科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道查出反向木马的反向连接域名(2)

查出反向木马的反向连接域名(2)

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

反向木马的主要种植手段是通过IE的众多漏洞,使未打补丁的用户点击之后下载运行了木马程序,而这些用户基本都是拥有动态IP的个人用户,若不使用反向连接的方式,势必无法长久控制。

作者:51CTO.COM 2007年10月27日

关键字: 灰鸽子 木马 反向木马

  • 评论
  • 分享微博
  • 分享邮件

  监听前介绍一下NOTEBOOK的状态,中了灰鸽子木马。查到服务名的方法很简单,使用入侵检测工具icesword,那么更容易了,打开就可以查看到所有进程和所有服务,无论是否隐藏的,一目了然发现IEXPLORER进程和lente服务是隐藏的(见图1和图2),于是禁止lente服务。(假如没有 icesword也没问题,进入安全模式,system32文件夹下搜索_hook.dll,发现一个systen_Hook.dll,明显是灰鸽子,注册表中搜索systen,发现关联的服务名为lente),把中了灰鸽子的NOTEBOOK一切有关网络的第三方开机自启动程序都禁止,防止引起不必要的域名查询混淆监听结果,把lente服务改成Manual方式,最后启动服务,在PC机上观察监听结果。

  图1,点击可放大

  

  

  

  图2,点击可放大

  

  

  

  其中192.168.1.2是NOTEBOOK的IP地址,202.96.209.6是NOTEBOOK的主域名服务器,并且没有设置辅助域名服务器。 PC机的IP地址是192.168.1.3,这不太重要,因为是通过HUB连接的,只要启用网卡,无论设置成怎么样都会监听到NOTEBOOK的数据。

  监听NOTEBOOK向默认域名服务器(202.96.209.6)的域名查询请求(图3):

  图3

  

  

  PC机命令行输入:windump –vvnXi2 src 192.168.1.2 and dst 202.96.209.6 命令中vv表示更详细的显示输出,n表示用数字表示服务端口和用IP表示已知域名的IP,src 192.168.1.2 and dst 202.96.209.6 表示只监听来自192.168.1.2并且目标是202.96.209.6的数据包,当然可以根据需要随机应变。

  监听NOTEBOOK接受到默认域名服务器(202.96.209.6)的域名查询响应(图4):

  图4

  

  

  从以上监听数据来看,灰鸽子服务的启动过程中只向域名服务器查询了ns1.3322.net的IP地址,并且域名服务器返回的结果告诉我 ns1.3322.net的IP地址是61.177.95.125,查询类型为A,即最普通的域名到IP的查询。当然ns1.3322.net绝不可能是那个反向连接域名,因为这是希网动态域名解析的主DNS服务器。灰鸽子居然向我的默认DNS服务器查询另外一个DNS服务器的IP,或许是使用别的域名服务器,为了掩人耳目?我停止了PC机上的监听,准备改成监听ns1.3322.net和NOTEBOOK之间的数据,果然不出所料,得到以下结果。

  监听NOTEBOOK向域名服务器ns1.3322.net的域名查询请求(图5):

  图5

  

  

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章