Sub7 - Sub7

Для группы см. Subseven.
Sub7
Оригинальный автор (ы)мафиози
Предварительный выпуск
0.9 / 2014
Написано вDelphi
Операционная системаМайкрософт Виндоус
ТипТроянский конь (вычисления)
Лицензиябесплатное ПО
Интернет сайтк югу от 7.сеть

Sub7, или же SubSeven или же Sub7Server, это троянский конь программа.[1] Его название произошло от написания NetBus назад ("suBteN") и поменяв местами "десять" на "семь". Sub7 не поддерживается с 2004 года.

Поскольку его типичное использование заключается в разрешении необнаруженного и несанкционированного доступа, Sub7 обычно описывается как троянский конь специалистами по безопасности.[2][1][3][4][5][6] Начиная с версии 2.1 (1999 г.) им можно было управлять через IRC. Как сказано в одной книге по безопасности: «Это подготовило почву для всех злонамеренных ботнеты приходить."[4] Кроме того, Sub7 имеет некоторые функции, которые считаются малоиспользуемыми в законном удаленном администрировании, например регистрация нажатий клавиш.[4]

Sub7 работал на Windows 9x и на Windows NT семейство операционных систем, включая Windows 8.1.[5]

История

Sub7 изначально был написан программистом с ручкой "mobman". В течение нескольких лет разработки не велись, пока 28 февраля 2010 г. не был запланирован выпуск новой версии.

В 2006 году (sub7legends.net) вновь открылся с сотнями тысяч пользователей и поддержал Sub7 в живых благодаря чистым загрузкам, поддержке и новым выпускам программного обеспечения.

SubSeven 2.3, выпущенный 9 марта 2010 года, был переработан для работы со всеми 32-разрядными и 64-разрядными версиями Windows и включает TCP-туннель и восстановление пароля для браузеров, программ обмена мгновенными сообщениями и почтовых клиентов. Он был очень глючным и не был написан на Delphi, который использовал первоначальный автор. Веб-сайт, заявивший об этом, больше не активен.

Архитектура и особенности

Как и другие программы удаленного администрирования, Sub7 распространяется с сервер и клиент. Сервер - это программа, которую хост должен запустить, чтобы управлять своими машинами удаленно, а клиент - это программа с GUI что пользователь запускает на своей машине для управления сервером / хост-компьютером. Эксперт по компьютерной безопасности Стив Гибсон однажды сказал, что с этими функциями, Sub7 позволяет хакеру получить «практически полный контроль» над компьютером. По его словам, Sub7 настолько агрессивен, что любой, у кого он есть на своем компьютере, «с таким же успехом может иметь хакера, стоящего рядом с ним» во время использования своего компьютера.[7]

Sub7 имеет больше функций, чем Netbus (захват веб-камеры, перенаправление нескольких портов, удобный редактор реестра, чат и многое другое), но он всегда пытается установить себя в каталог Windows и не имеет журнала активности.

Согласно анализу безопасности,[8] Возможности Sub7 на стороне сервера (на целевом компьютере) включают:

  • запись:
    • звуковые файлы с микрофона, подключенного к машине
    • изображения с подключенной видеокамеры
    • скриншоты компьютера
  • получение списка записанных и кэшированных паролей
  • взяв на себя ICQ учетная запись, используемая на целевой машине (в то время самая популярная служба обмена сообщениями); добавлено в версии 2.1. Это включало возможность отключить локальное использование учетной записи и прочитать историю чата.
  • функции, которые предположительно предназначались для шуток или раздражающих целей, включая:
    • изменение цвета рабочего стола
    • открытие и закрытие оптического привода
    • замена кнопок мыши
    • выключение / включение монитора
    • синтезатор голоса "text2speech", который позволял удаленному контроллеру заставить компьютер "разговаривать" с пользователем
  • тестирование на проникновение функции, в том числе сканер портов и перенаправитель портов

На стороне клиента программное обеспечение имело «адресную книгу», которая позволяла контроллеру знать, когда целевые компьютеры находятся в сети. Кроме того, серверная программа могла быть настроена перед доставкой с помощью так называемого серверного редактора (идея позаимствована у Заднее отверстие 2000 ). Возможные настройки редактора сервера Sub7 включали изменение адресов портов, отображение настраиваемого сообщения при установке, которое можно было бы использовать, например, «чтобы обмануть жертву и замаскировать истинное намерение программы».[8] Сервер Sub7 также может быть настроен для уведомления контроллера о айпи адрес изменение хост-машины по электронной почте, ICQ или IRC.[9]

Подключения к серверам Sub7 можно защитить паролем с помощью выбранного пароля.[9] Более глубокий разобрать механизм с целью понять, как это работает Однако анализ показал, что «автор SubSeven тайно включил жестко запрограммированный мастер-пароль для всех своих троянцев! Сам троян был троянцем».[6] Для версии 1.9 мастер-пароль - predatox и 14438136782715101980 для версий с 2.1 по 2.2b. Главный пароль для SubSeven DEFCON8 2.1 Backdoor - это acidphreak. [10]

Использование и инциденты

SubSeven использовался для получения несанкционированного доступа к компьютерам. Хотя его можно использовать для озорства (например, для воспроизведения звуковых файлов из ниоткуда, изменения цвета экрана и т. Д.), Он также может считывать нажатия клавиш, произошедшие с момента последней загрузки - возможность, которую можно использовать для кражи паролей и кредитов. номера карт.[11]

В 2003 году хакер начал распространять электронную почту на испанском языке, якобы от охранной фирмы. Symantec это использовалось, чтобы обманом заставить получателей загрузить Sub7.[12]

Хотя Sub7 сам по себе не червь (не имеет встроенных функций самораспространения) он использовался некоторыми червями, такими как W32 / Leaves (2001).[3][13]

Некоторые версии Sub7 включают код из Hard Drive Killer Pro для форматирования жесткого диска, этот код будет запускаться только в том случае, если он соответствует ICQ номер «7889118» (автор троянца-соперника мафии.)[14]

Обнаружение

Почти все антивирусные программы могут обнаружить Sub7 и предотвратить его установку, если не будут предприняты шаги по его скрытию.[нужна цитата ]

Смотрите также

Рекомендации

  1. ^ а б Джон Р. Вакка (2013). Сетевая и системная безопасность (2-е изд.). Эльзевир. п. 63. ISBN  978-0-12-416695-0.
  2. ^ Кристофер А. Крейтон (2003). Безопасность + Руководство по экзамену. Cengage Learning. п. 340. ISBN  1-58450-251-7.
  3. ^ а б Мохссен Мохаммед; Аль-Сакиб Хан Патан (июль 2013 г.). Автоматическая защита от полиморфных червей нулевого дня в сетях связи. CRC Press. п. 105. ISBN  978-1-4822-1905-0.
  4. ^ а б c Крейг Шиллер; Джеймс Р. Бинкли (2011). Ботнеты: веб-приложения-убийцы. Syngress. п. 8. ISBN  978-0-08-050023-2.
  5. ^ а б Дайан Барретт; Тодд Кинг (2005). Компьютерные сети с подсветкой. Джонс и Бартлетт Обучение. стр. 521–. ISBN  978-0-7637-2676-8.
  6. ^ а б Сайрус Пейкари; Антон Чувакин (2004). Воин Безопасности. O'Reilly Media. п.31. ISBN  978-0-596-55239-8.
  7. ^ Гибсон, Стив. Странная история атак типа "отказ в обслуживании" на grc.com. 2002-03-05.
  8. ^ а б Крапанцано, Джейми (2003), "Разбор SubSeven, любимого троянского коня., Институт SANS Чтение по информационной безопасности
  9. ^ а б Эрик Коул (2002). Остерегайтесь хакеров. Самс Паблишинг. п. 569. ISBN  978-0-7357-1009-2.
  10. ^ SANS, риск для вашей интернет-безопасности Название главы: «Внутренняя работа Sub7» на стр. 14 отмечает несколько использованных мастер-паролей.
  11. ^ Sub7 анализ из Sophos
  12. ^ "Отчет Symantec о Sub7". Symantec.com. Получено 2012-08-28.
  13. ^ http://www.cert.org/incident_notes/IN-2001-07.html
  14. ^ админ (2018-12-14). "Кто настоящий мафиози?". Illmob. Получено 2020-07-15.

внешняя ссылка