Sub7 - Sub7
Эта статья нужны дополнительные цитаты для проверка.Апрель 2014 г.) (Узнайте, как и когда удалить этот шаблон сообщения) ( |
Оригинальный автор (ы) | мафиози |
---|---|
Предварительный выпуск | 0.9 / 2014 |
Написано в | Delphi |
Операционная система | Майкрософт Виндоус |
Тип | Троянский конь (вычисления) |
Лицензия | бесплатное ПО |
Интернет сайт | к югу от 7 |
Sub7, или же SubSeven или же Sub7Server, это троянский конь программа.[1] Его название произошло от написания NetBus назад ("suBteN") и поменяв местами "десять" на "семь". Sub7 не поддерживается с 2004 года.
Поскольку его типичное использование заключается в разрешении необнаруженного и несанкционированного доступа, Sub7 обычно описывается как троянский конь специалистами по безопасности.[2][1][3][4][5][6] Начиная с версии 2.1 (1999 г.) им можно было управлять через IRC. Как сказано в одной книге по безопасности: «Это подготовило почву для всех злонамеренных ботнеты приходить."[4] Кроме того, Sub7 имеет некоторые функции, которые считаются малоиспользуемыми в законном удаленном администрировании, например регистрация нажатий клавиш.[4]
Sub7 работал на Windows 9x и на Windows NT семейство операционных систем, включая Windows 8.1.[5]
История
Эта секция нуждается в расширении с: ранняя история. Вы можете помочь добавляя к этому. (Январь 2014) |
Sub7 изначально был написан программистом с ручкой "mobman". В течение нескольких лет разработки не велись, пока 28 февраля 2010 г. не был запланирован выпуск новой версии.
В 2006 году (sub7legends.net) вновь открылся с сотнями тысяч пользователей и поддержал Sub7 в живых благодаря чистым загрузкам, поддержке и новым выпускам программного обеспечения.
SubSeven 2.3, выпущенный 9 марта 2010 года, был переработан для работы со всеми 32-разрядными и 64-разрядными версиями Windows и включает TCP-туннель и восстановление пароля для браузеров, программ обмена мгновенными сообщениями и почтовых клиентов. Он был очень глючным и не был написан на Delphi, который использовал первоначальный автор. Веб-сайт, заявивший об этом, больше не активен.
Архитектура и особенности
Как и другие программы удаленного администрирования, Sub7 распространяется с сервер и клиент. Сервер - это программа, которую хост должен запустить, чтобы управлять своими машинами удаленно, а клиент - это программа с GUI что пользователь запускает на своей машине для управления сервером / хост-компьютером. Эксперт по компьютерной безопасности Стив Гибсон однажды сказал, что с этими функциями, Sub7 позволяет хакеру получить «практически полный контроль» над компьютером. По его словам, Sub7 настолько агрессивен, что любой, у кого он есть на своем компьютере, «с таким же успехом может иметь хакера, стоящего рядом с ним» во время использования своего компьютера.[7]
Sub7 имеет больше функций, чем Netbus (захват веб-камеры, перенаправление нескольких портов, удобный редактор реестра, чат и многое другое), но он всегда пытается установить себя в каталог Windows и не имеет журнала активности.
Согласно анализу безопасности,[8] Возможности Sub7 на стороне сервера (на целевом компьютере) включают:
- запись:
- звуковые файлы с микрофона, подключенного к машине
- изображения с подключенной видеокамеры
- скриншоты компьютера
- получение списка записанных и кэшированных паролей
- взяв на себя ICQ учетная запись, используемая на целевой машине (в то время самая популярная служба обмена сообщениями); добавлено в версии 2.1. Это включало возможность отключить локальное использование учетной записи и прочитать историю чата.
- функции, которые предположительно предназначались для шуток или раздражающих целей, включая:
- изменение цвета рабочего стола
- открытие и закрытие оптического привода
- замена кнопок мыши
- выключение / включение монитора
- синтезатор голоса "text2speech", который позволял удаленному контроллеру заставить компьютер "разговаривать" с пользователем
- тестирование на проникновение функции, в том числе сканер портов и перенаправитель портов
На стороне клиента программное обеспечение имело «адресную книгу», которая позволяла контроллеру знать, когда целевые компьютеры находятся в сети. Кроме того, серверная программа могла быть настроена перед доставкой с помощью так называемого серверного редактора (идея позаимствована у Заднее отверстие 2000 ). Возможные настройки редактора сервера Sub7 включали изменение адресов портов, отображение настраиваемого сообщения при установке, которое можно было бы использовать, например, «чтобы обмануть жертву и замаскировать истинное намерение программы».[8] Сервер Sub7 также может быть настроен для уведомления контроллера о айпи адрес изменение хост-машины по электронной почте, ICQ или IRC.[9]
Подключения к серверам Sub7 можно защитить паролем с помощью выбранного пароля.[9] Более глубокий разобрать механизм с целью понять, как это работает Однако анализ показал, что «автор SubSeven тайно включил жестко запрограммированный мастер-пароль для всех своих троянцев! Сам троян был троянцем».[6] Для версии 1.9 мастер-пароль - predatox и 14438136782715101980 для версий с 2.1 по 2.2b. Главный пароль для SubSeven DEFCON8 2.1 Backdoor - это acidphreak. [10]
Использование и инциденты
SubSeven использовался для получения несанкционированного доступа к компьютерам. Хотя его можно использовать для озорства (например, для воспроизведения звуковых файлов из ниоткуда, изменения цвета экрана и т. Д.), Он также может считывать нажатия клавиш, произошедшие с момента последней загрузки - возможность, которую можно использовать для кражи паролей и кредитов. номера карт.[11]
В 2003 году хакер начал распространять электронную почту на испанском языке, якобы от охранной фирмы. Symantec это использовалось, чтобы обманом заставить получателей загрузить Sub7.[12]
Хотя Sub7 сам по себе не червь (не имеет встроенных функций самораспространения) он использовался некоторыми червями, такими как W32 / Leaves (2001).[3][13]
Некоторые версии Sub7 включают код из Hard Drive Killer Pro для форматирования жесткого диска, этот код будет запускаться только в том случае, если он соответствует ICQ номер «7889118» (автор троянца-соперника мафии.)[14]
Обнаружение
Почти все антивирусные программы могут обнаружить Sub7 и предотвратить его установку, если не будут предприняты шаги по его скрытию.[нужна цитата ]
Смотрите также
- Заднее отверстие
- Заднее отверстие 2000
- Троянский конь (вычисления)
- Вредоносное ПО
- Бэкдор (вычисления)
- Руткит
- MiniPanzer и MegaPanzer
- Папка-переплет
Рекомендации
- ^ а б Джон Р. Вакка (2013). Сетевая и системная безопасность (2-е изд.). Эльзевир. п. 63. ISBN 978-0-12-416695-0.
- ^ Кристофер А. Крейтон (2003). Безопасность + Руководство по экзамену. Cengage Learning. п. 340. ISBN 1-58450-251-7.
- ^ а б Мохссен Мохаммед; Аль-Сакиб Хан Патан (июль 2013 г.). Автоматическая защита от полиморфных червей нулевого дня в сетях связи. CRC Press. п. 105. ISBN 978-1-4822-1905-0.
- ^ а б c Крейг Шиллер; Джеймс Р. Бинкли (2011). Ботнеты: веб-приложения-убийцы. Syngress. п. 8. ISBN 978-0-08-050023-2.
- ^ а б Дайан Барретт; Тодд Кинг (2005). Компьютерные сети с подсветкой. Джонс и Бартлетт Обучение. стр. 521–. ISBN 978-0-7637-2676-8.
- ^ а б Сайрус Пейкари; Антон Чувакин (2004). Воин Безопасности. O'Reilly Media. п.31. ISBN 978-0-596-55239-8.
- ^ Гибсон, Стив. Странная история атак типа "отказ в обслуживании" на grc.com. 2002-03-05.
- ^ а б Крапанцано, Джейми (2003), "Разбор SubSeven, любимого троянского коня., Институт SANS Чтение по информационной безопасности
- ^ а б Эрик Коул (2002). Остерегайтесь хакеров. Самс Паблишинг. п. 569. ISBN 978-0-7357-1009-2.
- ^ SANS, риск для вашей интернет-безопасности Название главы: «Внутренняя работа Sub7» на стр. 14 отмечает несколько использованных мастер-паролей.
- ^ Sub7 анализ из Sophos
- ^ "Отчет Symantec о Sub7". Symantec.com. Получено 2012-08-28.
- ^ http://www.cert.org/incident_notes/IN-2001-07.html
- ^ админ (2018-12-14). "Кто настоящий мафиози?". Illmob. Получено 2020-07-15.
внешняя ссылка
- Интернет сайт
- http://www.giac.org/paper/gcih/36/subseven-213-bonus/100239
- Подкаст Darknet Diaries, эпизод 20: Mobman