危险漫步博客
新鲜的“黑客思维”就是从全新的角度看待黑客技术,从更高的层面去思考;专注于黑客精神及技术交流分享的独立博客。
文章2289 浏览18982090

简单易用的外国木马——Schwarze Sonne

我特别喜欢收集各种各样的木马程序,这段时间以来就从各大论坛下载到了不步木马,可是当我测试的时候却发现,很多木马不是无法创建服务端程序,就是创建的服务端程序根本无法运行。就在我非常沮丧的时候却发现有一款名为Schwarze Sonne的木马可以正常使用,既然如此那我们就赶紧来看看这个木马的功能到底怎么吧!

一、配置服务端程序

首先从网上下载最新版本的Schwarze Sonne木马程序,解压后双击运行其中的客户端程序就可以进行操作了,第一步当然是来配置一个服务端程序,点击客户端主界面窗口下方的“Build Server”按钮,在弹出的窗口中并没有出现配置界面,而是需要创建一个用户的配置帐号才行,我还是第一次在木马配置时见到这样的操作要求。点击窗口下方的“Add Profile”,在弹出的窗口中任意输入一个名称,然后就可以在窗口中看到刚才创建的名称了,选中这个名称后点击“Load Profile”按钮,接下来才可以在弹出的窗口中进行服务端的配置。

选择配置窗口中的“Connection”,在下方的空白框中点击鼠标右键,选择“Add IP”来设置一个连接的IP地址,至于其它的服务端ID信息、连接端口以及连接密码,大家可以根据自己的需要进行设置,接着选择配置窗口中的“Installation”,勾选上“Install Server”选项,这样就可以设置服务端程序的存放目录和名称了,如果需要让服务端程序自动删除的话,可以勾选上“Melt”。接下来选中“Startup”选项,这样可以设置服务端程序的启动项,该木马可以采用注册表和ActiveX插件两种方式进行启动。除了上面的配置外,我们还可以设置服务端程序的互斥信息以及选择进行离线的键盘记录等选项,所有的配置操作完成后,点击“Build”中的“Build”按钮,就可以创建一个全新的服务端程序了。

二、远程控制服务端

现在我们在虚拟机中运行服务端程序,接着点击客户端程序中的“Settings”按钮,如果我们没有修改服务端默认的连接信息,那么直接确认“Settings”选项中的内容就可以进行监听,如果修改了默认的连接信息,就需要在“Settings”中也进行相应的修改。很快我们就可以看到服务端连接成功了,从连接列表中可以看到远程系统的名称以及系统版本、有无摄像头等基本信息。

1、了解系统信息

首先选择列表中的服务端信息,在弹出的菜单中选择“Information”选项,从弹出的窗口就可以了解到远程系统的详细信息,比如服务端程序的名称、启动类型和启动信息、激活了哪些相应的控制功能以及远程系统的管理员名称等。

2、文件控制管理

接下来选择右键菜单中的“Filemanager”,在弹出的窗口中就可以对远程系统中的文件进行管理。我们首先在“Drives”磁盘列表中选择想要进行查看的磁盘名称,然后再依次选择想要查看的文件夹目录,当找到想要查看的文件和目录后,通过右键菜单中的命令对于文件进行传输、删除、运行等操作了。如果我们想要运行某个程序的话,还可以选择是正常运行还是隐藏运行。在进行文件下载或上传的时候,我们还可以在窗口的列表中看到传输的进度。但是当我测试的时候却发现,文件的下载功能似乎有些问题,因为指定的文件经常会下载失败。

3、系统管理操作

再来选择右键菜单中的“Processmanager”,在弹出的窗口中就可以对远程系统的进程进行管理。通过右键菜单中的刷新命令,就可以获得最新的软件进程信息。经过认真的观察,我

们发现在列表中还有服务端程序的进程信息,这说明该木马的隐藏性做的还不够好。我们还可以选择想要结束的软件进程,单击右键菜单中的kill命令就可以结束掉它了,不过我发现System属性的进程是无法结束的。

选择窗口中的“Windowmanager”选项,就可以对远程系统中的当前窗口进行管理。同样还是通过右键菜单中的刷新命令来获取远程系统中最新的窗口信息内容,我们选择想要进行管理的窗口后,就可以对这些窗口进行最大化、最小化、关闭等操作了。对于一些进程无法结束的软件,我们就可以利用这个方法来进行关闭操作。

再来选择窗口中的“Servicemanager”选项,这样就可以对系统服务内容进行管理了,我们还是先通过右键菜单中的刷新命令来获取远程系统中最新的服务信息,使用鼠标选择想要进行管理的服务信息后,通过右键中的命令就可以对服务项进行开始和停止等操作,可惜没有新建系统服务以及服务启动方式调整的相关功能。

4、注册表的管理

注册表的管理现在选择右键菜单中的“Registrymanager”,就可以对远程计算机的注册表进行管理了。我们首先在左侧的信息栏中选择想要查看的项目,当然也可以直接在地址栏输入想要查看的注册表路径,再通过右键菜单中的命令对相应的内容进行修改,前面我们提到了在系统服务管理器中,并没有增加新的系统服务的相关功能,那么在注册表编辑器窗口中就可以进行添加了。除此之外,我们还可以找到注册表的Run启动项,在右侧的窗口中设置想要随机启动的内容。

5、键盘记录操作

Schwarze Sonne木马也带有键盘记录功能,还记得前面配置服务端的时候有离线记录的选项吧,我们选择鼠标右键中的“Keylogger”,在弹出的窗口中就可以进行用户的键盘记录操作了。首先选择窗口中的“Online Keylogger”选项,接着点击窗口下方的“Start”按钮就可以激活键盘记录的操作命令。这样当用户有任何键盘操作的时候,就会立即将记录信息显示到窗口中。通过点击窗口下方的“Save as.txt”按钮,就可以对服务端程序记录的内容进行保存。接下来选择“Offline Keylogger”选项,这样就可以查看到服务端未连接时所记录的全部的信息内容了。

6、远程桌面查看

接下来选择右键菜单中的“Screenspy”,在弹出的窗口中就可以对远程系统的桌面进行实时查看。点击窗口下方的“Start”按钮,服务端程序就开始进行屏幕的捕捉了。该木马默认时使用的监控窗口比较小,当然我们也可以点击最大化后进行查看。如果觉得屏幕的效果不好,还可以通过Qualiy选项中的滑杆来进行调整。如果勾选上了“Remote Control”选项,就可以在监控屏幕中进行远程控制操作了,而如果我们选择了“Save Captures”选项,木马就会自动将捕捉到的屏幕保存为图片信息。

除此之外,Schwarze Sonne木马也包括了远程摄像头查看功能,点击鼠标右键选择其中“Webcams py”,在弹出的窗口中首先选择“Refresh Drivers”来获取远程系统中的摄像头信

息,当获取成功后点击设备列表,选择想要进行查看的摄像头设备,然后再点击窗口中的“Start”命令,就可以查看到远程摄像头捕获的视频信息了。至于其它的控制操作和查看远程系统桌面是一模一样的,这里就不再进行相应的介绍了。

7、其它控制功能

其实除了上面介绍的这些控制功能外,Schwarze Sonne木马还包括很多其它的功能,比如远程终端管理、用户密码获取、下载者功能等。我们通过用户密码获取功能就可以读取出MSN和火狐浏览器的帐号密码信息,如果选择的是远程终端管理命令,就可以在弹出的窗口中激活该命令,然后在窗口中输入想要执行的终端控制命令了。

三、总结

通过上面的介绍我们可以看出,Schwarze Sonne木马的功能还是非常多的,基本上可以满足用户对远程计算机的控制操作,而且Schwarze Sonne木马还支持插件管理,这样就可以更好的拓展控制功能了。但是它每项控制功能的操作还比较弱,如果以后能逐步完善控制功能就更好了,当然服务端程序的隐藏设置也需要进一步加强。