NameLess后门技术全面分析

鬼仔注:我找了下源码 NameLess114.rar

作者:灰狐
来源:灰狐's Blog

注:本文已发表在<黑客防线>2008年第1期,转载请注明出处.

NameLess的大名都应该听说过吧,估计还有相当多的人用过呢,个人认为这个后门非常经典,我们再来简单看一下有关它的介绍:仅有一个DLL文件,平时不开端口,可以进行反向连接的后门程序。

这个后门早已经开源了,网上流传最广的是V1.14(稳定版),(我已经把这个版本的完整源代码打包了)哈哈,这样的好事可千万不能错过哦,立马从网上Down回来研究了下,越读越觉得越有味道,就把一些东西分享出来吧,希望对各位能有所帮助。

对于一个较完整的后门来说,最需要关心的地方莫过于几点:启动方式、连接方式、控制功能、自身保护。而NameLess就具备了一个完整后门的所有功能,我们就通过品读它的代码来启发自己能做出一个属于自己的后门吧。

首先将源代码文件解压,鼠标双击NameLess.dsw文件打开,我的测试环境是VC6.0,更高的版本我没测试过(没安装),为了方便分析,我同时使用EditPlus将其打开了,便于快速查找各函数的定义跟踪流程。

一、启动方式

NameLess后门的安装方法:打开CMD窗口,转到后门放置的目录,输入Rundll32 NameLess.dll,Install ServiceName ActiveString Password。

可见它是通过系统提供的Rundll32程序来进行安装的(毕竟它只有一个DLL文件),安装函数代码在输出的Install函数中,我们在源工程中找到这个函数并跟踪到InstallService(param)中,一目了然。

作者首先用自写的DesStringArgument函数把命令行参数给分解出来,再用自写的ReadRegEx函数检查注册表键HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\NameLess(我们下面用“注册表路径1来代替这个路径”)是否存在,然后进入HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\"ServiceName"(注册表路径2)把start的值改为2,接着进入子项“Parameters”中把原服务的ServiceName读取出来后保存到注册表路径1中,随后把自身的一些信息比如密码、替换的服务名也保存在这里以备卸载的时候恢复。后面紧接着就是卸载函数RemoveService,大概流程就是先判断密码是否正确,然后到“注册表路径1”中找到原服务的文件路径进行恢复,然后删除掉“注册表路径1”。(代码我就不贴了,见附件源工程中的NameLess.cpp文件)

这种启动方法只需替换掉系统中原有不太重要的服务,在当时来说效果应该是比较好的,不过随着现在主动防御的大行其道,这种直接修改注册表的方法已失去了效果,毕竟是两年前的作品了。但主动防御也不是无懈可击,它毕竟还是要被用户控制的(技术是要为用户服务的),所以我们可以综合利用各种方法将自己完美地伪装好后欺骗用户的允许,顺利地Pass,所以说“人”才是网络安全中最薄弱的一环。

二、连接方式

现在我们的后门可以启动了,但它是如何工作的呢?我们知道如果程序以服务方式启动的话,在DLL中必须导出一个ServiceMain函数,所以我们就在NameLess.cpp文件中找到该函数开始我们的分析过程。

这里先注册了一个服务控制函数ServiceHandler以便控制服务的启动、暂停等行为,具体的实现在TellSCM函数中,这个函数是通过调用API函数SetServiceStatus实现的,没什么新意。我们回到ServiceMain函数中继续看,就剩下一个调用了:RealService,看样子是从这里开始了真正的工作。

在RealService函数中经过一系列的读取注册表初始化后程序创建了一个保护线程,(该线程函数ShieldThread的实现代码在源工程的./Command/Shield.h文件中,这个放到后面的“自我保护”功能中讲解)然后初始化套接字InitSocket,紧接着StartSniffer,然后就调用了WSACleanup开始做清理工作了,所以我们就来专注分析StartSniffer函数(函数的实现代码在源工程./Sniffer/Sniffer.h文件中)。

这里首先建立了一个IPPROTO_IP类型的原始套接字,紧接着调用函数GetInetIP获取本机的IP地址,它这个GetInetIP函数中对各种情况都进行了比较完善的考虑,大家在做自己的程序时可以参考一下。我们继续关注它的sniffer工作,在bind了套接字之后调用了WSAIoctl将第二个参数dwIoControlCode设置为SIO_RCVALL来捕获流经本机的所有数据;每捕获到一个数据包后就调用自写函数DecodeIPPack(具体功能后面有分析)将其解析出来后创建一个StartBackDoor线程,因为给它传递的参数为NULL,所以此线程函数将执行BindShell函数(实现代码在./Socket/Socket.h文件中)建立一个新的监听套接字,将其属性设置为可重用,每监听到一个新的连接后就为其建立一个会话套接字并比较源IP,代码如下:

if(stricmp(SourceIP,inet_ntoa(AccpetAddr.sin_addr)))

{

closesocket(AcceptSocket);

continue;

}

这一段的作用比较容易让人感到迷惑,AccpetAddr是接收到的连接另一方属性,我们使用EditPlus的“在文件中查找”在整个目录里面搜索SourceIP查看它到底是做什么的。最后把注意力放在了DecodeIPPack函数上(实现代码在./Sniffer/Sniffer.h文件中):

BOOL DecodeIPPack(const char * IPBuffer)

{

IPHeader * pIpheader;

int IPHeaderLen;

struct sockaddr_in SourceAddr;

pIpheader = (IPHeader*)IPBuffer;

if ((pIpheader->proto != IPPROTO_TCP))

return FALSE;

SourceAddr.sin_addr.s_addr = pIpheader->sourceIP;

memcpy(SourceIP, inet_ntoa(SourceAddr.sin_addr), sizeof(SourceIP));

IPHeaderLen = sizeof(unsigned long) * (pIpheader->h_lenver & 0xf);

return DecodeTCPPack(IPBuffer+IPHeaderLen);

}

在前面我们提到了这个函数,但并不知道它的具体作用,现在就来详细分析一下,每当捕获到一个数据包就传递给这个函数,并将其强制转换成IPHeader类型(这个结构类型会经常用到,网上有很多,附带的源代码中是定义在Sniffer.h文件中)。函数首先检查数据报的协议类型是否为IPPROTO_TCP,然后将sourceIP字段值赋给SourceAddr.sin_addr.s_addr,再通过memcpy函数拷贝到SourceIP变量中,到这里我们可以知道每一个协议为IPPROTO_TCP的数据包的源IP都会被赋给SourceIP,随后将其传递给了DecodeTCPPack和CheckTcpData函数,在这两个函数中先进行初始化处理后就调用CheckTcpData检查数据,这个函数有一点点长,所以我就简单介绍一下它的工作流程算了:首先在数据报中找到"\n",接着判断它前面是否为"\r",如果是就把它前面的内容全部拷贝到一个字符串StringData中,再使用PortPoint = strstr(StringData,":");和HostPoint = strstr(StringData,"|");这两句在里面寻找主机地址和端口,紧接着还会分析端口合法性和主机地址的有效性,这里就不多说了。从这里可以知道它是使用嗅探的原理来取得控制端的IP实现反向连接的,大概原理就是捕获流经本机的所有数据包,然后根据自定义的协议来分析是否是控制端发送过来的数据,如果是就从中取得相关信息后连接。

好了,中间分析了这么多后我们回到stricmp(SourceIP,inet_ntoa(AccpetAddr.sin_addr))这里继续看,通过上面的分析我们清楚了SourceIP是用来区分是否是控制端的IP的。如果符合规则的话就为其建立一个控制线程,在此线程函数ClientThread中使用自定义函数ReveiceMessage来接收命令,首先判断输入的密码是否正确,通过后即发送预定义的欢迎信息,然后进入一个循环中不停地接受控制端的命令并执行。

到这里我们就基本上把NameLess的连接流程搞清楚了,这种使用嗅探的方法有它的好处,就是容易过防火墙,但也有它的缺点,就是当网络繁忙的时候很容易丢失封包。一些其他的反向连接方式更加流行,就是通过一个固定的域名来作为中转站,控制端每次启动的时候都自动将自己的IP更新到一个指定的网页文件中,而服务端就通过读取这个文件来得到控制端的IP后主动进行连接。网上的资料很多,大家可以多找来一些代码参考。

三、控制功能

现在我们来看NameLess的控制功能,这个其实就是属于系统编程的内容了,以前的杂志里面涉及了很多,我们今天就只拣一些比较有代表性的讲解下。所有的命令实现代码都在.\Command\目录下的相关文件中。

大多数功能都是很常见的,比如列举进程、下载文件、清理日志,经常看黑防的各位估计早就会了,得到系统当前登录用户的密码这个功能貌似不错,不过挺复杂,NameLess中是注入到WinLogon进程中并且调用了一些未公开的API比如NtQuerySystemInformation等,这里就不多讲了,有兴趣的可以自行阅读代码Findpass.h来学习。挑来挑去还是拿开启终端服务来讲一下吧,这个功能还是蛮有用的,其实说白了其实就是操作注册表:

void InstallTerm(SOCKET Socket,DWORD NewPort)

{

int a = WriteRegEx(HKEY_LOCAL_MACHINE,"SYSTEM\\CurrentControlSet\\Control

\\Terminal Server","TSEnabled",REG_DWORD,NULL,1,0);

int b = WriteRegEx(HKEY_LOCAL_MACHINE,"SYSTEM\\CurrentControlSet\\Services

\\TermService","Start",REG_DWORD,NULL,2,0);

int c = WriteRegEx(HKEY_LOCAL_MACHINE,"SYSTEM\\CurrentControlSet\\Control

\\Terminal Server\\WinStations\\RDP-Tcp","PortNumber",REG_DWORD,NULL,NewPort,0);

if(a && b && c)

sprintf(Temp,"Set New Terminal Service Port:%d Successfully\r\n",NewPort);

else

sprintf(Temp,"Set New Terminal Service Failed\r\n");

SendMessage(Socket,Temp);

}

WriteRegEx是作者自己写的函数,方便了他写程序过程中的重用。网上还流传有一份完整开启终端的C代码,搜“开3389 源代码”就可以找到很多。

虽然NameLess的控制功能比较全面,但大多数的功能其他后门也都具备,好像缺少一些所谓的特色功能,不过个人非常同意这种做法的。毕竟后门最重要的功能在于隐藏,拥有强大功能的那是远程控制,呵呵。

四、自身保护

作为一个后门,你不能假设肉鸡永远不会发现你,因此具有一定的自我保护能力是必须的,否则说不定随便一个新入门的菜鸟用任务管理器就能把你Kill了还会咧着嘴鄙视你:小样儿,就这水平还想出来混?

NameLess在连接上后可以通过输入命令Shield来启动保护功能,UnShield来停止,我们来看下Shield的实现方法,根据ExeCommand函数的提示很快找到了代码实现函数SetShieldStatus(位于./Command/Shield.h文件中),此函数很短,很清楚地看到它是通过创建一个ShieldThread线程来实现自我保护的,停止的话就是把这个线程给TerminateThread掉。我们来详细看下ShieldThread函数是如何实现自我保护的。

ShieldFlag = 1;

strncpy(ProtectKey1,SubRoot,sizeof(ProtectKey1));

strncat(ProtectKey1,ServerCFG.ServiceName,sizeof(ProtectKey1));

strncpy(ProtectKey2,ProtectKey1,sizeof(ProtectKey2));

strncat(ProtectKey2,"\\Parameters",sizeof(ProtectKey2));

GetModuleFileName(HMODULE(hDll), DllFilePath,MAX_PATH);

hDllFile = CreateFile(DllFilePath,GENERIC_READ,0,0,OPEN_EXISTING,

FILE_ATTRIBUTE_NORMAL,0);

SizeDll = GetFileSize(hDllFile,0);

MemDll = VirtualAlloc(0,SizeDll,MEM_COMMIT|MEM_RESERVE,PAGE_READWRITE);

ReadFile(hDllFile,MemDll,SizeDll,&BytesRead,0);

CloseHandle(hDllFile);

while(1)

{

hSearch =FindFirstFile(DllFilePath,&FileData);

if(hSearch==INVALID_HANDLE_VALUE)

{

hDllFile = CreateFile(DllFilePath,GENERIC_WRITE,0,0,CREATE_ALWAYS,

FILE_ATTRIBUTE_NORMAL,0);

WriteFile(hDllFile,MemDll,SizeDll,&BytesRead,0);

CloseHandle(hDllFile);

}

FindClose(hSearch);

WriteRegEx(HKEY_LOCAL_MACHINE,ProtectKey1,"Start",REG_DWORD,NULL,2,1);

WriteRegEx(HKEY_LOCAL_MACHINE,ProtectKey2,"ServiceDll",REG_EXPAND_SZ,

DllFilePath,NULL,0);

Sleep(30000);

就不一句句分析了,大体流程是:取得DLL路径名->读方式打开->获取文件大小->申请一块同样大小的内存->将文件内容读取到该块内存中->循环每30秒进行一次以下工作->查找该DLL是否存在->不存在则创建并将以上分配的内存块中数据写入该文件->将保护键值写入到注册表。

这种方法似乎有很多问题,因为它似乎并不是采用常用的双进程或在某个常驻系统进程中创建一个远线程,这样如果当DLL文件被删除、注册表被修改后马上将Rundll32进程结束掉就可能永远没办法“复活了”。

五、总结

通过以上的简单分析,我们可以看出这款后门在技术上其实并没有很多创新的地方,但它的经典之处在于考虑问题非常全面,并使用了一些不常见的思路,尽最大努力做到了稳定。这样的编程思路对于我们的学习非常值得借鉴,呵呵;另外值得一提的是这份工程代码非常规范,比如把读写注册表的操作封装到自定义的函数中这点就值得我们借鉴。

相关日志

楼被抢了 2 层了... 抢座Rss 2.0或者 Trackback

  • myymi

    我们交换友链好不好?就要你的博客和黑客小组中间那个位置。。。作为回报,我给你一个200*70的LOGO链 :mad:

  • 鬼仔

    :mad: 我连logo都没。。

发表评论