Trojské koně
Prví části si povíme něco o trojských koní.. Nejdřív obecně si popíšeme a pak prográmku vám se budu snažit vysvětlit.. Když tak omluvte to kdybych něco dělal špatně nebo jste něco nechápali a nebo by se tu neobjevil ten program který jste chtěli, ale budu popisovat jen ty, které jsem vyzkoušel. Tak jdem na to….
Trojský kůň je program, který naoko funguje jako užitečná utilita, ale pozadí provádí zákeřné akce nebo instaluje nebezpečný software. Trojany můžou být uschovány v nenápadných utilitách nebo žertovných prográmcích, tak že uživatel hrající nevinnou hru vůbec netuší, že zatím vytvořil v systému zadní vrátka. Nebo si představte zadní vrátka kombinovaná s pozměněným programem netstat, který úmyslně nezobrazuje porty, na kterých nepřátelská utilita naslouchá. O některých takových trojských koní, například o FPWNCLNT.DLL a rootkitech.
Tady vám ukážu včem se například skrývá trojský kůň. Whack-A-Mole: je hra, která je často používána k distribuci programu NetBus. Hra se skládá z jediného souboru whackamole.exe, který je ve skutečnosti samorozbalovacím WinZip archivem. Whack-A-Mole nainstaluje NetBus sever pod jménem explore.exe a vytvoří klíč pod HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run, tak že NetBus je spuštěn při každém startu operačního systému. Toto všecko se děje úplně nenápadně, skryto za hrou Whack-A-Mole, která vypadá takto..
Back Orifice a NetBus
Ačkoli jsou oba tyto nástroje graficky orientované (NetBus dokonce poskytuje jednoduché řízení deskopu), využívají spíše vzdálené volání funkcí Windows API. Měly by tedy bát spíše klasifikované jako zadní vrátka založena na volání vzdálených procedur než řídící grafické utility. Nyní se soustředíme na skrytá místa, do kterých je může případný útočník nainstalovat.. Původní Back Orifice sever (BO) může být nakonfigurován tak, aby se instaloval a spouštěl jako soubor libovolného jména (implicitně [mezera].exe). Aby byl zajištěn jeho start po restartu systému, přida záznam do HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices. Po spuštění naslouchá implicitně na port 31337.. Ted vyšla nová verze Back Orifice 2000 kterou najdete v Downloadech na http://hackchat.podebrady.net má všecky funkce jako originál,, ale navíc ji lze provozovat i na Windows 2000 a je pro ni dostupný vývojový kit. Lze taky vytvořit mnoho variant programu, jehož detekce (například antivirovým programem) je pak velmi složitá. V implicitní konfiguraci naslouchá na TCP portu 54320 nebo UDP portu 54321 a kopíruje se do adresáře %systemroot%pod jménem UMGR32.EXE. V seznamu běžících procesů se maskuje jako EXPLORER. Pokud je nainstalován v "neviditelném" režimu, instaluje se jako služba "Remote Administration Service" do kliče HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunService, takže je spuštěn při každém startu systému. Navíc po sobě smaže původní soubor. Všecky tyto hodnoty lze jednoduše měnit pomocí programu bo2kcfg.exe, který je obsažen v distribuci. NetBus je také vysoce konfigurovatelný program a v Internetu se nachází velké množství jeho variací. Implicitní jméno binární kódu severu je pach.exe (může být přejmenován na cokoliv), které je obyčejně zapsáno do (dejte Start+spustit a napište regedit a enter) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run. Takže je sever nastartován při každém startu operačního systému. NetBus naslouchá implicitně na portech 12345 nebo 20034. Porty můžeme také libovolně konfigurovat.!!!
NetBus 1.7: Ted něco s terminologie: Žádný víklad o bezpečnosti NT by nebyl úplný bez nástroje NetBusu, staršího bratra Back Orifice (BO) pro windows9x což je, vzdálený správce a špion od hackerské skupiny, která si říká Cult of the Dead Cow (cDc). Hlavním rozdíl mezi NetBuse a BO spočívá vtom, že NetBus funguje na WindowsNT stejně jako na Windows9x (ačkoli nová verze BO má taky běžet na W2000). Novější verze 2.0 řeší mnoho potenciálně nebezpečných otázek NetBusu jako například požadavek fyzického přístupu, aby běžel v neviditelným módu, a nekompatibilitu s jiným trojským koněm používaný pro přenos, ale "hacknuté" kopie tyto funkce jsou dostupné na Intrnetu. To platí i pro předcházejcí verze, kterým tyto "bezpečné" funkce chybí.. No to by stačilo té trochy terminologie a teď jdeme na praxi…… Tak ted popis jak s NetBusem, Tak že když budete chtít někomu sledovat co se děje jeho pc. Musíte za 1) tomu dotyčnému zaslat buď mailem nebo mu nahrát do pc osobné pach.exe (který můžete pojmenovat jinak), ale to se vám povede jen málo protože když bude mít ativirák třeba AVG tak ho hned najde… Další možnost je že v NetBusu je scener kde zadáte rozsah ip a ono vám to nascenuje všechny v daném rozmezí kdo si spustil pach, myslím že někoho najdete!! Ted už to bereme tak že jste někoho našli nebo ste mu ho nahráli osobně,, ten pach.exe se mu usadi v registru. Ten pach.exe si nejprve můžete nastavit tyto funkce 1) Zaheslovat to znamená že tam budou mít přístup ti jedinci co budou znát vaše heslo 2) mail nebo jsem slyšel i mobil nastavíte pop severu např. pop3.seznam.cz a smtp např. smtp.seznam.cz a mail samodřejmě váš, to je kvůli tomu když má ten dotičný tel připojení tak se mu mění ip tak že bys ste se po druhé nepřipojily tak vám pomůže tohle po každým spuštění kompu, vám příjde na mail nebo na mobil ip, a vy se připojíte jistě použijete netbus co mám v downloadu je tam i čeština do něj ta vám ulechčí práci.. Ještě malá technická poznámka někomu to nemusí fakčit proto že mu to avg nedovolí aby to spustil a oběví se mu tam hláška. Tak musíte spustit avg štít ten je vedle hodin pravím tlačítkem myši a klinout na Spustit AVG Control Center a zrušit kontrolu souboru pak vám to bude fakat a oběví se tohle…
Ten ma Levo je Českej a na pravo Anglickej
Tak že zadej te ip do řádku IP/localhost (to přepiště na ip danom) port nechte být. Potom dejte tlačítko Connect a mrkně te se dolu do stanového řádku (v levo úplně dole na liště) musí tam být Mýsto toho černého pruhu se oběví ip vaší oběti, to znamená že můžete už začít pracovat…
Ted popíši jednotlivé tlačítka neznám je všecky ale nějak to dám do hromady, ted čekám jestli mi odpovi jeden chlapík co to měl na stránkách dost dobře popsaný.. Ale musí to prozatím stačit odemě,,
1) Sever admin - To přesně nevím, ale myslím že to je nastavení sever který má povolení se spojit…
2) Otevřit CD-Rom(Open CD_RM)- Tím ovládá te cd mechaniku oběti tedy vysouvaní a zasouvání
3) Zobraz Obraz(Show image)- tím můžete poslat oběti např. svojí fotku nebo nějakou jinou oběví se mu na celou obrazovku a vi jí můžete jenom ukončit!!!
4) Vyměň myš(Swap mause) To vymění te tlačítka příklad bude chtít kliknout na složku levím jako vždy ale místo ukázky obsahu složky mu vyjede menu chi..
5) Spust Program(Start program)- to mu spustíte jakýkoliv program, ale musíte znát přesnou cestu k danému programu
6) Mag manažer-tam si vyberete jakým spusobem mu pošletet správičku, když odpoví tak se vám to ukáže..
7) Dej info(Get info)-zobrazí info o napadení kompu
8) Přesměrovat porty- to zatím nevím,,,,
9) Hraj zvuk(Play sound)- můžete oběi poslat zvukvý sekvend kerý se mu přehraje…
10) Vypni Windows(Exit Windows) vypnete mu windows mnoha spůsoby
11) Send text- pošlete mu nějaký vzkas
12) Aktivuj wnds(Active wnds)- to znamená že vidíte co právě má zaplího a taky můžete to vypínat čili schazovat..
13) Tak to nevým
14) Pozměn myš(Mause pos)- můžete ovládat myž takyjsem přišel na figl, když chytnete u sebe celý okno netbusu tak budete moc pohybovat po celé ploše oběti…
15) Listen- Můžete číst co právě mačká za klávesi, mám stím velké skušenosti, např. jsem sestru trošku poškáadlil a když psala sms, nějakýmu klukovy tak se mi to zobrazovalo u mě, mphl jsem jí co koliv přepsat a taky smazat taky jsem to udělal ale pak mě zabyla J 16) Zvuk systemu- to znamená že mužete daný oběti ovládat hlasitost třeba hudby a tak..
17) Sever nastaveni(Sever Setup) tady si nastavíte požadavky kam má zaslat novou ip,, obeti obrazek dole..
a) TCP-port(nechte jak je nastaveny)
b) Heslo-napište heslo na obed aby se nikdo, jiný na něj nenapojil.
První okénko tam napiš te třeba. Pop3.seznam.cz nebo jiný pop na kterým máte mail..
d) Druhé okenko E-mail od: Napiš te svůj mail
e) SMTP-sever: napiš te smtp.seznam.cz zas může být jiný…
f) Pak jsou dvě tlačítka Poslat setup(to když jste našli obět a měla už pach, tak vy ten můžete na dálku přepsat..
18) Chod na url(Go url)- Můžete oběti napsat url která se mu objeví
19) Na ty dvě zbývajcí to už přijdete sami.
Už mě nic nenapadá o NetBusu 1.7, jen to že je skvělej hodně jsem se s ním vyblbnul,,,,
Tady je další návod na obsluhu
NetBus 2.10 - Tenhle novější bratr NetBuse 1.7 je o něco dokonalejší,, antivirus ho nehlásí, jinak je v podstatě stejný. (osobně ho nepoužívám)…
Tak to by stačilo o trojanech, sice jich znám více ale funkčnost ne, kdyby někdo věděl o dalších a napsal na ně návůdek, byl bych vděčný…