哇！有黑客！[3]

哇！有黑客！[3]- -


############################################################

难觅：驀然回首，那人却在

场景：

看着身后的光亮逐渐微弱，阴冷的风撕扯着elly的斗篷，仿佛黑暗的气息无孔不入。elly最后看了一眼遥远处微弱的光，握了握手中的剑--那是崔斯特赠予他的 "冰亡"，这稍稍让他的心安静了些。elly把目光收回，待眼神适应这幽暗地域的黑暗之后，收紧精神，豹一般的义无反顾地向这幽暗地域漆黑的无底洞穴走去。 世界的这边，看着屏幕上黑色的终端窗口，闪烁的绿色字母像谜一样排列组合着， elly抿了一口微热的香茗，从容的在终端中打入: rkdetector.exe rkdetector输出：

============================================================
C:\WINNT\system32>rkdetector.exe
. .. ...: Rootkit Detector Profesional 2004 v0.62 :... .. .
Rootkit Detector Profesional 2004
Programmed by Andres Tarasco Acuna
Copyright (c) 2004 - 3wdesign Security
Url: http://www.3wdesign.es


-Gathering Service list Information... ( Found: 253 services )
-Gathering process List Information... ( Found: 48 process )
-Searching for Hidden process Handles. ( Found: 0 Hidden Process )
-Checking Visible Process.............
c:\winnt\system32\smss.exe
c:\winnt\system32\csrss.exe
c:\winnt\system32\winlogon.exe
c:\winnt\system32\services.exe
c:\winnt\system32\lsass.exe
c:\winnt\system32\svchost.exe
c:\winnt\system32\msdtc.exe
c:\program files\symantec\pcanywhere\awhost32.exe
c:\program files\dell\openmanage\omsa\bin\dcevt32.exe
c:\winnt\system32\dcomsvc.exe
c:\program files\dell\openmanage\omsa\bin\dcstor32.exe
c:\program files\symantec_client_security\symantec antivirus\defwatch.exe
c:\winnt\system32\svchost.exe
c:\winnt\system32\llssrv.exe
c:\program files\symantec_client_security\symantec antivirus\rtvscan.exe
c:\winnt\system32\mstask.exe
c:\progra~1\serv-u\servud~1.exe
c:\program files\dell\openmanage\iws\bin\win32\omaws32.exe
c:\winnt\system32\snmp.exe
c:\winnt\system32\termsrv.exe
c:\winnt\system32\wbem\winmgmt.exe
c:\winnt\system32\svchost.exe
c:\winnt\system32\inetsrv\inetinfo.exe
c:\winnt\system32\svchost.exe
c:\progra~1\dell\openma~1\oldiags\vendor\pcdoctor\bin\diagorb.exe
c:\winnt\system32\atiptaxx.exe
c:\program files\f-secure\ssh server\fsshd2.exe
c:\winnt\cmd\rkdetector.exe
c:\winnt\explorer.exe
c:\winnt\system32\svchost.exe
c:\program files\flashget\flashget.exe
c:\winnt\system32\bacstray.exe
c:\progra~1\symant~1\symant~1\vptray.exe
c:\program files\d-tools\daemon.exe
c:\winnt\system32\internat.exe
c:\progra~1\serv-u\servut~1.exe
c:\program files\f-secure\ssh server\fsshd2srv.exe
c:\program files\mercury interactive\loadrunner\launch_service\bin\magentproc.exe
c:\winnt\system32\conime.exe
c:\winnt\system32\termsrv.exe
c:\program files\internet explorer\iexplore.exe
c:\winnt\system32\cmd.exe
c:\winnt\system32\mmc.exe
c:\program files\f-secure\ssh server\fssh2console.exe
c:\program files\f-secure\ssh server\fsshsftpd.exe
c:\winnt\system32\cmd.exe
c:\program files\internet explorer\iexplore.exe
-Searching again for Hidden Services..
-Gathering Service list Information... ( Found: 0 Hidden Services)
-Searching for wrong Service Paths.... ( Found: 3 wrong Services )
-------------------------------------------------------------------------------
*SV: dcomsvc
34567890 (DCOM Services) PATH: c:\winnt\system32\dcomsvc.exe
-------------------------------------------------------------------------------
*SV: MsDoscDefenderDrv (MsDoscDefenderDrv) PATH: c:\winnt\system32\msdosdrv.sys
-------------------------------------------------------------------------------
*SV: PCDRDRV (Pcdr Helper Driver) PATH: c:\progra~1\dell\openma~1\oldiags\vendor\pcdoctor\modules\pcdrdrv.sys
-------------------------------------------------------------------------------
-Searching for Rootkit Modules........
-------------------------------------------------------------------------------
*SUSPICIOUS MODULE!! c:\winnt\system32\imm32.dll
-------------------------------------------------------------------------------
*SUSPICIOUS MODULE!! c:\winnt\system32\lpk.dll
-------------------------------------------------------------------------------
*SUSPICIOUS MODULE!! c:\winnt\system32\usp10.dll
-------------------------------------------------------------------------------
-Trying to detect hxdef with TCP data..( Found: 1 running rootkits)
-------------------------------------------------------------------------------
*ROOTKIT HACKER DEFENDER v1.0.0 IS INSTALLED IN YOUR HOST.
-------------------------------------------------------------------------------
-Searching for hxdef hooks............ ( Found: 1 running rootkits)
-------------------------------------------------------------------------------
*ROOTKIT HACKER DEFENDER >= v0.82 FOUND. Path not available
-------------------------------------------------------------------------------
-Searching for other rootkits......... ( Found: 0 running rootkits)

============================================================
rkdetector和Kproccheck一样，是一个强大的工具，它们都从系统内核空间读取数据，而rkdetector的功能则更多一些，就如同它的名字r(oot)k(it)detector，它能够自动的分析Windows系统中存在的多种rootkit(一种黑客后门和工具包的集合的通称)。就象上面的输出中，排除一些误报，有效的有下面几行：
-------------------------------------------------------------------------------
*SV: dcomsvc
34567890 (DCOM Services) PATH: c:\winnt\system32\dcomsvc.exe
-------------------------------------------------------------------------------
*SV: MsDoscDefenderDrv (MsDoscDefenderDrv) PATH: c:\winnt\system32\msdosdrv.sys
-------------------------------------------------------------------------------
-Trying to detect hxdef with TCP data..( Found: 1 running rootkits)
-------------------------------------------------------------------------------
*ROOTKIT HACKER DEFENDER v1.0.0 IS INSTALLED IN YOUR HOST.
-------------------------------------------------------------------------------
-Searching for hxdef hooks............ ( Found: 1 running rootkits)
-------------------------------------------------------------------------------
*ROOTKIT HACKER DEFENDER >= v0.82 FOUND. Path not available
-------------------------------------------------------------------------------
-Searching for other rootkits......... ( Found: 0 running rootkits)
-------------------------------------------------------------------------------
可以看到它检测出了2个异常服务dcomsvc和msdosdrv.sys，以及一个rootkit -- HACKER DEFENDER v1.0.0(后文简称hxdef100)。而hxdef100，恐怕就是本章中最大的boss -- 也是最难对付的。这是Windows系统下极为成功的一个rootkit，它作为一个系统服务运行在Windows系统当中，然后通过hook相关系统调用的方法来截获用户程序，并完成各项功能。它可以隐藏文件、目录、进程、服务、注册表键值、网络端口 等信息，使得用户通过常规的查询方法(sc或ps等)无法看到这些信息。同时他还可以直接监听某个TCP端口(在本机不可见的)，或再运行和隐藏其他后门程序，来制造一个远程控制所用的通路，比特洛伊人的木马可强太多了，简直是居家旅行、杀人无形之必备良药！ hxdef100不但本身隐性，还能让其他后门(进程、服务、文件)隐性，实在是有些棘手。而让它显形的唯一方法就是喊它的名字： net stop hxdef100 停止服务之后，它就会暂时失效，然后可以使用hxdef100.exe -：uninstall 来卸载自身。 但是这样有两个难题，首先是，我们并不知道它的服务名，而不知道服务名是无法停止的；其次，我们也不知道它的可执行文件和配置文件放在那里，这样我们即时停止了，也无法完整卸载它，更无法找出它所隐藏的更多后门了，那岂不是死无对证？ 只好死马当成活马医先试一把，用前面发现的几个可能服务名试试看：
elly: 芝麻开门...(net stop hxdef100)
hxdef:...
elly: 西瓜开门...(net stop dcomsvc)
hxdef:...
elly: 土豆开门...(net stop ccproxy)
hxdef:...
elly: 香蕉开门...(net stop MsDoscDefenderDrv)
hxdef:...
elly: hxdef开门...(net stop spoolsv)
hxdef:...
看来hxdef是死都不肯回应我了，那么就只好...找软柿子捏，分析一下已经抓到的那几个尸体，看看能不能逼它们说出点什么来。 先把所有已经找到的异常文件拉到本机分析一下，包含刚发现的msdosdrv.sys，当然，有些文件知道它们是存在那儿的，但是系统还是报告找不到，不用想都是 hxdef搞得鬼。 在上面截获的文件累计有：
* 2004-04-07 11:52 55,296 list.gif
* 2004-04-07 11:53 45,056 finder.gif
* 2004-04-07 11:53 28,160 nlog.gif
* 2004-04-07 11:53 77,824 kill.gif
* 2004-04-07 11:53 131,072 info.gif
* 2004-04-07 11:53 14,747 TInject.Dll
* 2004-04-07 11:53 69,632 spinfo.dll
* 2004-04-07 11:57 8,464 sporder.dll
* 2004-04-07 11:57 49 mslsp.dat
* 2004-04-07 12:11 20,480 Dcomsvc.exe
* 2004-04-07 12:11 93 nt.bat
* 2005-02-10 03:03 405 Svclog.log
通过对文件信息分析以及反汇编取得的信息，基本功能分析如下：
* 2004-04-07 11:52 55,296 list.gif
* 2004-04-07 11:53 45,056 finder.gif
* 2004-04-07 11:53 28,160 nlog.gif
* 2004-04-07 11:53 77,824 kill.gif
* 2004-04-07 11:53 131,072 info.gif
以上5个分别是被改名后的黑客工具，功能： list.gif: pslist，sysinternal pslist，用于列出所有进程； finder.gif: 一个从winlogon进程直接查找当前登录用户口令明文的工具； nlog.gif: 实际上是nc(netcat.exe)，一个多功能的网络程序； kill.gif: sysinternal kill，用于杀掉某进程； info.gif: sysinternal psinfo，用于查看当前主机系统信息。 * 2004-04-07 11:53 14,747 TInject.Dll 这个是一个进行线程插入的工具，用来执行和隐藏后门程序，创建寄生在其他进程空间内的无进程木马，需要用rundll32运行，参数不详。 * 2004-04-07 11:53 69,632 spinfo.dll 一个无进程(可能也无端口)的木马，利用了系统SPI(网络服务提供者)接口，把自己挂接在系统网络堆栈中，作为一个网络协议过滤器存在，当所有的数据流经这一层时，就会被分析和执行。在第二章中检测出来的网络接口状态为混杂模式应该就是spinfo.dll所为。 * 2004-04-07 11:57 8,464 sporder.dll 用于在系统SPI中插入模块的一个支持库，是spinfo.dll所依赖的一个链接库。 * 2004-04-07 12:11 20,480 Dcomsvc.exe skserver 1.0，一个sock5代理服务器。 * 2004-04-07 12:11 93 nt.bat 安装skserver的初始化脚本。 * 2005-02-10 03:03 405 Svclog.log * 2004-04-07 11:57 49 mslsp.dat 分别是spinfo.dll后门和另外某后门的日志文件。 分析完之后再来看看hxdef吧，刚才是拿它没办法，不过我忘了elly手上还有一样东西没有用过 -- 冰亡。 二话不说，马上上传了一个icesword，这也是一个用于检查系统隐藏信息的好工具，几乎把他忘了。 运行之后，在服务中发现了四个隐藏服务： spooler Spoolers iprip netddee 把它们一一停止，现在系统应该干净了吧。再使用netstat -na和fport查看系统状态，一切正常，该显示的也都显示出来了。 再次查找2004-04-07相关的文件：
============================================================
C:\>dir /O:D /T:C /S C: |findstr 2004-04-07
2004-04-07 12:05 280 administrator@www.hanzify[1].txt
2004-04-07 12:03 MSHist012004040720040408
2004-04-07 12:03 ..
2004-04-07 12:03 32,768 index.dat
2004-04-07 12:03 .
2004-04-07 11:53 151,552 spoolsv.exe
2004-04-07 11:53 90,112 admdll.dll
2004-04-07 11:53 29,408 raddrv.dll
2004-04-07 11:52 55,296 list.gif
2004-04-07 11:52 45,056 finder.gif
2004-04-07 11:53 28,160 nlog.gif
2004-04-07 11:53 77,824 kill.gif
2004-04-07 11:53 131,072 info.gif
2004-04-07 11:53 76,288 SvcHostDLL.dll
2004-04-07 11:53 62,464 sysinfo.dll
2004-04-07 11:53 14,747 reginfo.exe
2004-04-07 11:53 69,632 spinfo.dll
2004-04-07 11:54 944 ms29.ini
2004-04-07 11:55 14,747 TInject.Dll
2004-04-07 11:55 412 Svclog.log
2004-04-07 11:57 8,464 sporder.dll
2004-04-07 11:57 49 mslsp.dat
2004-04-07 12:01 16,384 Perflib_Perfdata_450.dat
2004-04-07 12:11 93 nt.bat
============================================================
这回多了以下一些文件：
C:\winnt\system32\spoolsv.exe
C:\winnt\admdll.dll
C:\winnt\raddrv.dll
C:\winnt\system32\SvcHostDLL.dll
C:\winnt\system32\sysinfo.dll
C:\winnt\system32\reginfo.exe
C:\winnt\system32\ms29.ini
分析如下： C:\winnt\system32\spoolsv.exe 原名hxdef100.exe，经过加壳的hxdef100.exe，也就是hxdef100后门的主程序！ C:\winnt\admdll.dll 原名r_server2.exe，经过加壳DLL化的RAdmin 2.0，一个远程管理控制程序。 C:\winnt\raddrv.dll RAdmin运行所需的支持动态链接库。 C:\winnt\system32\SvcHostDLL.dll C:\winnt\system32\sysinfo.dll SVCHost后门，用于把线程注入SVCHost--系统服务主进程，并创建无进程后门。 SvcHostDLL.dll是它的支持库。 C:\winnt\system32\reginfo.exe Remote DLL Injector V1.6 Private Version By WinEggDrop，呵呵一个执行远程线程注入隐藏进程的程序，可能和前面的Tinject.dll有点关系。 这几个程序在系统中运行后，围绕在以hxdef100为首的木马队伍周围，伪装自己成 Spoolers，iprip，netddee等几个貌似良民的服务，在系统中为非作歹...至此整个后门团伙已经基本落网，最后我们再回顾一下它们的所作所为。那什么回顾呢？当然就是我早就惦记着的那份白名单啦！hxdef100配置文件： ms29.ini ms20.ini(原名hxdef[*].ini)全文摘录如下
============================================================
[H"i/d<h"xdef"*
svchostdll.dll
network.sys
spoolsv.exe
admdll.dll
raddrv.dll
syinfo.exe
ms29.ini
sysinto.gif
reginfo.exe
sysinfo.dll
#以上为配置hxdef负责隐藏的文件名，可惜装的东西太多，入侵者自己都疏漏了
#所以让我找到4月7日这个重要线索

[Root Processes]
hd:f<*
spoolsv.exe
<\r\c:\m\d.\e\x\e
#以上为隐藏进程表

[H"i/d<:ck"er//Def\ender*
spooler
Spoolers
iprip
Intranet
networks
netddee
#以上为隐藏服务

[H"i/d<

好吧，我们再推理一下案发现场......

代.本章结论：
1. 2004年4月7日，那是一个黑漆漆~~的夜晚...哦，对不起，是白天。
在一个阴雨绵绵的白天，一个叫domybest或ahai的"黑客"，无意间来到这个网段，
(也可能他是蓄谋已久的...)他先拿出拿手的工具nmap和rpcscan，忽然发现
这台服务器竟然开放了TCP:21和TCP:135端口，而且运行的是号称Windows下
漏洞最多的ftp服务器Serv-U 5.0.0.4和IIS 5，这不由得让他欣喜若狂！
这台机器很可能具有一个RPC-DCOM远程溢出漏洞！而且竟然还没让震荡波蠕虫
感染。这个黑客gg喜上眉头，半年的入侵经验让他很快顺利的用RPC攻击程序
进入了系统，并获得了一个SYSTEM特权的cmd shell，可能有人要问，为什么
他没可能是用Serv-U的远程溢出的呢？原因是，那会儿Serv-U 5.0.0.4以及
它的漏洞都还没出来。

2. 黑客gg进入系统之后，先上传了几个工具，他用的很熟练的ps系列，pslist
和netstat之后，他很放心的确信在这台机器上，当前除了他没有其他人登录。
而且很可能系统管理员几个月都没有来看过了。psinfo之后，发现这台机器的
配置还不错，可以拿来做ftp哦^^ 但是他不稀罕这些，因为他已经有好几百台
肉鸡了么。所以他就开始上传他的一些后门，比如，修改过的TermServ，为了
不让人发现，他还特意把它的端口改成了TCP:4652。

3. 顺利的用终端服务登录上来之后，然后呢，他想，那他做什么呢？干脆就做一台
代理服务器吧。听说有个叫CCProxy的代理服务器蛮不错的，于是他就安装了一
个CCProxy，还顺便安装了一个Serv-U的汉化包。从吕达嵘那里下的。看来他
又多一个ftp服务器和攻击跳板了。不过几天之后，他发现CCProxy还是没有他
惯用的SKserver--那个黑客用得最多的sock5代理程序顺手，于是他停掉了
CCProxy，又安装了一个SKServer。

4. 不过黑客gg还是对自己的地位是否稳固不太放心，所以他又开始着受安插更多
的眼线，安装更多的后门，比如，WinEggDrop的无进程后门，一个叫SPIShell
的SPI后门，RAdmin2远程控制服务器，插入SVCHost的隐藏后门，可能是叫
PortLess Backdoor什么的，当然，其中有些程序是它自己修改过的，也稍微
根据这台机器的情况对一些信息作了相应的伪装，这足以证明他至少是一个老练
的入侵者，可以叫Cracker什么的，而绝不是普通的ScriptKids。

5. 最后为了证明他的水平，同样也为了骗过管理员的耳目，他还没忘了安装一个
自己用得最多的Windows后门之王--HackDefender 1.0.0，这个可是刚出来
四个月的新版本呢！

6. 在系统里溜达溜达，看看有没有管理员的Agent存在吧，顺手擦掉一些Eventlog。
不过Win2000也太菜了点了，默认连Security Log都不记，黑客gg可以放心大
胆的从TerminalServer或任何一个后门登录进入；装了Norton CE？更菜！
黑客gg的后门一个也没检查出来，再升级半年之后才报告了一次...发现
DcomSVC，可能是个后门，但是清除失败，黑客gg看到他都要有峙无恐了；
最后，黑客gg在自己的肉鸡数据库里添加了一条: xx.xx.xx.xx: 1432,1442,4652,4653
hxdef,spishell,svchost,radmin,termserv@4652
skserver@1432,ccproxy
user: by ahai
pass: domybest@#@#@#

[以上一段纯属虚构，如有雷同，概不负责。]
[BTW:在我查找资料的过程中，看到这个，大家可以对照学习下。]
[http://hehe26.blogchina.com/blog/article_150251.788458.html ]

本章遗留问题：
总算分析完了。不过还有几个遗留问题：
1.如果你是系统管理员，下面该怎么办？
2.那么多后门和木马，那些弱智杀毒软件又查不到，怎么清除？
3.他还在么？还会来么？
4.如果来了，那什么招待他？

欲知后事如何，请待下回分解。

//form: http://www.patching.net/bbs/viewgooddoc.asp?id=43743&bordid=1