安装了最新版的杀毒软件对系统进行保护,时常查看进程,自认安全防护措施万无一失,放心大胆地接收、运行别人发来的文件。然而,一段时间之后,机器中的文件被修改了。为什么防火墙、杀毒软件没有提示?为什么查看系统进程却找不到任何可疑的迹象?为什么采取了这么多安全防护措施还是会“失守”?伪装,你忽略了伪装……相信大家已通过前几期的“木马屠城”栏目,学会了木马的制作、应用和传播方面的技巧。正所谓“师傅领进门,修行在个人”,今天大家就可依靠自己的力量,综合“木马屠城”曾介绍过的知识,使用目前最流行的木马辅助工具,DIY一个安全性十足的后门程序,让这个后门程序同时具备进程伪装、后台下载安装、安全通过杀毒软件等本领。(本文为文章)说干就干,找齐下表中所列出的工具后就可马上开“攻”了。我们今天的目标就是要把一款优秀的AngelShell木马(Angel.exe)修改成具有自动后台下载、安装并且能免被杀毒软件查杀等特点的后门程序,同时还将它完美地种植到合法程序中去,让攻击目标防不胜防。下载地址:http://www.sixvee.com/520yy/cpcw/cytkk-5.rar第一步:多重加壳求自保如果木马程序被杀毒软件查了出来,那我们的入侵就前功尽弃了,所以说给木马加上一层“壳”(保护层)是目前应先做的事。Tw.WiNGWIt.cOm对于广大攻击者而言,成功躲避杀毒软件的追杀就可使自己的木马顺利地在别人的机器中安家,而要做到这一点会用到的技术就是多重加壳(伪装壳+压缩壳)。我们要用到的软件就是采用多重加壳技术的EncryptPE,运行主程序EncryptPE.exe(图1),在“加密文件”框内选择要加壳的木马文件“Angel.exe”,也可从资源管理器中将要加密的文件(EXE、DLL等)直接拖到 EncryptPE主界面中来。需要注意的是,在左侧要选择“压缩自定义资源”和“文件中植入壳所需的DLL”。最后,直接点击“加密”按钮即可完成木马程序的伪装(加壳后的文件和原文件同名)。如此一来,再高明的杀毒软件也会对经过我们手工加密后的木马不闻不问。图1提示:如果是NT服务程序,可选中“特征整数”右侧的Service项。相对于简单的加壳程序而言,EncryptPE具备操作更简便的优势,而且可以避免新手在进行多重加壳时走入误区,即“先加压缩壳,再加伪装壳”(压缩壳在内,伪装壳在外,这种加壳方法是不安全的,极易被检测或反编译出来)。通过这一步,我们的木马程序就不会被杀毒软件检测出来了。在自身安全有了高度保证的情况下,我们就可以进行下一步的伪装,让木马程序在对方不知情的情况下自行下载并安装。第二步:暗度陈仓运木马普通的木马程序的体积都很庞大,如果贸然发送给对方势必会引起怀疑,所以,我们得先让对方执行一个小巧的后台下载程序,从而间接种植真正的木马。对于广大攻击者而言,这一技术无疑会让木马可以更隐蔽地在对方机器中安家。我们可以使用KaoTan Web Downloader,它能即时或定时下载指定URL的文件,并能放到我们事先设置好的指定的系统目录并执行(全部操作均在后台进行,前台无任何运行痕迹)。值得一提的是,它可将自身注入到系统进程中,即使用户使用进程查看软件也无法看出任何蛛丝马迹,隐蔽性极强,这也是我们选择它的主要原因。运行主程序后,出现如图2所示的界面,在Server选项卡中的“URL1”中输入存放“Angel.exe”(由AngelShell.exe生成的服务端)的地址“http://www.***.com/Angel.exe”。“URL2”的功能与“URL1”相同,由于并不需要设置,所以可勾选“URL2”旁边的“off”。然后在“Name1”中输入程序下载后的程序名“name.exe”。图2接下来,进入Options选项卡。为了增强隐蔽性,笔者建议大家进行以下设置,将后台程序进程插入Explorer进程,存放目录设为Temp目录,同时设置后台程序1分钟后自动下载运行。设置妥当后,点击“Build”按钮就可生成能自动下载后门程序的name.exe。这样一来,当别人运行name.exe后,程序会立即插入到系统的Explorer进程,并且会在60秒后自动下载我们指定的后门文件并运行,这样一来就可以继续我们进一步的入侵和控制了。通过这一步的操作,我们的木马程序就可通过“绕弯”法,被安装到被攻击的机器上,这样“曲折”的安装方式在一定程度上加强了木马的隐蔽性。但是,我们还需要使它“合法”。第三步:合法程序藏木马万事俱备,只欠东风。木马基本上伪装完毕了,但是将这个“赤裸裸”的木马程序发给别人,傻瓜才会上当呢。因此,最后的这一个环节,大家一定要将木马程序植入到“合法”程序中去,让对方“放心接受”。对文件捆绑技巧,大家应该再熟悉不过了,正是因为它的流行,才造就了一批批木马的扩散,不过树大招风,在杀毒软件的围剿下,捆绑方式已经面临淘汰。然而,正所谓“野火烧不尽,春风吹又生”,随之而来的新“植入”方式也诞生了(即程序插入技术)。运行主程序RobinPE.exe后(图3),我们在“后门文件”栏中选择了刚才生成的name.exe,然后在“整体植入”栏中选择一个合法的应用程序。软件会自动计算后门的空间和原程序的空间,并且会根据它们的大小得出结论,如果可以植入就会提醒我们“可以试试”。不过,我们生成的name.exe在经过EncryptPE压缩后只有十几KB,非常容易实现植入。图3提示:整体植入是将文件植入到一个exe文件之中。以后每次正常启动文件,我们植入的文件就会悄悄的生成并执行。设置完毕,点击“开始植入”就完成了木马植入工作。现在,当对方运行看似“合法”的程序时,木马早已悄悄安家落户了。随着这一步的完成,我们的木马程序就已被包装得有模有样了,不仅有了可以躲避杀毒软件的马甲,更有可以躲过被攻击者双眼的“合法”的外衣。如此一来,最后生成的这个看似合法的程序实际上就是我们的“完美后门”了。通过以上三个步骤的改造,试验对象“AngelShell”(也可以是其他任何一款木马程序)如虎添翼,对方想不中招都不行。这也说明了我们身边有些工具在单独使用时看似简单无用,其实不然,只要我们有目的性地,巧妙地结合它们,这样所创造出来的威力是不容小视的。希望广大读者能够真正体会到木马世界的千变万化,做到真正的“举一反三”、“一通百通”。小知识:AngelShell木马我们知道,网上能穿透硬件防火墙的后门程序非常少。但是,AngelShell不仅可以穿透防火墙实现反向连接,而且它还可以让所有正向连接的程序都实现反向连接。AngelShell的另外一个特色就是它能开启一个专门用来保护自己的线程。它能每隔0.2秒就检查一次注册表,一旦发现对自己不利的修改都会进行阻止。另外,程序的加载采用服务共享的方式,程序在启动之后是无法停止的,所以中招者无法停止服务也无法修改它的属性,除了重装系统没有其他的清除办法。如此强大的自我保护功能,非常有利于我们长期控制肉鸡。