吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 10180|回复: 5
收起左侧

[转载] 电子取证远控木马之SRAT

 关闭 [复制链接]
liuhou521 发表于 2009-3-15 15:33
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
作者:New4[D.S.T] http://www.darkst.com

  
前言:
   
SRAT远程控制软件是在灰鸽子之后出现的又一款功能强大的反弹型木马,具备几乎灰鸽子所

有功能并且体积仅有不足
200KB,在SRAT发布之后掀起了o(∩_∩)o界

换马狂潮。大部分小菜鸟们都觉得灰鸽子免杀难做并且突破主动防御不易,都选择较新或者有更新活力的

新远控。而
SRAT的条件都满足当前大部分小黑的需要,体积小、易免杀、穿透主动防

御能力强。功能强大:文件管理、屏幕监控、超级终端、键盘记录、进程管理、服务管理、窗口管理、插

件管理、注册表管理、音频视频监控,等几乎涉及所有计算机操作的功能使小黑们一旦拥有别无所求!使

SRAT近期大量被使用和传播,各类免杀版本发布,一条条新的黑色产业链条应此而

生。其强大的键盘记录功能让您的电脑没有任何隐私可言,无论您输入的是中文或者英文以及其他语言都

可以完美记录下来!



上面就是SRAT远控木马的简要介绍下面我来向大家展示一个,通过解密

木马配置信息来取证的方法。



操作环境:Window Xp Sp3(本地局域网中的虚拟机
使用工具:Wsyscheck(辅助木马查找)、010Editor16进制编辑器)
推荐工具:SRAT远控专杀工具 V1.0(可辅助查找并

查杀
SRAT木马)



首先,我们事先准备了一台虚拟PC(非真实机器)

并且配置一个新的
SRAT木马,并运行植入该计算机中已制造一个木马已经潜伏的环境

,然后我们就可以继续以下的检查是否被种植了
SRAT木马的操作!配置信息如图

1和图2

1 配置上线地址

2 配置安装服务端及文件路径
配置完成我们查看一下文件属性,发现木马体积:175KB(如图

3),由于SRAT没有压缩服务端的选项所以我们可以锁定,傀儡计算机中

如果中了
SRAT木马其体积也不会超过200K,如果经过加密或者其

他特殊变种后可能会超过体积。而变种不在我们现在讨论的范围内,如果仔细的朋友可能会发现


SRAT远控目录下还有个update目录,看字面的意思就是“升级”的意思

而你打开目录后会发现有两个文件(如图
4):SratInit.exe

SratMain.dll。大家可以发现这个SratInit.exe的图标和配置出

来的那个服务端图标一模一样!没错这个就是安装服务端的主体,也被专业人士称为


ServerLoader(即服务端加载程序)。主要作用就是用于木马的安装任务,而

SratMain.dll文件就是该木马所有功能的主体了,这个大家看一下体积也就知道了足足有

144KB占据了几乎整个木马的大部分体积。一般这类木马的植入计算机后的一些特性

如自删除都是由
ServerLoader完成的,而安装完成之后ServerLoader就不在使用了!以减少被杀毒软件查杀的几率因为它已经没有了安装的特性,也就是说一个杀人犯

他没有带凶器。就算警察(杀毒软件)查到也不一定能给他定罪,然而谁能又知道这看似正常的一个文件

既然是一个能完成潜伏并后台操作的木马?这类的木马我们一般都称为:
DLL型木马

它的传播必须有一个
ServerLoader程序(EXE),我们在查杀

SRAT木马(DLL型木马)的时候我们只能找它的DLL

文件进行查杀而不是找EXE。因为一般EXE都不存在

了,所以我们下文所说的内容主要都是以讲解其
DLL文件为主,请大家留意不要弄错

了!


3 配置出来SRAT服务端大小

4 update目录下的文件


查找木马
我们已经运行了SRAT服务端程序,并且确认SRAT

经正常工作了。如图
5,机器已经可以被牧马者操控了!下面请出我们的

Wsyscheck,运行后如图6,现在我们操作选项卡切换到安全检查

,并且点到端口状态我们能看到有一个程序连接到我们控制端默认端口:8800上,如图7,我们这时候记下他的进程PID3032

。好我们切换到进程管理功能中查找进程PID3032

的进程发现是一个
svchost.exe进程,可能这时候有人要问为什么这么肯定是这个?

这个不是系统进程?我能肯定的说这个是系统进程但它不是正常的系统进程,这时候我们点到这个进程查

看模块路径列表空空如也(如图
8),这是为什么?原因是SRAT

木马他伪装了微软文件版权,而
Wsyscheck默认设置是将这部分忽略不显示的。我们

只要将软件设置中的
模块、服务简洁显示前面的勾(如图9)去

掉你就能看到被忽略的所有模块了如图
10,我们可以发现有一个模块非常奇怪

c:\program files\common files\microsoft shared\msinfo\nmt6psdo.dll”其文

件名是一些随机字符,并不是一些正常的系统文件命名。通过网上搜索引擎都无法查询到!我们可以确定

这个就是可疑文件(这个我们配置的时候路径选择了
msinfo目录所以我能一下判断出

来),我们找到该文件如图
11,我们发现和文件版权信息有微软字样并且和我们之前

看的“
update目录”下的那个dll文件一样!有人可能说这样找

样本是不是太费力了啊?这个没问题我们给大家准备了更简单的方法。运行
SRAT远控

专杀工具
V1.0点扫描木马按钮,如图12,我们的检测工具能在

2秒内查到SRAT木马,并且路径和文件名和我们用

Wsyscheck查找的一模一样。这样大家是不是觉得简单很多了?没问题我们进入下一步如何获

取服务端里的加密信息(取证)!


5 列出机器上C盘根目录的所有文件

6 Wsyscheck运行后的截图

7 发现一条可疑网络连接

8 模块列表里未显示任何模块

9 去掉模块、服务简洁显示前面的勾

10 可以正常显示模块了

11 木马文件

12 提示发现SRAT木马


取证木马
我们从机器上取回了SRAT木马样本,下面如何获得里面的配置的域名信

息?下面我们就请出主角
010Editor编辑软件,我们用010Editor

打开取回的样本文件:
rsPtXa1x.dll。如图13,我们将光标移动

到文件尾部如图
14。你可以看到很多1F 1F的数据,现在我们记

下这个
1F。(为什么要记得1F这个?这个就是配置信息解密的

Key密钥),我们向上选择带1F的数据,大小约352

字节(可能和实际操作时不同),如图15,我们现在点选工具菜单

>操作>二进制异或,如图16。下面我们设置

,数据类型为:无符号字节,操作数:
1F16进制操作,如图

17,设置解密参数完毕后点确定。这个时候我们在看那一串字符已经被解密了!如图

18,我们可以清晰的看到我们刚刚配置的域名:127.0.0.1端口

8800,服务名:SRAT_Service,下面的就是通过域名信息追踪

IP了,我就不多介绍了。Ping一下就可以完成IP定位了,到这里我们所有取证过程就完了。

13 010Editor打开SRAT

马样本


14 文件尾部的数据

15 选定352字节大小 左右的

数据


16 二进制异或操作

17 解密参数设置

18 解密后的明文


后记:

到这里我们已经将一个SRAT远控木马的如何查找的过程和取证过程介绍

完毕了,希望大家看完后能举一反三。多多实践找出更多的方法,最后想说一句的是新的刑法已经公布了

,还在玩远控的各位黑友们一定要注意了!



时间:2009/3/14




联系方式:

邮箱:darkstrat@vip.qq.com
网站:
http://www.darkst.com  暗组技术论坛
http://www.fsg2.cn     Blog
http://www.gongxiangziyuan.ys168.com/  工具

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

小野 发表于 2009-3-15 18:25
本帖最后由 小野 于 2009-3-15 18:26 编辑

沙发!好东西! 看看有后门!


说明:此空间的下载量已经超过了流量限制。 汗 什么下载地址阿??[s:17]
hnsqhuohu 发表于 2009-3-16 10:07
pengbosha 发表于 2009-4-1 10:16
javaluo 发表于 2009-4-3 14:52
zenze怎么看不到图呢??????????????、太怪了。。。。。。。。。。。
风之凡尘 发表于 2009-4-3 17:14
这是好东西呀,
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-24 11:56

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表