:11	C:\shark\server.exe	Попытка завершения процесса
01.08.2007 20:25:35	C:\shark\server.exe	Попытка завершения процесса: успешно
01.08.2007 20:25:36	D:\WINDOWS\system32\My_Server.exe	Откат изменений
01.08.2007 20:25:36	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{C901C080-FE40-DDC6-FADC-FA0F80DAA996}\Version	Откат изменений
01.08.2007 20:25:36	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{C901C080-FE40-DDC6-FADC-FA0F80DAA996}\Locale	Откат изменений
01.08.2007 20:25:36	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{C901C080-FE40-DDC6-FADC-FA0F80DAA996}\ComponentID	Откат изменений
01.08.2007 20:25:36	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{C901C080-FE40-DDC6-FADC-FA0F80DAA996}\StubPath	Откат изменений
01.08.2007 20:25:36	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{C901C080-FE40-DDC6-FADC-FA0F80DAA996}	Откат изменений
01.08.2007 20:25:36	\REGISTRY\USER\S-1-5-21-507921405-1604221776-725345543-1003\Software\VB and VBA Program Settings\Windows Update\Windows Update\b	Откат изменений
01.08.2007 20:25:36	\REGISTRY\USER\S-1-5-21-507921405-1604221776-725345543-1003\Software\VB and VBA Program Settings\Windows Update\Windows Update\s	Откат изменений
01.08.2007 20:25:36	\REGISTRY\USER\S-1-5-21-507921405-1604221776-725345543-1003\Software\VB and VBA Program Settings\Windows Update\Windows Update\g	Откат изменений
01.08.2007 20:25:36	\REGISTRY\USER\S-1-5-21-507921405-1604221776-725345543-1003\Software\VB and VBA Program Settings\Windows Update\Windows Update\i	Откат изменений
01.08.2007 20:25:36	\REGISTRY\USER\S-1-5-21-507921405-1604221776-725345543-1003\Software\VB and VBA Program Settings\Windows Update\Windows Update	Откат изменений
01.08.2007 20:25:36	\REGISTRY\USER\S-1-5-21-507921405-1604221776-725345543-1003\Software\VB and VBA Program Settings\Windows Update	Откат изменений
01.08.2007 20:25:36	\REGISTRY\USER\S-1-5-21-507921405-1604221776-725345543-1003\Software\VB and VBA Program Settings	Откат изменений
01.08.2007 20:25:36	\REGISTRY\MACHINE\SOFTWARE\X	Откат изменений: Объект не найден
01.08.2007 20:25:36	D:\Documents and Settings\Admin\Application Data\tXmpX	Откат изменений: Объект не найден
01.08.2007 20:25:36	C:\shark\server.exe	Откат изменений
01.08.2007 20:10:11	C:\shark\server.exe	Откат завершен с ошибками
01.08.2007 20:28:09	C:\shark\server.exe	Процесс пытается зарегистрировать свою копию для автоматического запуска при старте компьютера. Такие действия характерны для троянских программ.
01.08.2007 20:28:09	C:\shark\server.exe	Процесс пытается зарегистрировать свою копию для автоматического запуска при старте компьютера. Такие действия характерны для троянских программ. Действие разрешено.
01.08.2007 20:28:11	C:\shark\server.exe	Процесс пытается зарегистрировать свою копию для автоматического запуска при старте компьютера. Такие действия характерны для троянских программ.
01.08.2007 20:28:11	C:\shark\server.exe	Процесс пытается зарегистрировать свою копию для автоматического запуска при старте компьютера. Такие действия характерны для троянских программ. Действие разрешено.
01.08.2007 20:28:15	D:\WINDOWS\System32\My_Server.exe	Процесс пытается внедрить модуль D:\WINDOWS\system32\My_Server.exe во все процессы.
01.08.2007 20:28:15	D:\WINDOWS\System32\My_Server.exe	Процесс пытается внедрить модуль D:\WINDOWS\system32\My_Server.exe во все процессы. Действие разрешено.
01.08.2007 20:32:38	D:\WINDOWS\System32\My_Server.exe	Процесс пытается зарегистрировать свою копию для автоматического запуска при старте компьютера. Такие действия характерны для троянских программ.
01.08.2007 20:32:38	D:\WINDOWS\System32\My_Server.exe	Процесс пытается зарегистрировать свою копию для автоматического запуска при старте компьютера. Такие действия характерны для троянских программ. Действие разрешено.
01.08.2007 20:33:53	D:\WINDOWS\System32\My_Server.exe	Процесс пытается зарегистрировать свою копию для автоматического запуска при старте компьютера. Такие действия характерны для троянских программ.
01.08.2007 20:33:53	D:\WINDOWS\System32\My_Server.exe	Процесс пытается зарегистрировать свою копию для автоматического запуска при старте компьютера. Такие действия характерны для троянских программ. Действие разрешено.
01.08.2007 20:37:35	D:\WINDOWS\System32\My_Server.exe	Процесс пытается зарегистрировать свою копию для автоматического запуска при старте компьютера. Такие действия характерны для троянских программ.
01.08.2007 20:37:35	D:\WINDOWS\System32\My_Server.exe	Процесс пытается зарегистрировать свою копию для автоматического запуска при старте компьютера. Такие действия характерны для троянских программ. Действие разрешено.
01.08.2007 20:37:48	D:\WINDOWS\System32\My_Server.exe	Процесс пытается зарегистрировать свою копию для автоматического запуска при старте компьютера. Такие действия характерны для троянских программ.
01.08.2007 20:37:48	D:\WINDOWS\System32\My_Server.exe	Попытка завершения процесса
01.08.2007 20:37:50	D:\WINDOWS\System32\My_Server.exe	Попытка завершения процесса: успешно
01.08.2007 20:42:05	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{C901C080-FE40-DDC6-FADC-FA0F80DAA996}\Version	Откат изменений
01.08.2007 20:42:05	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{C901C080-FE40-DDC6-FADC-FA0F80DAA996}\Locale	Откат изменений
01.08.2007 20:42:05	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{C901C080-FE40-DDC6-FADC-FA0F80DAA996}\ComponentID	Откат изменений
01.08.2007 20:42:05	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{C901C080-FE40-DDC6-FADC-FA0F80DAA996}	Откат изменений
01.08.2007 20:42:05	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{C901C080-FE40-DDC6-FADC-FA0F80DAA996}\StubPath	Откат изменений
01.08.2007 20:42:05	\REGISTRY\USER\S-1-5-21-507921405-1604221776-725345543-1003\Software\VB and VBA Program Settings\m\k\l	Откат изменений
01.08.2007 20:42:05	\REGISTRY\USER\S-1-5-21-507921405-1604221776-725345543-1003\Software\VB and VBA Program Settings\m\k	Откат изменений
01.08.2007 20:42:05	\REGISTRY\USER\S-1-5-21-507921405-1604221776-725345543-1003\Software\VB and VBA Program Settings\m	Откат изменений
01.08.2007 20:42:05	D:\WINDOWS\system32\mswinsck.ocx	Откат изменений
01.08.2007 20:42:05	\REGISTRY\MACHINE\SOFTWARE\X	Откат изменений: Объект не найден
01.08.2007 20:42:05	D:\Documents and Settings\Admin\Application Data\tXmpX	Откат изменений: Объект не найден
01.08.2007 20:42:05	D:\WINDOWS\system32\My_Server.exe	Откат изменений
01.08.2007 20:37:48	D:\WINDOWS\System32\My_Server.exe	Откат завершен с ошибками


Макросы
-------
Время	Имя	Статус
-----	---	------


Реестр
------
Время	Приложение	Ключ	Значение	Данные	Тип данных	Тип операции	Статус
-----	----------	----	--------	------	----------	------------	------
28.07.2007 11:23:32	D:\Program Files\Util\procexp.exe	HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\PROCEXP90	ImagePath	\??\D:\WINDOWS\system32\Drivers\PROCEXP90.SYS	Строка Unicode, заканчивающаяся нулем	Создание	обнаружено
28.07.2007 11:23:32	D:\Program Files\Util\procexp.exe	HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\PROCEXP90	ImagePath	\??\D:\WINDOWS\system32\Drivers\PROCEXP90.SYS	Строка Unicode, заканчивающаяся нулем	Создание	разрешен
01.08.2007 20:08:13	C:\shark\server.exe	HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{C901C080-FE40-DDC6-FADC-FA0F80DAA996}	StubPath	D:\WINDOWS\system32\My_Server.exe	Строка Unicode, заканчивающаяся нулем	Создание	обнаружено
01.08.2007 20:08:13	C:\shark\server.exe	HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{C901C080-FE40-DDC6-FADC-FA0F80DAA996}	StubPath	D:\WINDOWS\system32\My_Server.exe	Строка Unicode, заканчивающаяся нулем	Создание	разрешен
01.08.2007 20:28:06	C:\shark\server.exe	HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{C901C080-FE40-DDC6-FADC-FA0F80DAA996}	StubPath	D:\WINDOWS\system32\My_Server.exe	Строка Unicode, заканчивающаяся нулем	Создание	обнаружено
01.08.2007 20:28:06	C:\shark\server.exe	HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{C901C080-FE40-DDC6-FADC-FA0F80DAA996}	StubPath	D:\WINDOWS\system32\My_Server.exe	Строка Unicode, заканчивающаяся нулем	Создание	разрешен

- пришлось запускать сервер на ноуте, на реальной системе, для теста а не на виртуалке...
PS. Статья не окончена, продолжение следует...

В разработке часть 2 "Перезагрузка"  :D

автор lebed <52nn.net>

#2
WeNZeeR
Отправлено 04 August 2007 - 12:14

WeNZeeR

    <Le voleur>

  • Honourаble
  • PipPipPipPip
  • 627 сообщений
офф пага shark-project.net
...Ибо даже в самой неприступной крепости найдётся дырка где пролезет осёл/me®...
Sometimes the life chooses for us../me®
Обратно в Хакерство и Безопасность

Количество пользователей, читающих эту тему: 0

0 пользователей, 0 гостей, 0 анонимных

  1. ProLogic.Su
  2. Underground
  3. Хакерство и Безопасность