NameLess后门技术全面分析(上)

NameLess的大名都应该听说过吧，估计还有相当多的人用过呢，个人认为这个后门非常经典，我们再来简单看一下有关它的介绍：仅有一个DLL文件，平时不开端口,可以进行反向连接的后门程序。

这个后门早已经开源了，网上流传最广的是V1.14（稳定版），（我已经把这个版本的完整源代码打包了）哈哈，这样的好事可千万不能错过哦，立马从网上Down回来研究了下，越读越觉得越有味道，就把一些东西分享出来吧，希望对各位能有所帮助。

对于一个较完整的后门来说，最需要关心的地方莫过于几点：启动方式、连接方式、控制功能、自身保护。而NameLess就具备了一个完整后门的所有功能，我们就通过品读它的代码来启发自己能做出一个属于自己的后门吧。

首先将源代码文件解压，鼠标双击NameLess.dsw文件打开，我的测试环境是VC6.0，更高的版本我没测试过（没安装），为了方便分析，我同时使用EditPlus将其打开了，便于快速查找各函数的定义跟踪流程。

一、启动方式

NameLess后门的安装方法：打开CMD窗口,转到后门放置的目录,输入Rundll32 NameLess.dll,Install ServiceName ActiveString Password。

可见它是通过系统提供的Rundll32程序来进行安装的（毕竟它只有一个DLL文件），安装函数代码在输出的Install函数中，我们在源工程中找到这个函数并跟踪到InstallService(param)中，一目了然。

作者首先用自写的DesStringArgument函数把命令行参数给分解出来，再用自写的ReadRegEx函数检查注册表键HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\NameLess（我们下面用“注册表路径1来代替这个路径”）是否存在，然后进入HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\"ServiceName"（注册表路径2）把start的值改为2，接着进入子项“Parameters”中把原服务的ServiceName读取出来后保存到注册表路径1中，随后把自身的一些信息比如密码、替换的服务名也保存在这里以备卸载的时候恢复。后面紧接着就是卸载函数RemoveService，大概流程就是先判断密码是否正确，然后到“注册表路径1”中找到原服务的文件路径进行恢复，然后删除掉“注册表路径1”。（代码我就不贴了，见附件源工程中的NameLess.cpp文件）

这种启动方法只需替换掉系统中原有不太重要的服务，在当时来说效果应该是比较好的，不过随着现在主动防御的大行其道，这种直接修改注册表的方法已失去了效果，毕竟是两年前的作品了。但主动防御也不是无懈可击，它毕竟还是要被用户控制的（技术是要为用户服务的），所以我们可以综合利用各种方法将自己完美地伪装好后欺骗用户的允许，顺利地Pass，所以说“人”才是网络安全中最薄弱的一环。

二、连接方式

现在我们的后门可以启动了，但它是如何工作的呢？我们知道如果程序以服务方式启动的话，在DLL中必须导出一个ServiceMain函数，所以我们就在NameLess.cpp文件中找到该函数开始我们的分析过程。

这里先注册了一个服务控制函数ServiceHandler以便控制服务的启动、暂停等行为，具体的实现在TellSCM函数中，这个函数是通过调用API函数SetServiceStatus实现的，没什么新意。我们回到ServiceMain函数中继续看，就剩下一个调用了：RealService，看样子是从这里开始了真正的工作。

在RealService函数中经过一系列的读取注册表初始化后程序创建了一个保护线程，（该线程函数ShieldThread的实现代码在源工程的./Command/Shield.h文件中，这个放到后面的“自我保护”功能中讲解）然后初始化套接字InitSocket，紧接着StartSniffer，然后就调用了WSACleanup开始做清理工作了，所以我们就来专注分析StartSniffer函数（函数的实现代码在源工程./Sniffer/Sniffer.h文件中）。

这里首先建立了一个IPPROTO_IP类型的原始套接字，紧接着调用函数GetInetIP获取本机的IP地址，它这个GetInetIP函数中对各种情况都进行了比较完善的考虑，大家在做自己的程序时可以参考一下。我们继续关注它的sniffer工作，在bind了套接字之后调用了WSAIoctl将第二个参数dwIoControlCode设置为SIO_RCVALL来捕获流经本机的所有数据；每捕获到一个数据包后就调用自写函数DecodeIPPack（具体功能后面有分析）将其解析出来后创建一个StartBackDoor线程，因为给它传递的参数为NULL，所以此线程函数将执行BindShell函数（实现代码在./Socket/Socket.h文件中）建立一个新的监听套接字，将其属性设置为可重用，每监听到一个新的连接后就为其建立一个会话套接字并比较源IP，代码如下：

if(stricmp(SourceIP,inet_ntoa(AccpetAddr.sin_addr)))

{

closesocket(AcceptSocket);

continue; 

}

这一段的作用比较容易让人感到迷惑，AccpetAddr是接收到的连接另一方属性，我们使用EditPlus的“在文件中查找”在整个目录里面搜索SourceIP查看它到底是做什么的。最后把注意力放在了DecodeIPPack函数上（实现代码在./Sniffer/Sniffer.h文件中）：

BOOL DecodeIPPack(const char * IPBuffer)

{

IPHeader * pIpheader;

int IPHeaderLen;

struct sockaddr_in SourceAddr;



pIpheader = (IPHeader*)IPBuffer;

if ((pIpheader->proto != IPPROTO_TCP))

return FALSE;

SourceAddr.sin_addr.s_addr = pIpheader->sourceIP;

memcpy(SourceIP, inet_ntoa(SourceAddr.sin_addr), sizeof(SourceIP));

IPHeaderLen = sizeof(unsigned long) * (pIpheader->h_lenver & 0xf);

return DecodeTCPPack(IPBuffer+IPHeaderLen);

}

在前面我们提到了这个函数，但并不知道它的具体作用，现在就来详细分析一下，每当捕获到一个数据包就传递给这个函数，并将其强制转换成IPHeader类型（这个结构类型会经常用到，网上有很多，附带的源代码中是定义在Sniffer.h文件中）。函数首先检查数据报的协议类型是否为IPPROTO_TCP，然后将sourceIP字段值赋给SourceAddr.sin_addr.s_addr，再通过memcpy函数拷贝到SourceIP变量中，到这里我们可以知道每一个协议为IPPROTO_TCP的数据包的源IP都会被赋给SourceIP，随后将其传递给了DecodeTCPPack和CheckTcpData函数，在这两个函数中先进行初始化处理后就调用CheckTcpData检查数据，这个函数有一点点长，所以我就简单介绍一下它的工作流程算了：首先在数据报中找到"\n"，接着判断它前面是否为"\r"，如果是就把它前面的内容全部拷贝到一个字符串StringData中，再使用PortPoint = strstr(StringData,":");和HostPoint = strstr(StringData,"|");这两句在里面寻找主机地址和端口，紧接着还会分析端口合法性和主机地址的有效性，这里就不多说了。从这里可以知道它是使用嗅探的原理来取得控制端的IP实现反向连接的，大概原理就是捕获流经本机的所有数据包，然后根据自定义的协议来分析是否是控制端发送过来的数据，如果是就从中取得相关信息后连接。

好了，中间分析了这么多后我们回到stricmp(SourceIP,inet_ntoa(AccpetAddr.sin_addr))这里继续看，通过上面的分析我们清楚了SourceIP是用来区分是否是控制端的IP的。如果符合规则的话就为其建立一个控制线程，在此线程函数ClientThread中使用自定义函数ReveiceMessage来接收命令，首先判断输入的密码是否正确，通过后即发送预定义的欢迎信息，然后进入一个循环中不停地接受控制端的命令并执行。

到这里我们就基本上把NameLess的连接流程搞清楚了，这种使用嗅探的方法有它的好处，就是容易过防火墙，但也有它的缺点，就是当网络繁忙的时候很容易丢失封包。一些其他的反向连接方式更加流行，就是通过一个固定的域名来作为中转站，控制端每次启动的时候都自动将自己的IP更新到一个指定的网页文件中，而服务端就通过读取这个文件来得到控制端的IP后主动进行连接。网上的资料很多，大家可以多找来一些代码参考。