教你查出反向木马的反向连接域名

  文章作者: kofj
  接洽方式: kofj2005  at  gmail.com
  反向木马的主要种植本领是通过IE的浩繁漏洞，bt下载时不小心运转，大概去路不明的软件，使未打补丁的用户点击之后下载运转了木马步伐，而这些用户根本都是拥有静态IP的小我私家用户，若不利用反向连接的方式，势必无法长久控制。
  上面让我们来讨论一下如何查出木马的最要害的要素――反向连接域名，晓得了反向连接域名，你就可以随时了解到幕后首恶真相在哪，是否在线等隐私资料，甚至可以进行域名挟制，从而使他所控制的单元全都连到你所设置的IP上去，可见反向域名一旦暴露，要抓住幕后黑手是轻而易举的事变。木马反向连接必需先向域名办事器发送盘问要求，然后由域名办事器返回盘问效果――域名对应的IP，有了IP之后再去连接主控端。而很多木马都通过修正系统文件，历程插入，API HOOK等浩繁方式完成了在系统中办事隐藏，历程隐藏，文件隐藏，端口隐藏，以是此时系统的输入已经不是牢靠的输入了，可能你的抓包数据已经被歹意篡改，抹去了木马的相干数据（过后发现我的测试对象灰鸽子并没有这么做…但不排除别的木马会这么做…）。于是我想到了通过物理上的方法，木马固然可以在系统中隐藏，但是这个域名盘问的请求无论如何都市颠末网线大概无线信号传送出去。
  为了查出反向连接域名，构建以下网络拓扑结构:
  一台NOTEBOOK和一台PC连接在HUB上，ADSL MODEM接到HUB的UPLINK口上（注意：一样平常HUB的UPLINK口与阁下的接口相对不能同时利用），选用HUB而不是宽带路由器的缘故原由是我没钱…呵呵，实在真正的缘故原由是HUB可以把恣意一个端口发送的数据转发到除了本身端口外的其他任何一个端口，以是NOTEBOOK网卡的所有数据都市流经PC的网卡，NOTEBOOK系统中可能被木马隐藏的网络数据，都市毫无保留的暴露再PC机的网卡上。
  需要真正透彻明白从而进步技术还是需要实践，上面我就拿国内比较著名的灰鸽子木马做实验，尝试找出灰鸽子木马的反向连接域名（大家完全可以用别的木马做测试，因为我的呆板不小心中了灰鸽子以是才将计就计）。PC机上的监听工具选择了TcpDump的WINDOWS版本WinDump，如今想来多余了，PC上装着LINUX呢，可以间接利用TcpDump。WinDump的利用需要先安置WinPcap 3.1，然后下载WinDump version 3.9.3，就可以间接运转了。
  WinDump的下载地址：
  http://www.winpcap.org/windump/install/bin/windump_3_9_3/WinDump.exe
  WinPcap 3.1下载地址：
  http://www.winpcap.org/install/bin/WinPcap_3_1.exe
  监听前介绍一下NOTEBOOK的状态，中了灰鸽子木马。查到办事名的方法很简单，利用入侵检测工具icesword，那么更容易了，翻开就可以查看到所有历程和所有办事，无论是否隐藏的，一览无余发现IEXPLORER历程和lente办事是隐藏的（见图1和图2），于是禁止lente办事。（假如没有icesword也没问题，进入安全模式，system32文件夹下搜刮_hook.dll，发现一个systen_Hook.dll，明显是灰鸽子，注册表中搜刮systen，发现关联的办事名为lente），把中了灰鸽子的NOTEBOOK统统有关网络的第三方开机自启动步伐都禁止，防备引起不用要的域名盘问混淆监听效果，把lente办事改成Manual方式，末了启动办事，在PC机上观察监听效果。
  图1
  图2
  --------------------------------------------------------------------------------
  此中192.168.1.2是NOTEBOOK的IP地址，202.96.209.6是NOTEBOOK的主域名办事器，并且没有设置辅助域名办事器。PC机的IP地址是192.168.1.3，这不太紧张，因为是通过HUB连接的，只要启用网卡，无论设置成怎样样都市监听到NOTEBOOK的数据。
  监听NOTEBOOK向默许域名办事器（202.96.209.6）的域名盘问请求（图3）：
  图3
  PC机命令行输入：
  windump –vvnXi2 src 192.168.1.2 and dst 202.96.209.6
  命令中vv表示更详细的显示输入,n表示用数字表示办事端口和用IP表示已知域名的IP
  src 192.168.1.2 and dst 202.96.209.6表示只监听来自192.168.1.2并且目的是202.96.209.6的数据包，当然可以根据需要随机应变。
  监听NOTEBOOK接遭到默许域名办事器（202.96.209.6）的域名盘问响应（图4）：
  图4
  从以上监听数据来看，灰鸽子办事的启动历程中只向域名办事器盘问了ns1.3322.net的IP地址，并且域名办事器返回的效果告诉我ns1.3322.net的IP地址是61.177.95.125，盘问范例为A，即最普通的域名到IP的盘问。当然ns1.3322.net绝不行能是那个反向连接域名，因为这是希网静态域名解析的主DNS办事器。灰鸽子竟然向我的默许DNS办事器盘问另外一个DNS办事器的IP，大概是利用别的域名办事器，为了掩人线人？我停止了PC机上的监听，预备改成监听ns1.3322.net和NOTEBOOK之间的数据，果然不出所料，失掉以下效果。
  监听NOTEBOOK向域名办事器ns1.3322.net的域名盘问请求（图5）：
  图5
  监听NOTEBOOK收到域名办事器ns1.3322.net的域名盘问响应（图6）：
  图6
  【由于BT失线只给我每天上传5个图片，以是图六暂时无法上传!】
  过了一天了，偶上传了，呵呵
  从给ns1.3322.net的域名盘问请求中可以看到，中了灰鸽子的NOTEBOOK向ns1.3322.net发送了一个盘问域名65200.huigezi.org的请求，盘问范例为MX，即邮件互换记录，也便是发向邮件地址 someone@65200.huigezi.org 的邮件将会到达的的主机的地址（注意这里的MX记录恰好是和原来的域名一样，实在完全可以纷歧样的，若MX记录为163.com，那么这封邮件就发送到163.com这台主机去了）。至此已经可以清晰的看出这个灰鸽子的反向域名为65200.huigezi.org，我ping了一下，发现这与我刚开机时ICESWORD里看到的IEXPLORER历程连接某IP的8000端口的那个IP雷同，可以确定效果完全正确。反向域名乐成获得。不外这里呈现一个技术疑问，nslookup后发现huigezi.org的域名办事器为ns1.3322.net，但是为何会间接向ns1.3322.net办事器盘问呢？应该是我设置的域名办事器去问ns1.3322.net，然后告诉我盘问效果，并且缓存盘问效果，我对于这个历程是一窍不通的，就像我的域名办事器原来就晓得答案一样，我猜测是木马的自我掩护方式，各位有更好的解释的话辅导我下，谢谢了。失掉域名后接下来可以做的事很多，我也纷歧一例举了（实在是域名挟制的综合技术要求很高，我没那水准…），不外假如你实在是很气愤的话，好比对方删了你硬盘紧张文件等等，我可以告诉你，110找网警…
  在整个监听历程中遇到过很多贫苦，好比NOTEBOOK上有其他步伐访问网络，招致PC机上的终端输入狂闪不止，基础没法看，生存在文件里的话，也找得头晕，重启系统有数次等等…我始终相信技术是可以机动利用的，创新的思路尤其紧张，可能会有很意想不到的效果，无论是乐成大概失败，去尝试一下总会获得一些履历，学到一点工具（在此稍点一下，名叫LOVEBOOM[DFCG][FCG][CUG]的家伙反编译了灰鸽子的客户端找出了灰鸽子的设置装备摆设信息，当然包罗反向连接域名，技术锋利哦，呵呵，不外遇到一个木马就反编译一个那就-_-，说笑的，偶很敬佩他）。通过监听与域名办事器的通讯的方式从原理上来说对于统统木马都有效，以是我不太利用反向连接的木马，很早曩昔就觉得不安全。大家有技术上的问题可以和我一起学习探讨。
  花絮：我的灰鸽子是BT下载死神漫画的时间机缘巧合中的，看到bleach000.exe，一个JPG图像的图标（我把系统中的显示已知文件名的后缀选项去失的），来不及了，我太喜好黑崎一户了，手快了…
 

文章作者: 福州军威计算机技术有限公司
军威网络是福州最专业的电脑维修公司,专业承接福州电脑维修、上门维修、IT外包、企业电脑包年维护、局域网网络布线、网吧承包等相关维修服务。
版权声明：原创作品，允许转载，转载时请务必以超链接形式标明文章原始出处 、作者信息和声明。否则将追究法律责任。

评论加载中... 内容： 评论者： 验证码：