Суб7

Суб7
Оригинальный автор(ы)	гангстер
Предварительный выпуск	2.3 / 2010
Написано в	Дельфи
Операционная система	Microsoft Windows
Тип	Троянский конь (компьютеры)
Лицензия	бесплатное ПО
Веб-сайт	sub7crew .org

Sub7 , или SubSeven , или Sub7Server — это троянский конь , точнее, удаленный троянский конь — программа, первоначально выпущенная в феврале 1999 года. ^[1]^[2]^[3] Его название было получено путем написания NetBus задом наперед («suBteN») и замены «десять» на «семь». По состоянию на июнь 2021 года разработка Sub7 продолжается. ^[4]

обычно называют Sub7 троянским конем . Поскольку его обычное использование заключается в обеспечении необнаруженного и несанкционированного доступа, эксперты по безопасности ^[5]^[2]^[6]^[7]^[8]^[9] Начиная с версии 2.1 (1999 г.) им можно было управлять через IRC . Как сказано в одной книге по безопасности: «Это подготовило почву для всех вредоносных ботнетов ». появления ^[7] Кроме того, Sub7 имеет некоторые функции, которые считаются малопригодными при законном удаленном администрировании, например, ведение журнала нажатий клавиш . ^[7]

Sub7 работал в операционных системах Windows 9x и семейства Windows NT , вплоть до Windows 8.1 включительно . ^[8]

История

SubSeven был разработан mobman, программистом родом из Крайовы, Румыния. ^[10]

Мобман выпустил SubSeven 28 февраля 1999 года. Его первое издание называлось SubSeven v1.0 и содержало отголоски другого трояна того времени, Back Orifice (BO). Мобман описал SubSeven как клон BO. Первая ветвь версий с 1.0 по 1.9 ограничивала работу пользователя одним окном, что делало их простыми и простыми в использовании. В экспериментальной версии 1.9, SubSeven 1.9 Apocalypse , Мобман обновил предыдущий сине-фиолетовый дизайн, который использовался начиная с версии 1.5.

В 2001 году в попытке заново изобрести дизайн была создана ветка v2.2x. Он оказался недолговечным, поскольку его модульный подход, позволяющий создавать плагины и специальные функции, не нашел отклика у пользователей, которым не хватало ни навыков, ни мотивации для создания новых расширений и плагинов. Таким образом, Мобман решил продолжить ветку 2.1.x. В 2003 году версия 2.1.5, известная как «SubSeven Legends», ознаменовала конец разработки SubSeven под руководством Mobman. ^[3]

В 2006 году (sub7legends.net) вновь открылся с сотнями тысяч пользователей и сохранил Sub7 живым благодаря чистым загрузкам, поддержке и новым выпускам программного обеспечения.

Никакой разработки не велось в течение нескольких лет до версии 2.3 в 2010 году. Этот выпуск был основан на подлинном исходном коде SubSeven 2.2 и 2.1.3, которым сам мобман поделился со своими близкими друзьями «Read101» и «fc» и которые несут ответственность за это. обновлять. К сожалению, реборн не привлек внимание публики, как ожидалось. Отсутствие интереса произошло в первую очередь из-за «fc», который был больше заинтересован в монетизации новой версии, чем в повышении ее качества. ^[11]

SubSeven 2.3, выпущенный 9 марта 2010 г., был обновлен для работы со всеми 32-битными и 64-битными версиями Windows и включает TCP-туннель и восстановление паролей для браузеров, программ обмена мгновенными сообщениями и почтовых клиентов. Это было очень глючно. Веб-сайт, который утверждал, что сделал это, больше не активен.

В июне 2021 года Жан-Пьер Лесюёр (DarkCoderSc) выпустил с нуля полный ремейк SubSeven версии 2.2. Эта версия сохранила внешний вид, аналогичный оригиналу. С тех пор разработка прекратилась, а исходный код стал доступен общественности. ^[12]

В октябре 2023 года «IllWill», бывший член команды Sub7 Crew 1990-х и начала 2000-х годов, выступил с докладом на BSides CT 2023. ^[13] Эта презентация углубилась в историю мафиози и раскрыла несколько неизвестных фактов о загадочном разработчике. Разговор завершился тем, что IllWill опубликовал официальный и подлинный исходный код SubSeven 2.1.2/3 в своем Gitlab. ^[14] Этот релиз стал возможен благодаря непосредственному вкладу Мобмана и с его благословения.

На данный момент никаких других версий SubSeven официально не выпущено, кроме версии 2.1.2/3 от IllWill. Версия SubSeven 2.2 остается исключительно в распоряжении mobman, Read101, fc и DarkCoderSc.

Архитектура и особенности

Как и другие программы удаленного администрирования, Sub7 распространяется с сервером и клиентом . Сервер — это программа, которую хост должен запустить для удаленного управления своими компьютерами, а клиент — это программа с графическим интерфейсом , которую пользователь запускает на своем компьютере для управления сервером/хост-ПК. Эксперт по компьютерной безопасности Стив Гибсон однажды сказал, что благодаря этим функциям Sub7 позволяет хакеру получить «практически полный контроль» над компьютером. По его словам, Sub7 настолько агрессивен, что любой, у кого он установлен на компьютере, «с таким же успехом может позволить хакеру стоять рядом с ним», пока он использует свой компьютер. ^[15]

Sub7 имеет больше функций, чем Netbus (захват веб-камеры, перенаправление нескольких портов, удобный редактор реестра, чат и многое другое).

Согласно анализу безопасности, ^[16] Серверные функции Sub7 (целевой компьютер) включают в себя:

запись:
- звуковые файлы с микрофона, подключенного к машине
- изображения с подключенной видеокамеры
- скриншоты компьютера
получение списка записанных и кэшированных паролей
получение контроля над учетной записью ICQ , используемой на целевой машине (на тот момент это была самая популярная служба обмена сообщениями); добавлено в версии 2.1. Это включало возможность отключить локальное использование учетной записи и прочитать историю чата.
функции, которые предположительно предназначались для использования в целях розыгрыша или раздражения, включая:
- изменение цвета рабочего стола
- открытие и закрытие оптического привода
- замена кнопок мыши
- выключение/включение монитора
- синтезатор голоса «text2speech», который позволял пульту дистанционного управления заставить компьютер «разговаривать» с пользователем.
тестирования на проникновение функции , включая сканер портов и перенаправитель портов

На стороне клиента программное обеспечение имело «адресную книгу», которая позволяла контроллеру знать, когда целевые компьютеры находятся в сети. Кроме того, перед выпуском серверную программу можно было настроить с помощью так называемого серверного редактора (идея, заимствованная из Back Orifice 2000 ). Возможные настройки с помощью редактора сервера Sub7 включали изменение адресов портов, отображение индивидуального сообщения после установки, которое можно было использовать, например, «чтобы обмануть жертву и замаскировать истинные намерения программы». ^[16] Сервер Sub7 также можно настроить для уведомления контроллера об изменении IP-адреса хост-машины по электронной почте, ICQ или IRC. ^[17]

Подключения к серверам Sub7 могут быть защищены выбранным паролем. ^[17] Однако более глубокий анализ обратного проектирования показал, что «автор SubSeven тайно включил жестко запрограммированный мастер-пароль для всех своих троянов! Сам троянец был заражен трояном». ^[9] Для версии 1.9 главный пароль — predatox, а для версий с 2.1 по 2.2b — 14438136782715101980. Мастер-пароль для бэкдора SubSeven DEFCON8 2.1 — acidphreak. ^[18]

Использование и инциденты

SubSeven использовался для получения несанкционированного доступа к компьютерам. Хотя его можно использовать для причинения вреда (например, для воспроизведения звуковых файлов из ниоткуда, изменения цвета экрана и т. д.), он также может считывать нажатия клавиш, произошедшие с момента последней загрузки — возможность, которую можно использовать для кражи паролей и кредитных данных. номера карт. ^[19]

В 2003 году хакер начал распространять электронные письма на испанском языке якобы от охранной фирмы Symantec , которые использовались для того, чтобы обманом заставить получателей загрузить Sub7. ^[20]

Хотя Sub7 сам по себе не является червем (не имеет встроенных функций самораспространения), он использовался некоторыми червями, такими как W32/Leaves (2001). ^[6]^[21]

Некоторые версии Sub7 включают код Hard Drive Killer Pro для форматирования жесткого диска; этот код будет работать только в том случае, если он соответствует номеру ICQ «7889118» (автор трояна-конкурента Mobman). ^[22]

См. также

Ссылки

^ «Наследие Sub7» . www.sub7crew.org . Проверено 19 июня 2021 г.
^ Jump up to: ^а ^б Джон Р. Вакка (2013). Сетевая и системная безопасность (2-е изд.). Эльзевир. п. 63. ИСБН 978-0-12-416695-0 .
^ Jump up to: ^а ^б Лесюёр, Жан-Пьер (18 июля 2023 г.). «Ретроспектива вредоносного ПО: SubSeven» . Середина .
^ «Наследие Sub7» . www.sub7crew.org . Проверено 19 июня 2021 г.
^ Кристофер А. Крейтон (2003). Руководство по экзамену Security+ . Cengage Обучение. п. 340. ИСБН 1-58450-251-7 .
^ Jump up to: ^а ^б Мохссен Мохаммед; Аль-Сакиб Хан Патан (июль 2013 г.). Автоматическая защита от полиморфных червей нулевого дня в сетях связи . ЦРК Пресс. п. 105. ИСБН 978-1-4822-1905-0 .
^ Jump up to: ^а ^б ^с Крейг Шиллер; Джеймс Р. Бинкли (2011). Ботнеты: веб-приложения-убийцы . Сингресс. п. 8. ISBN 978-0-08-050023-2 .
^ Jump up to: ^а ^б Дайан Барретт; Тодд Кинг (2005). Компьютерные сети с подсветкой . Джонс и Бартлетт Обучение. стр. 521–. ISBN 978-0-7637-2676-8 .
^ Jump up to: ^а ^б Сайрус Пейкари; Антон Чувакин (2004). Воин безопасности . О'Рейли Медиа. п. 31 . ISBN 978-0-596-55239-8 .
^ «Ретроспектива вредоносного ПО: SubSeven» . Medium.com . Проверено 5 февраля 2024 г.
^ «Ретроспектива вредоносного ПО: SubSeven» . Medium.com . Проверено 5 февраля 2024 г.
^ «Наследие Sub7» . www.github.com . Проверено 19 июня 2021 г.
^ «BSides CT 2023 — недоброжелательность: В поисках МОБМЕНА» . www.youtube.com . Проверено 7 октября 2023 г.
^ «Саб7» . www.gitlab.com . Проверено 7 октября 2023 г.
^ Гибсон, Стив . Странная история об атаках типа «отказ в обслуживании» на grc.com . 05 марта 2002 г.
^ Jump up to: ^а ^б Крапанзано, Джейми (2003), « Деконструкция SubSeven, любимого троянского коня». , Института SANS . Чтение по информационной безопасности
^ Jump up to: ^а ^б Эрик Коул (2002). Хакеры, будьте осторожны . Издательство Самс. п. 569. ИСБН 978-0-7357-1009-2 .
^ SANS, Риск для вашей интернет-безопасности. Название главы: «Внутренняя работа Sub7» на странице 14 отмечает несколько используемых мастер-паролей.
^ Анализ Sub7 от Sophos
^ «Отчет Symantec о Sub7» . Symantec.com. Архивировано из оригинала 10 ноября 2006 года . Проверено 28 августа 2012 г.
^ «Подразделение CERT | Институт программной инженерии» .
^ админ (14 декабря 2018 г.). «Кто настоящий мафиози?» . иллмоб . Проверено 15 июля 2020 г.

Внешние ссылки

[1] «Наследие Sub7» . www.sub7crew.org . Проверено 19 июня 2021 г.

[Vacca2013-2] Jump up to: ^а ^б Джон Р. Вакка (2013). Сетевая и системная безопасность (2-е изд.). Эльзевир. п. 63. ИСБН 978-0-12-416695-0 .

[:0-3] Jump up to: ^а ^б Лесюёр, Жан-Пьер (18 июля 2023 г.). «Ретроспектива вредоносного ПО: SubSeven» . Середина .

[4] «Наследие Sub7» . www.sub7crew.org . Проверено 19 июня 2021 г.

[Crayton2003-5] Кристофер А. Крейтон (2003). Руководство по экзамену Security+ . Cengage Обучение. п. 340. ИСБН 1-58450-251-7 .

[MohammedPathan2013-6] Jump up to: ^а ^б Мохссен Мохаммед; Аль-Сакиб Хан Патан (июль 2013 г.). Автоматическая защита от полиморфных червей нулевого дня в сетях связи . ЦРК Пресс. п. 105. ИСБН 978-1-4822-1905-0 .

[SchillerBinkley2011-7] Jump up to: ^а ^б ^с Крейг Шиллер; Джеймс Р. Бинкли (2011). Ботнеты: веб-приложения-убийцы . Сингресс. п. 8. ISBN 978-0-08-050023-2 .

[BarrettKing2005-8] Jump up to: ^а ^б Дайан Барретт; Тодд Кинг (2005). Компьютерные сети с подсветкой . Джонс и Бартлетт Обучение. стр. 521–. ISBN 978-0-7637-2676-8 .

[PeikariChuvakin2004-9] Jump up to: ^а ^б Сайрус Пейкари; Антон Чувакин (2004). Воин безопасности . О'Рейли Медиа. п. 31 . ISBN 978-0-596-55239-8 .

[10] «Ретроспектива вредоносного ПО: SubSeven» . Medium.com . Проверено 5 февраля 2024 г.

[11] «Ретроспектива вредоносного ПО: SubSeven» . Medium.com . Проверено 5 февраля 2024 г.

[12] «Наследие Sub7» . www.github.com . Проверено 19 июня 2021 г.

[13] «BSides CT 2023 — недоброжелательность: В поисках МОБМЕНА» . www.youtube.com . Проверено 7 октября 2023 г.

[14] «Саб7» . www.gitlab.com . Проверено 7 октября 2023 г.

[Gibson-15] Гибсон, Стив . Странная история об атаках типа «отказ в обслуживании» на grc.com . 05 марта 2002 г.

[sans-16] Jump up to: ^а ^б Крапанзано, Джейми (2003), « Деконструкция SubSeven, любимого троянского коня». , Института SANS . Чтение по информационной безопасности

[Cole2002-17] Jump up to: ^а ^б Эрик Коул (2002). Хакеры, будьте осторожны . Издательство Самс. п. 569. ИСБН 978-0-7357-1009-2 .

[18] SANS, Риск для вашей интернет-безопасности. Название главы: «Внутренняя работа Sub7» на странице 14 отмечает несколько используемых мастер-паролей.

[19] Анализ Sub7 от Sophos

[20] «Отчет Symantec о Sub7» . Symantec.com. Архивировано из оригинала 10 ноября 2006 года . Проверено 28 августа 2012 г.

[21] «Подразделение CERT | Институт программной инженерии» .

[22] админ (14 декабря 2018 г.). «Кто настоящий мафиози?» . иллмоб . Проверено 15 июля 2020 г.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]

[18]

[19]

[20]

[21]

[22]

v т и для удаленного администрирования Программное обеспечение
Общий	Программное обеспечение для удаленного рабочего стола Сравнение программного обеспечения для удаленного рабочего стола
Реализации	Абсолютное управление ЭфирПал AnyDesk Удаленный рабочий стол Apple Удаленный рабочий стол Chrome Виртуальные приложения Citrix ConnectWise Управление Перекрестная петля IBM БигФикс Войти Диспетчер конфигурации Microsoft System Center Менеджер NetSupport НиндзяУан ПКAnywhere RealVNC Службы удаленных рабочих столов Удаленные утилиты Спасательная помощь РустДеск мусор Безопасная оболочка Всплеск Тимвивер ТонЛинк TightVNC Тимбукту УльтраВНК Виртуальные сетевые вычисления Технология NX
Спорные реализации	Заднее отверстие Заднее отверстие 2000 NetBus Суб7