Beast是一个远程管理木马,由Tataye使用Delphi编写。Beast与其他木马的最大差别在于,它将客户端、服务器及服务器配置程序做 在了一个可执行文件中。Beast引起人们的关注是在2003年的10月,此时,19岁的Van Dinh因使用Beast木马捕获某个投资人访问联机经纪网站的案件而被捕,估计造成了37000美元以上的损失。 图12-48给出了Beast的工作界面,下面分两部分介绍这个木马:服务器设置和客户端。
|
(点击查看大图)图12-48 Beast的工作界面 |
|
1.Beast服务器设置
要访问Beast的服务器设置,单击“Build Server”按钮,可以进行六方面的配置,如表12-4所示。
表12-4 Beast服务器设置
设 置 | 选 项 |
基本(Basic) | 设置服务器的名称、端口和口令。也用于选择如何打包这个木马及将它放置在哪一个目录下。 |
通知(Notifications) | 配置如何向你报告已感染主机的信息,可选方式包括CGI、、ICQ及静态IP地址通知(SIN,Static IP Notification) |
启动(StartUpled点阵书写显示屏) | 配置在Windows启动时如何启动这个木马。选项包括ActiveX、HKey Local Machine和HKey Current User |
停止防病毒程序(AV-FW Kill) | 配置Beast停止任何防病毒程序或防火墙 |
其他(Misc) | 配置键盘记录、伪造出错消息以及其他选项 |
Exe Icon | 配置Beast服务器使用的图标 |
| |
图12-49展示了Basic服务器设置中的选项。
|
(点击查看大图)图12-49 Basic服务器设置中的选项 |
|
首先,输入服务器的名称,可以根据需要设置连接到这个服务器上的口令。某些恶意黑客使用口令来阻止其他恶意黑客连接到这个木马上。当选择服务器名称 时,选择一个与某个Windows可执行程序接近或相同的名称,如。这种方法也提供了一定的隐蔽性,
原因在于看到 在运行的系统管理员没有办法知道它是一个木马。但是,不要把木马与同名的合法程序放置在同一个目录下,这样将会覆盖系统文件。放置 这个木马的位置有两处:Windows目录或Windows/system目录。如果合法文件放置在Windows目录下,那么就将这个木马放置到 Windows/system目录下;反之,如果合法文件放置在Windows/system目录下,那么就将这个木马放置到Windows目录下。
接下来,需要配置服务器的连接方式,可选方式有两种:直接连接和反向连接。直接连接时,在客户端中手工输入被感染主机的IP地址,然后直接连接到木 马上。反向连接时,木马向你通知它的IP地址,之后木马服务器发起到客户端的连接。如果选择使用反向连接方式,那么需要输入静态IP地址通知(SIN)端 口号或者使用默认端口9999。如果选择使用直接连接,那么不需要配置自动脱水拖把SIN端口号,但通常应该配置侦听端口号,默认为6666。
下一步要配置注入木马的方式。我们可以把这个木马绑定到Internet Explorer、、或其他可执行程序上,如。我们也可以选择不包装这个木马,但隐蔽性会受到威胁。
12.3.8 Beast木马(2)
如果需要在服务器感染上电脑后通知我们,那么需要配置通知的方式,单击“Notifications”按钮,如图12-50所示,可用选项包括:静态IP地址通知、、ICQ及CGI。
|
(点击查看大图)图12-50 Beast的通知选项 |
|
将木马植入到目标机器并运行木马仅仅是万里长征走完了第一步,我们还需要配置被感染
系统,以便在系统启动时运行木马。单击“StartUp”按钮, 在这里完成启动的配置任务,如图12-51所示。这里提供了三种选择:ActiveX方法、HKey Local Machine和HKey Current User。当我们将木马绑定到IE浏览器上时,仅仅选择使用ActiveX方法。HKey Local Machine选项在注册表中添加一个所有用户登录机器时都启动木马的注册表项,而HKey Current User选项在注册表中添加一个只有当前用户登录时才启动木马的注册表项。
设置了启动选项后,设置AV-FW Kill(防病毒和防火墙程序处理)选项,如图12-52所示。Beast能够认出数百个常见的防火墙和防病毒软件,包括XP内置的防火墙。利用这个特 性,我们可以终止这些安全软件的运行。由于大多数防病毒程序和防火墙都配置为被终止时重新启动,因此,Beast提供了一种每过一段时间就终止一次安全软 件的选项,默认时间间隔为5秒。
|
(点击查看大图)图12-51 Beast的StartUp(启动)选项 |
|
|
(点击查看大图)图12-52 Beast的AV-FW Kill(防病毒和防火墙程序处理)选项 |
|
Beast 还提供了其他一些服务器选项,如图12-53所示。常用选项包括安装时溶化服务器(Melt Server On Install)、打开键盘记录功能、清除Windows XP的恢复点等。安装时溶化服务器选项指示服务器,在木马运行之后,从硬盘上删除木马服务器文件。此时,木马依然在内存中运行,但在被感染主机的硬盘上已 经删除了木马的可执行程序。当选择这个
选项时,就不能再选择Windows启动选项了,原因在于计算机重新启动之后,木马文件在硬盘上已经不存在了。打开 键盘记录选项可以监控用户在被感染主机上的按键操作。第三个选项是清除恢复点。恢复点是Windows XP提供的一项功能,用于在计算机系统操作破坏时恢复到前一个状态。选中这个选项后,阻止计算机恢复到以前系统良好的状态。
服务器的最后一个设置 是选择服务器使用的图标,这个功能的名称为Exe Icon,如图12-54所示。尽管这里所做的选择对于木马的功能来说没有什么影响,但我们依然应该选择一个Windows图标,以便不引起人们的怀疑。 如果我们要通过发送木马,那么这一点十分重要,原因在于用户看到图标后会权衡相应的程序是否安全。
|
(点击查看大图)图12-53 Beast的其他选项 |
| 潜流带
|
(点击查看大图)图12-54 Beast的Exe Icon设置 |
|
在完成了服务器选项的设置之后,单击“Save Server”按钮保存木马服务器。下面要做的工作就是把木马上传到目标主机上,并在目标主机上执行这个木马,这一点与其他木马的工作方式完全相同。
很多防病毒软件都能够把Beast检测为木马,并且不允许安装它。如果我们想要绕开防病毒
程序和防火墙的检测,那么就要使用修改版的Beast。Beast的作者提供这样的修改版,但要支付少量的费用。它改变这个程序,生成防病毒软件不会检测到的一位拷贝。
12.3.8 Beast木马(3)
2.Beast的客户端
当在目标主机上上传并执行了该木马后,就需要远程控制服务器了。此时,在Beast程序窗口中输入IP地址,需要时输入口令,之后单击 “Connect”按钮。如果前面服务器配置时指定了不同于默认端口号6666的端口号,那么输入这个端口号,之后就会看到如图12-55所示的界面。
|
(点击查看大图)图12-55 Beast客户端界面 |
|
客户端提供了下述几类功能:
管理器(Managers)。
窗口(Windows)。
Lamer Stuff。
Fun Stuff。
服务器(Server)。
其他(Misc)。
Beast Stuff。
在Managers类中,可以管理Windows文件系统(如图12-56所示),控制注册表,查看屏幕,打开网络摄像头,管理应用程序或进程,启动和停止服务(如图12-57所示),收集口令(如图12-58所示)。还可以提取受保护存储、ICQ及拨号口令。
|
(点击查看大图)图12-56 Beast文件管理器 |
|
|
(点击查看大图)图12-57 Beast服务管理器 |
|
|
(点击查看大图)图12-58 Beast口令提取器 |
|
Windows选项让我们能够隐藏窗口、摧毁程序、重启机器、关闭电脑及注销用户,如图12-
59所示。这些选项通常用于DoS攻击。
|
(点击查看大图)图12-59 Beast的Windows选项 |
|
Lamer Stuff选项用于对换鼠标按钮,关闭光驱托盘、隐藏诸如时钟或桌面图标这样的常用桌面项,如图12-60所示。
Fun Stuff选项用于隐藏鼠标、锁定光驱、更换壁纸、与被感染主机用户聊天、启动Web浏览器访问选择的网站等,如图12-61所示。
|
(点击查看大图)图12-60 Beast的Lamer Stuff选项 |
|
|
结晶器铜管(点击查看大图)图12-61 Beast的Fun Stuff选项 |
|
12.3.8 Beast木马(4)
Server(服务器)选项用于将服务器更新到当前版本或关闭服务器,如图12-62所示。如果我们怀疑木马可能被检测到,那么可以终止它的运行。
在 前面介绍服务器设置时,我们曾经介绍过配置按键记录选项。要激活键盘记录器,那么单击“Misc”按钮,如图12-63所示。这个功能需要向服务器上传一 个插件。完成这个任务有两条途径:或者单击“Plugins”按钮预先进行上传,或者通过选择KeyLogger功能进行上传。
|
(点击查看大图)图12-62 Beast的Server选项 |
|
|
(点击查看大图)图12-63 Beast的Misc选项 |
|
Misc选项中还包括了一个Scanner(扫描器)功能,如图布卫生巾12-64所示,它用于扫描IP子网,并检测已经感染Beast木马的其他主机。
|
(点击查看大图)图12-64 Beast的Scanner(扫描器)功能 |
|
mesh设备
与Donald Dick和SubSeven木马类似,在这个木马中我们也可以使用客户端向被感染主机发送消息。Messages功能也位于Misc选项之下。图12-65展示了向服务器发送自定义出错消息的各种可用选项,这种方法通常用于社会工程。
|
(点击查看大图)图12-65 Beast的Messages功能 |
|
此外,Beast还提供了在服务器上运行其他程序的能力,这个功能也放在Misc选项下,按钮为Run Appz,单击之后,可以运行我们指定的程序,如图12-66所示。图中运行了nbtstat程序,列出了服务器正在侦听的TCP和UDP端口。
|
(点击查看大图)图12-66 Beast的Run Appz(运行程序)功能 |
|
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议