收服护网病毒 - 〖系统安全〗

z3960

级别: FLY版主

发帖: 786310

飞翔币: 211574

威望: 215717

飞扬币: 2615500

信誉值: 8

只看楼主更多操作 0 发表于: 2021-05-21

[size=; font-size: 16pt,16pt]古有如来佛祖降伏齐天大圣，今有我来收服护网病毒。前段时间，2021年国家的护网行动刚刚结束，这期间抓获了不少攻击队用来渗透的病毒木马，最近刚好有时间，分析了其中一个木马。[size=; font-size: 16pt,16pt]一、作恶多端被擒获[size=; font-size: 16pt,16pt]该木马是一个linux木马，其主要功能如下：[size=; font-size: 16pt,16pt]1[size=; font-size: 16pt,16pt]、执行Shell命令

[size=; font-size: 16pt,16pt]图1 接受shell命令

[size=; font-size: 16pt,16pt]图2 执行shell命令[size=; font-size: 16pt,16pt]2[size=; font-size: 16pt,16pt]、把宿主当作肉鸡，去执行DDOS攻击

[size=; font-size: 16pt,16pt]图3 接受DDOS攻击命令[size=; font-size: 16pt,16pt]

[size=; font-size: 16pt,16pt]图4 执行DDOS攻击

[size=; font-size: 16pt,16pt]3、 [size=; font-size: 16pt,16pt]连接服务端[size=; font-size: 16pt,16pt]该木马有两种连接服务端的方式，一种是直接连接服务端的IP地址，一种是通过域名解析动态获取服务端IP地址。

[size=; font-size: 16pt,16pt]图5 直接连接IP[size=; font-size: 16pt,16pt]

[size=; font-size: 16pt,16pt]图[size=; font-size: 16pt,16pt]6 [size=; font-size: 16pt,16pt]动态解析域名连接[size=; font-size: 16pt,16pt]IP[size=21.3333px][size=; font-size: 16pt,16pt]分析到这里，这个木马的行为和功能，已经了解的一清二楚了。这时候，我有了一个想法，想要收服这个木马，引导它弃暗投明变成自己的小弟，那应该怎么做呢!!![size=; font-size: 16pt,16pt][size=; font-size: 16pt,16pt]二、 [size=; font-size: 16pt,16pt]当头棒喝终悔悟[size=; font-size: 16pt,16pt]有两个方法可以实现。[size=; font-size: 16pt,16pt]第一，通过文件编辑，把木马服务端的IP改成我的IP。第二，，把木马动态解析的域名改成我的域名。[size=; font-size: 16pt,16pt]1[size=; font-size: 16pt,16pt]、这里我选择第一种方法，来收服这个木马小弟[size=; font-size: 16pt,16pt]。

[size=; font-size: 16pt,16pt]图7 修改IP[size=; font-size: 16pt,16pt]

[size=; font-size: 16pt,16pt]图8 修改IP[size=; font-size: 16pt,16pt]2[size=; font-size: 16pt,16pt]、写代码，创建一个服务端等待木马连接

[size=; font-size: 16pt,16pt]图9 服务端代码[size=21.3333px][size=; font-size: 16pt,16pt]由于该木马连接服务端成功会向服务端发送宿主机的一些信息，所有启动我的服务端，运行一下木马，看看经过我一番苦心劝告的木马是否已经回头是岸，投向我的服务端。

[size=; font-size: 16pt,16pt]图10 向服务端发送宿主机信息[size=21.3333px]

[size=; font-size: 16pt,16pt]图11 连上我的服务端[size=21.3333px][size=; font-size: 16pt,16pt]如上图所示，木马已经成功连上我的服务端，并发送宿主机的版本信息，看来经过我的一番苦口婆心的劝说，这个木马已经幡然悔悟并投向了我的怀抱，并等待着我的下一步指引。[size=; font-size: 16pt,16pt]尝试给木马发送一条查看当前目录的指令，看看这个木马是否会执行我们的指令。

[size=; font-size: 16pt,16pt]图12 发送指令[size=; font-size: 16pt,16pt]通过IDA调试,确定木马已经收到了服务端发送的指令。

[size=; font-size: 16pt,16pt]图13 收到的指令[size=21.3333px][size=; font-size: 16pt,16pt]并且在虚拟机中已经成功执行了我们发送的指令。

[size=; font-size: 16pt,16pt]图14 执行指令[size=21.3333px][size=; font-size: 16pt,16pt]到此，可以肯定，这个木马经过我的谆谆教诲，真的已经弃暗投明，痛改前非了。就让它跟着我迎接下一次的护网行动，救赎它以前犯下的过错。[size=; font-size: 16pt,16pt]另外，它前主人的服务器开了3389，是否还有后续故事，敬请期待。