收服护网病毒
本帖最后由 wumingpeng 于 2021-5-15 10:21 编辑古有如来佛祖降伏齐天大圣,今有我来收服护网病毒。前段时间,2021年国家的护网行动刚刚结束,这期间抓获了不少攻击队用来渗透的病毒木马,最近刚好有时间,分析了其中一个木马。
一、作恶多端被擒获
该木马是一个linux木马,其主要功能如下:
1、执行Shell命令
图1 接受shell命令
图2 执行shell命令
2、把宿主当作肉鸡,去执行DDOS攻击
图3 接受DDOS攻击命令
图4 执行DDOS攻击
3、 连接服务端该木马有两种连接服务端的方式,一种是直接连接服务端的IP地址,一种是通过域名解析动态获取服务端IP地址。
图5 直接连接IP
图6 动态解析域名连接IP
分析到这里,这个木马的行为和功能,已经了解的一清二楚了。这时候,我有了一个想法,想要收服这个木马,引导它弃暗投明变成自己的小弟,那应该怎么做呢!!!
二、 当头棒喝终悔悟
有两个方法可以实现。第一,通过文件编辑,把木马服务端的IP改成我的IP。第二,,把木马动态解析的域名改成我的域名。
1、这里我选择第一种方法,来收服这个木马小弟
。
图7 修改IP
图8 修改IP
2、写代码,创建一个服务端等待木马连接
图9 服务端代码
由于该木马连接服务端成功会向服务端发送宿主机的一些信息,所有启动我的服务端,运行一下木马,看看经过我一番苦心劝告的木马是否已经回头是岸,投向我的服务端。
图10 向服务端发送宿主机信息
图11 连上我的服务端
如上图所示,木马已经成功连上我的服务端,并发送宿主机的版本信息,看来经过我的一番苦口婆心的劝说,这个木马已经幡然悔悟并投向了我的怀抱,并等待着我的下一步指引。
尝试给木马发送一条查看当前目录的指令,看看这个木马是否会执行我们的指令。
图12 发送指令
通过IDA调试,确定木马已经收到了服务端发送的指令。
图13 收到的指令
并且在虚拟机中已经成功执行了我们发送的指令。
图14 执行指令
到此,可以肯定,这个木马经过我的谆谆教诲,真的已经弃暗投明,痛改前非了。就让它跟着我迎接下一次的护网行动,救赎它以前犯下的过错。另外,它前主人的服务器开了3389,是否还有后续故事,敬请期待。
图15 木马服务端开启了3389
3389大概是跳板 不明觉厉啊 感觉可以通过3389端口进去看看对方作者啥子情况... 感谢分享 感谢分享 感谢分享!!! 开了3389也很不好整,字典破,成功概率堪忧 hhh,这个收复用的好