【外刊IT评论网】如何黑一个黑客

标签: 解密 黑客 技术技巧 | 发表时间:2012-05-02 00:06 | 作者:Aqee
出处:http://www.aqee.net

最近,在搜检垃圾信息时,我偶然看到了这样一个很普通的邮件。它使用了一个很简单的编造八卦的伎俩,推测奥巴马的性取向,并提供了一个指向一个证明图片的链接。

邮件内容

这条垃圾信息没有什么特别的,但链接指向的这个具有双重后缀的,叫做“ you.jpg.exe”的文件却有点研究价值。出于好奇,我把这个文件下载下来,检查它会干些什么事。

我首先做的是看看这个文件真正的文件类型。很显然,它不是一个关于奥巴马的图片,而是一个可以自解压的RAR文件。

RAR文件

通过RAR提取工具,我打开了这个自解压文件,看到了里面的内容。

RAR文件内容

解压了“ you.jpg.exe”,检查里面的每一个文件,但发现它们都是经过加密的。于是,我在测试机上直接运行了“you.jpg.exe”,看看会有什么事情发生。双击它后,下面的这个图片跳了出来。嘿嘿,果然不是奥巴马。

考拉

在后台,下列文件被自动安装到了Windows System32目录下:

  • bpk.dat
  • bpk.exe
  • bpkhk.dll
  • bpkr.exe
  • inst.dat
  • pk.bin

而且,在注册表里创建了一个自动运行的autorun命令:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run bpk = <%windir%\System32\bpk.exe>

我在谷歌上搜索这些文件名称,找到了一些有用的信息,测试机上被安装的这些文件是一种键盘监控程序,特别之处是,这是一款商业版的软件,来自Blazing Tools公司,叫做Perfect Keylogger (PK)。这款键盘监控软件可以通过正常的渠道购买和合法的使用,公开宣传功用是监控孩子或员工的上网行为,等等。你可以想象,它同样可以拿来做坏事。

我的分析到这儿差不多准备结束了。但几分钟后,有趣的事情出现了。监控软件连接上了一个远程的FTP服务器,这样我就有了机会捕获这个入侵者的FTP帐户信息了。

Screenshot-Follow TCP Stream

通过拦截到的用户名和密码,我登入了这个FTP服务器,发现了大量的存放有监控日志和受害人桌面屏幕截屏的文件夹。从这些数目众多的日志就可以看出,这个垃圾信息制造者的一条八卦信息的伎俩是多么的有效。

FTP-0424E

下面是这个FTP服务器的注册信息:

Whois

我还不想就这么结束,我对这个监控软件的安装程序做了更进一步的研究,我希望能找到这个窃听事件的幕后人物。

从这个软件的网上帮助页面上的信息中得知,这个程序有一个快捷键能把隐藏着的管理员控制界面或系统托盘图标调出来。缺省的快捷键是组合的CTRL+ALT+L,但我试了一下,不好使。于是我使用暴力方式尝试各种键组合,终于让我找到了正确的按键。但令人沮丧的是,出现的是下面的窗口:

Password

在打算反编译这款软件、破解它的密码前,我在网上搜索了一下,发现了一些提示。我找到了 Chris Pogue个人博客,他很巧是在Trustwave SpiderLabs的一位同事,之前也碰到过这种软件。在他的博客里,他指出密码和一些其它配置属性都存放在一个叫做PK.BIN的加密文件里,监视数据存放在一个叫BPK.DAT的加密文件里。他还说,这些文件可以通过简单的对字节进行和0xAA的XOR运算破解。

我猜测Chris分析的是一个老版本的,因为对0xAA进行XOR并不能解码配置文件。然而,从转换的BPK.DAT文件里可以看出,这种XOR操作还是部分的有效的,为了让转码的效果更好看,我使用了双字节0xAA, 0×00进行XOR操作:

BPKdecoded

我更感兴趣的是PK.BIN这个文件,因为里面存放着这款软件的详细配置信息,其中可能包含这个软件入侵者的信息。可这需要更多的工作,因为很显然,简单的与0xAA进行XOR操作是不能解码的。所有我猜测很可能需要另外一个不一样的XOR值。

以文本模式查看这个文件是下面这个样子,注意看那些很多重复的片段!

Pk.bin.enc

在十六进制模式中,我取出这些重复出现的字符,把它们进行XOR运算:

Pk.bin.hexmode

通过一些python脚本,使我破译了这个文件:

if len(sys.argv) > 1: pkhandle = open(sys.argv[1],'rb') pkbuffer = pkhandle.read() pkhandle.close() key=[0x0D,0x0A,0x08,0x05,0x01,0x02,0x06,0x03,0x03,0x0E,0x01,0x08,0x03,0x0C,0x09,0x07,0x05,0x0D,0x0C,0x0B,0x03] dec = '' ctr = 0 for i in range(11,len(pkbuffer)): a= ord(pkbuffer[i]) b =key[ctr%len(key)] x = a^b dec = dec+(chr(x)) ctr+=1 dechandle = open('pk.dec','wb') dechandle.write(dec) dechandle.close()

瞧!(提示:我涂掉了一些细节,以保护FTP服务器上的受害人的信息不外泄)

Pk.dec.textmodeE

解码后的PK.BIN文件向我展示了足够的信息让我能进入管理员控制面板,包括这款软件的管理员密码,FTP服务器密码,软件的购买许可证注册姓名和注册号。我输入管理员密码,很好用,里面我看到了入侵者要窃取哪些信息,以及更多的关于软件的配置信息。

PKPanel

在配置文件里,软件许可证的注册姓名是Charles Onuigbo。

现在,我不确定Charles Onuigbo就是这个入侵者,或真有其人。唯一值得一提的是,这是个在尼日利亚——垃圾邮件制造之国——一个非常常见的名称!

我用邮件向ISP举报了这个FTP站点,希望这个站点能够尽快的被关闭。

更新:我收到了管理这台服务器的公司的一份邮件,里面写到:

"你好- 不知道我的同事是否就此事给你回复过。 我们已经禁止了你所说的这个帐号对这个服务器 的访问权限... "

我再次尝试登录这个FTP服务器,确认这个恶意的FTP帐号已经被封掉了。感谢Liquid Web公司的Alex Kwiecinski和你们团队行动的这么迅速。


本文来自 外刊IT评论网( www.aqee.net),原始地址: 如何黑一个黑客


相关 [it 黑客] 推荐:

黑客与画家

- Terry - DBA Notes
四月份读的最好的一本书是 Paul Graham 的大作 《黑客与画家》(中文版),这是一本能引发技术人思考的佳作,真正意义上的黑客精神、创业(Start-up)、编程语言,是这本技术散文集的三个主题. 阮一峰的翻译很到位,很喜欢他的译文. 国内做技术图书的翻译属于"高投入低回报"的工作,能埋头做事情的人越来越少了.

黑客GeoHot入职Facebook

- 开忆 - cnBeta.COM
黑客Geohot的Facebook资料中刚刚出现了他的踪迹,这名之前曾经被索尼法务围追堵截后来和解的黑客刚刚入职了Facebook,并且从言语上看他对这个工作环境非常满意. GeoHot大约在今年5月份就已经入职,到6月17日才把这个消息公布给他的朋友们.

世界黑客排名

- 2楼水饺 - 煎蛋
黑客世界也有这自己的排名,如果你打算雇佣牛逼黑客做点xxxx事情,不妨看看这个网站 RankMyHack.com ,它号称是世界上第一个黑客排名系统. 除了能够收集到一些黑客战绩和信息之外,RankMyHack.com 还开放给任何一个想加入该排名的盆友. 提交你的战绩,然后将RankMyHack 给出的一段代码插入到你所黑掉的网站予以证明.

读《黑客与画家》

- Calon - Soulogic 灵魂逻辑
其实《黑客与画家》是提前预订的,所以一发售就看了,但现在才动手写读后感,实在是因为回味无穷. 这本随笔集包含了很多观点,对我而言最重要那部分,就是押题的那段:真正的程序员跟画家是如此相似. 其实我以前也有类似的模糊印象,但一直没法说清楚:. 额外的一个话题,我发现很多人都在 Google Profile 上都写着职业 Engineer.

GNU黑客大会2011

- Tairan Wang - Solidot
Shawn the R0ck 写道 "2011年8月25日至28日,GNU各大社区的黑客在巴黎召开了GNU的年度会议GHM(GNU Hackers Meeting) 2011,来自emacs、gcc、gdb、GNU/Hurd、debian、GNU R等重要GNU自由软件项目的开发者都参与了此次会议.

黑客伦理的归来

- GaRY - Solidot
这一领域的研究也需要黑客精神,而且将对人类产生同样深远的影响.

黑客技术入门

- - CSDN博客系统运维推荐文章
一.TCP/IP网络协议栈的安全缺陷与攻击技术. ICMP路由重定向缺乏身份认证. 广播地址对Ping的放大器效应. SMB协议的NTLM认证机制存在安全缺陷. URL明文,缺乏完整性保护,编码滥用. Netwox 可以使用41号工具,构造ICMP数据包. nmap可以使用-D选项. Netwox可以使用33号工具构造任意的以太网ARP数据报,80号工具可以周期性地发送ARP应答报..

[警告] LastPass 可能被黑客入侵

- hongwen he - Chrome迷
提供基于 Web 的密码管理服务 LastPass 可能已经于近日遭受到黑客攻击,并要求用户修改主密码. LastPass 团队在博客中说道:. 周二早上我们发现我们的一个非主要服务器上有数分钟的网络流量异常,这种偶尔发生的情况最后通常确定是我们员工的操作或者是由一个自动执行的脚本引起. 但这一次我们没有找到根本原因,在对这个异常情况进行深入分析之后,我们在一个数据库上发现一个类似但更小的匹配流量异常(该数据库发送的流量比我们其他数据库接收的流量更多).

黑客轻易入侵花旗银行

- Wuvist - Solidot
Visame 写道 "盗取超过200,000名花旗银行客户资料的黑客使用了一种极其简单的方法入侵. 此举被称作是近年来最大胆的一次银行入侵. 黑客们仅仅是简单地登录花旗公司的信用卡客户专区,然后把浏览器地址栏中自己的帐号替换成他人的帐号,便可顺利进入他人的帐号. 随后黑客们使用计算机程序重复这一过程.

黑客工具SpyEye源代码泄露

- SotongDJ - Solidot
在Zeus之后,另一个黑客工具包SpyEye的源代码也被泄露到网上. SpyEye是Zeus的竞争对手,它甚至可以删除受害者电脑里的Zeus. 它在地下黑客市场的零售价高达500美元. 安全公司Damballa报导,逆向工程师Xyliton破解了用VMProtect保护的SpyEye 1.3.45,发布了SpyEye 1.3.45 Loader源代码,它将允许恶意黑客开发出更复杂更难以探测的恶意程序.