Το προφίλ μας στο Google Plus
0

Μελέτη και κατασκευή Δούρειων Ίππων [μέρος 3]

Previously on Trojans: Μετά τα άρθρα στα τεύχη 021 και 022 έχουμε καταφέρει να φτιάξουμε ένα πρόγραμμα το οποίο μπορεί να μεταφέρει οποιοδήποτε άλλο πρόγραμμα — φυσικά και malware! Έχουμε δηλαδή φτιάξει έναν Δούρειο Ίππο. Από ‘δώ και πέρα, όμως, τι γίνεται; Πώς συμπεριφέρονται τα τελευταίας γενιάς Trojans, από τη στιγμή που θα εγκατασταθούν σε κάποιο σύστημα; Ποιες αδυναμίες εκμεταλλεύονται;

deltaHacker 024 (τεύχος Σεπτεμβρίου 2013) | Μελέτη και κατασκευή Δούρειων Ίππων [μέρος 3]

Όταν πριν από λίγα χρόνια βγήκε στη δημοσιότητα ο κώδικας της “μητέρας όλων των Trojans”, του ZeuS, άλλαξαν πάρα πολλά πράγματα στον κόσμο της ασφάλειας. Στο παρόν άρθρο θα διερευνήσουμε το πώς θα μπορούσε κανείς να μιμηθεί, στοιχειωδώς έστω, τη λειτουργικότητα ενός τέτοιου θηρίου. Συγκεκριμένα, θα δούμε τις βασικές αρχές για την κατασκευή ενός RAT (Remote Access Trojan), το οποίο θα επιτρέπει τον απομακρυσμένο έλεγχο του μολυσμένου PC. Δεν φιλοδοξούμε φυσικά να αντιγράψουμε το ZeuS, ούτε και να δώσουμε στη δημοσιότητα ένα ακόμα RAT. Θέλουμε όμως να δείξουμε πόσο εύκολα είναι τα πρώτα στάδια ανάπτυξης ενός επικίνδυνου δικτυακού όπλου. Εξάλλου, εξετάζοντας τη λειτουργία αυτών των προγραμμάτων θα μπορούμε ν’ αναπτύσσουμε τις αντίστοιχες άμυνες από καλύτερη θέση. Για καθαρά εκπαιδευτικούς λόγους, το πρόγραμμά μας αναπτύχθηκε σε VB.net (στο Visual Studio 2008) και αποτελείται από δύο μέρη:

  • Τον client (ή botMaster): Το πρόγραμμα που χρησιμοποιεί ο εισβολέας/επιτιθέμενος.
  • Τον server: Το πρόγραμμα που έχει εγκατασταθεί στο PC του θύματος και το οποίο περιμένει εντολές από τον botMaster.

Ανάλυση του Server
O server αποτελεί μια εφαρμογή για τη γραμμή εντολών, που μόλις τρέξει περιμένει έως ότου δεχτεί κάποια σύνδεση σε συγκεκριμένο δικτυακό port. Η εφαρμογή μας ανοίγει ένα παράθυρο γραμμής εντολών, για να εμφανίζει τα αποτελέσματα της επικοινωνίας με τον client (βλ. εικόνα 1). Φυσικά, κανένα αληθινό Trojan δεν είναι τόσο ανόητο ώστε να κάνει κάτι τέτοιο. Θα ήταν σαν να φώναζε “Hey! I am here, you noob!”. Προφανώς, τέτοια trollαρίσματα δεν επιτρέπονται για ένα σοβαρό Trojan. Το πρώτο πράγμα που κάνει ο server είναι να καθορίσει την IP και την πόρτα του. Αυτό γίνεται εύκολα, ως εξής…

Διαβάστε ολόκληρο το άρθρο στο deltaHacker 024 (τεύχος Σεπτεμβρίου 2013).

Το μηνιαίο περιοδικό deltaHacker είναι πλέον ηλεκτρονικό! Μάθετε για τις νέες, απίστευτες τιμές και κάντε τώρα την παραγγελία σας συμπληρώνοντας τη σχετική φόρμα.

Leave a Reply

You must be logged in to post a comment.

Σύνδεση

Αρχείο δημοσιεύσεων