Студент, учитель и Optix Pro (часть 2)

Мы остановились на первой части, где Джон успешно установил троянский сервер на компьютер профессора. Он также принял «отказ от ответственности», прилагаемый к трояну, и теперь готовился приступить к настройке сервера для использования.

Теперь Джон собирался пройтись по меню, чтобы полностью настроить троянский сервер так, как он хотел. Джон также хотел сделать как можно меньше настроек, так как время было очень важным. Он не хотел придумывать свою дурацкую историю болезни, если только в этом не было необходимости.

Теперь Джон быстро просмотрел опции меню «основные настройки». Он знал по предыдущему опыту, в чем они заключались, но должен был пройти через них снова. Он не вносил никаких изменений в этот экран и не удосужился защитить паролем сам сервер. Другими словами, он не беспокоился о том, что кто-то еще подключится к нему, будь то его одноклассники или кто-то еще в другом математическом классе.

Теперь Джону нужно было решить, какой иконкой будет замаскирован троянский сервер. Он хотел что-то такое, что профессору математики, вероятно, не было бы слишком любопытно. Помня об этом, он выбрал значок реестра, показанный на рисунке ниже.

Позаботившись об этом, а минуты тикали очень быстро, Джон щелкнул меню «Запуск и установка».

Быстро взглянув на опции меню, Джон решил включить и вторую сверху — «Реестр» — «RunServices» (2K/XP). Все остальное он оставил там с настройками по умолчанию.

Щелкнув по окну уведомлений, он быстро его просмотрел. Он вспомнил, что собирался получить доступ к компьютеру профессора из класса, поэтому его не нужно было уведомлять каким-либо из средств, показанных в этом меню. У Джона начались проблемы с мышлением, когда он начал паниковать. Он сидел за компьютером профессора уже минут пять и очень боялся, что его поймают. Оглядываясь назад, его оправдание симуляции болезни казалось не очень правдоподобным, если его поймали за компьютером. С другой стороны, он также не хотел писать экзамен по математике, поэтому он занялся настройкой троянского сервера.

Теперь Джон вспомнил, что в Optix Pro есть встроенная функция, которая отключает почти все существующие сегодня коммерческие брандмауэры и антивирусы. Мало того, это также отключит большинство антитроянских программ. Это была не та функция, с которой Джон очень много играл, поэтому он решил оставить все в режиме по умолчанию.

Способность Optix Pro отключать большинство существующих на сегодняшний день брандмауэров и антивирусных/троянских программ делает этот троян довольно смертоносным. Особенно для тех, кто только повседневно пользуется компьютером. Немногие люди, которых я знаю, действительно смотрят на свою панель задач в поисках значка брандмауэра или антивируса.

Теперь Джон был удовлетворен тем, что внес все необходимые изменения, чтобы его авантюра была успешно реализована. В этот момент ему была представлена вышеупомянутая картинка, подсказавшая ему один из двух вариантов. Он решил не упаковывать UPX, так как физически уже находился на локальной машине. Для этого он просто выбрал «ОК, все готово!» вариант.

Теперь Джону снова было представлено главное меню, но с уведомлением в левом нижнем углу «НАСТРОЙКИ ЗАПИСАНЫ УСПЕШНО!». Превосходно! Джон был в восторге, он почти закончил. Когда его теперь полный троянский сервер на рабочем столе был замаскирован под реестр, он просто дважды щелкнул по нему и позволил ему установить себя в реестр профессора, среди других мест.

Теперь мы можем видеть из вышеупомянутого снимка экрана, что Optix Pro действительно жив и здоров на компьютере профессора. Он создал сокет на порту 3410, который, если вы помните, является портом по умолчанию для Optix Pro. Приятной особенностью инструмента Active Ports является то, что он отображает на вашем компьютере местонахождение программы, которая открыла сокет. Если вы посмотрите на правую часть рисунка выше, вы заметите, что троянский сервер Optix Pro установил себя в папку c:winntsystem32msiexec16.exe. Папка «system32» является излюбленным местом для таких вредоносных программ, как Трояны для установки сами.

После успешной установки троянского сервера Джон спрятал значок реестра по тому же пути, что и сам троян. Джон был совершенно уверен, что профессор не захочет возиться с файлом реестра. На этой ноте Джон выбежал из кабинета профессора и вернулся в математический класс. Неудивительно, что профессор все еще бубнил о чем-то определенно похожем на математику. Джон подключил свой ноутбук к разъему CAT 5 и запустил свой троянский клиентский интерфейс, с помощью которого он подключался к компьютеру.

Теперь Джон не спеша ввел IP-адрес профессора, который у него уже был из удобной схемы сети, розданной в начале учебного года. С большим удовлетворением он нажал кнопку подключения.

Из Active Ports мы снова видим, что троянский клиент действительно подключился к компьютеру профессора. Теперь мы также посмотрим ниже, что произошло на уровне пакетов. Несколько пакетов были вырезаны, чтобы показать, так сказать, «выстрел денег».

05/13-12:35:56.708391 0:D0:59:1C:75:30 -> 0:D0:59:2B:77:EE type:0x800 len:0x63 192.168.1.101:3410 -> 192.168.1.103: 1061 TCP TTL:128 TOS:0x0 ID:3442 IpLen:20 DgmLen:85 DF***AP*** Seq: 0x7A677215 Ack: 0x4B3A4E4B Win: 0xFFF4 TcpLen: 20

0x0000: 00D0 592B 77EE 00D0 591C 7530 0800 4500..Y+w…Y.u0..E.
0x0010: 0055 0D72 4000 8006 6914 C0A8 0165 C0A8 [электронная почта защищена]…i….e..
0x0020: 0167 0D52 0425 7A67 7215 4B3A 4E4B 5018.gR%zgr.K:NKP.
0x0030: FFF4 D2B9 0000 3030 31AC 4F70 7469 7820 ……001.Optix
0x0040: 50 2 6F20 7631 2E33 3320 436F 6E6E 6563 Pro v1.33 Connec
0x0050: 7465 6420 5375 6363 6573 7366 756C 6C79 ted успешно
0x0060:21 0D 0A!..

Теперь мы ясно видим, что троянский клиент действительно подключился к троянскому серверу. Не только это, но и показывает это в полезной нагрузке ascii пакета. Для тех из вас, кто занимается администрированием систем обнаружения вторжений, было бы полезно написать быстрое правило поиска строки «Optix Pro» в формате ascii. Все это стало возможным просто благодаря сетевой архитектуре класса. Это плюс тот факт, что колледж поощрял политику открытых дверей между своими студентами и профессорами, которые их преподают. Вообще не очень хорошая политика, как мы видим из этого случая. В третьей части этой серии статей мы увидим, как Джон ищет в компьютере профессора экзамен по математике. Много упоминаемый профессор также приведет в движение события, которые приведут к поимке Джона без его ведома. На этой ноте до встречи в третьей части.