全程记录对SRAT远控木马进行电子取证

Jumbo

全程记录对SRAT远控木马进行电子取证

    SRAT远程控制软件是在灰鸽子之后出现的又一款功能强大的反弹型木马，具备几乎灰鸽子所有功能并且体积仅有不足200KB，在SRAT发布之后掀起了黑客界换马狂潮。大部分小菜鸟们都觉得灰鸽子免杀难做并且突破主动防御不易，都选择较新或者有更新活力的新远控。而SRAT的条件都满足当前大部分小黑的需要，体积小、易免杀、穿透主动防御能力强。功能强大：文件管理、屏幕监控、超级终端、键盘记录、进程管理、服务管理、窗口管理、插件管理、注册表管理、音频视频监控，等几乎涉及所有计算机操作的功能使小黑们一旦拥有别无所求！使得SRAT近期大量被使用和传播，各类免杀版本发布，一条条新的黑色产业链条应此而生。其强大的键盘记录功能让您的电脑没有任何隐私可言，无论您输入的是中文或者英文以及其他语言都可以完美记录下来！

上面就是SRAT远控木马的简要介绍下面我来向大家展示一个，通过解密木马配置信息来取证的方法。

操作环境：Window Xp Sp3（本地局域网中的虚拟机）这个很常见

使用工具：Wsyscheck（辅助木马查找）、010Editor（16进制编辑器）这两个东西也很常见

推荐工具：SRAT远控专杀工具 V1.0（可辅助查找并查杀SRAT木马）这是暗组开发的一个软件，我之前发过了

首先，我们事先准备了一台虚拟PC(非真实机器)，并且配置一个新的SRAT木马，并运行植入该计算机中已制造一个木马已经潜伏的环境，然后我们就可以继续以下的检查是否被种植了SRAT木马的操作！配置信息如图1和图2。

图1 配置上线地址

图2 配置安装服务端及文件路径

配置完成我们查看一下文件属性，发现木马体积：175KB（如图3），由于SRAT没有压缩服务端的选项所以我们可以锁定，傀儡计算机中如果中了SRAT木马其体积也不会超过200K，如果经过加密或者其他特殊变种后可能会超过体积。而变种不在我们现在讨论的范围内，如果仔细的朋友可能会发现SRAT远控目录下还有个update目录，看字面的意思就是“升级”的意思而你打开目录后会发现有两个文件（如图4）：SratInit.exe和SratMain.dll。大家可以发现这个SratInit.exe的图标和配置出来的那个服务端图标一模一样！没错这个就是安装服务端的主体，也被专业人士称为ServerLoader（即服务端加载程序）。主要作用就是用于木马的安装任务，而SratMain.dll文件就是该木马所有功能的主体了，这个大家看一下体积也就知道了足足有144KB占据了几乎整个木马的大部分体积。一般这类木马的植入计算机后的一些特性如自删除都是由ServerLoader完成的，而安装完成之后ServerLoader就不在使用了！以减少被杀毒软件查杀的几率因为它已经没有了安装的特性，也就是说一个杀人犯他没有带凶器。就算警察（杀毒软件）查到也不一定能给他定罪，然而谁能又知道这看似正常的一个文件既然是一个能完成潜伏并后台操作的木马？这类的木马我们一般都称为：DLL型木马它的传播必须有一个ServerLoader程序（EXE），我们在查杀SRAT木马（DLL型木马）的时候我们只能找它的DLL文件进行查杀而不是找EXE。因为一般EXE都不存在了，所以我们下文所说的内容主要都是以讲解其DLL文件为主，请大家留意不要弄错了！

图3 配置出来SRAT服务端大小图4 update目录下的文件 查找木马我们已经运行了SRAT服务端程序，并且确认SRAT已经正常工作了。如图5，机器已经可以被牧马者操控了！下面请出我们的Wsyscheck，运行后如图6，现在我们操作选项卡切换到安全检查 ，并且点到端口状态我们能看到有一个程序连接到我们控制端默认端口：8800上，如图7，我们这时候记下他的进程PID是3032。好我们切换到进程管理功能中查找进程PID是3032的进程发现是一个svchost.exe进程，可能这时候有人要问为什么这么肯定是这个？这个不是系统进程？我能肯定的说这个是系统进程但它不是正常的系统进程，这时候我们点到这个进程查看模块路径列表空空如也（如图8），这是为什么？原因是SRAT木马他伪装了微软文件版权，而Wsyscheck默认设置是将这部分忽略不显示的。我们只要将软件设置中的 模块、服务简洁显示前面的勾（如图9）去掉你就能看到被忽略的所有模块了如图10，我们可以发现有一个模块非常奇怪“c:\program files\common files\microsoft shared\msinfo\nmt6psdo.dll”其文件名是一些随机字符，并不是一些正常的系统文件命名。通过网上搜索引擎都无法查询到！我们可以确定这个就是可疑文件（这个我们配置的时候路径选择了msinfo目录所以我能一下判断出来），我们找到该文件如图11，我们发现和文件版权信息有微软字样并且和我们之前看的“update目录”下的那个dll文件一样！有人可能说这样找样本是不是太费力了啊？这个没问题我们给大家准备了更简单的方法。运行SRAT远控专杀工具 V1.0点扫描木马按钮，如图12，我们的检测工具能在2秒内查到SRAT木马，并且路径和文件名和我们用Wsyscheck查找的一模一样。这样大家是不是觉得简单很多了？没问题我们进入下一步如何获取服务端里的加密信息（取证）！图5 列出机器上C盘根目录的所有文件图6 Wsyscheck运行后的截图图7 发现一条可疑网络连接图8 模块列表里未显示任何模块图9 去掉模块、服务简洁显示前面的勾图10 可以正常显示模块了图11 木马文件图12 提示发现SRAT木马取证木马我们从机器上取回了SRAT木马样本，下面如何获得里面的配置的域名信息？下面我们就请出主角010Editor编辑软件，我们用010Editor打开取回的样本文件：rsPtXa1x.dll。如图13，我们将光标移动到文件尾部如图14。你可以看到很多1F 1F的数据，现在我们记下这个1F。（为什么要记得1F这个？这个就是配置信息解密的Key密钥），我们向上选择带1F的数据，大小约352字节（可能和实际操作时不同），如图15，我们现在点选工具菜单>操作>二进制异或，如图16。下面我们设置，数据类型为：无符号字节，操作数：1F，16进制操作，如图17，设置解密参数完毕后点确定。这个时候我们在看那一串字符已经被解密了！如图18，我们可以清晰的看到我们刚刚配置的域名：127.0.0.1端口：8800，服务名：SRAT_Service，下面的就是通过域名信息追踪IP了，我就不多介绍了。Ping一下就可以完成IP定位了，到这里我们所有取证过程就完了。图13 用010Editor打开SRAT木马样本图14 文件尾部的数据图15 选定352字节大小 左右的数据图16 二进制异或操作图 17 解密参数设置图18 解密后的明文到这里我们已经将一个SRAT远控木马的如何查找的过程和取证过程介绍完毕了，希望大家看完后能举一反三。多多实践找出更多的方法，最后想说一句的是新的刑法已经公布了，还在玩远控的各位基友们一定要注意了！

我是个凑数的。。。

俺是专业顶贴滴~~~