僵尸网络系列之五 利用图片追踪黑客

   一些喜欢自我炫耀的僵尸网络(botnet)控制者往往将他们的控制过程截图之后贴到网上，以此来显示自己的能力。殊不知，这些图片正可以作为我们分析其行为的宝贵资料。本文通过对大量此类截图进行分析整理，对敏感信息作归类，结合心理学与社会工程学等相关学科，探讨如何通过这些信息对黑客进行追踪和定位。
典型截图分析
图1是一个典型截图，我们分步对其进行分析：
1、该图片属于整个桌面截图，而且这张图片的特殊点在于：它把IRC操作界面放在了最底端，聊天室的窗口都没有最大化，按照使用的顺序显示，这样我们可以看到最前端的一个聊天窗口的信息。
2、通过任务栏可以看出，该系统为英文版，用户名也是英文，可见该黑客应该不在国内。
3、浏览器的标题栏显示的是俄文，任务栏上sst程序之后的标题也是俄文，IRC聊天窗口当中也有俄文的对话记录，应该认为这名黑客是俄罗斯人。
5、该聊天室名为FUCK_CHANNEL，只有一个用户，而且可以见到指令内容。可以推断出黑客在测试指令。
图片类型分类
通过对大量图片的分析，可以分为如下三类：
1、直接截取计算机桌面的图片：
桌面上的所有信息都能显示出来，包括桌面项，快捷方式，任务栏，开始菜单，系统托盘等等。这种截图能够提供的信息最多，其中能直接读取的有系统语言，时间，任务栏托盘等等。这些内容最容易暴露出黑客的作息规律和一些习惯。其中有些截图当中IRC窗口被最大化，看不到桌面上的其它信息，有些则是常规窗口，没有挡住整个桌面，可以看到桌面上的图标，而这些图标往往也会给我们带来很多线索。
2、只保留控制界面的图片：
如mIRC 运行窗口。这样的截图信息量不如上一种的信息量大，但是还是可以保留很多重要信息，比如服务器名称，用户数量，管理员名称以及操作过程等等。
3、部分窗口截图的图片：
保留的信息很少，只有控制端的一小部分；但是这是目前网络上最流行，最常见的一种截图。也许大部分黑客都不敢暴露太多的信息，以免被人发现。但凡是截图必然会暴露一定的信息，此类截图与前两类的区别只是缺少了IRC窗口之外的信息，这样不利于对黑客进行多方位的了解和追踪定位，但是对于了解该bot的运行方式还是很有作用的。
另外，以上所述的前两种屏幕截图中，普遍采用的一种做法是：截取桌面之后用画图工具将图片的一部分涂黑，这样来隐藏关键信息，但是也有些未经处理的图见于网上。
图片信息提取原则与方法
通过总结，可以得到分析此类图片的常规方法：
1、确定图片属于哪种类型，是全屏幕截图还是控制端截图，或者是部分控制端截图。确定了所属的类型之后就可以用相应的分析方法来读取所需的信息。其中全屏截图的信息量相对来说是最大的，而且全屏截图当中也包含整个IRC工具的操作界面，因此我们着重分析全屏截图。
2、对于全屏幕截图，应该着重分析如下几个方面：
分析任务栏。任务栏的出现给我们提供了大量的关于黑客使用的操作系统信息，以及当时当地的一些即时信息，这些信息都是帮助我们对黑客进行追踪的有力武器。任务栏提供的信息主要有以下几方面：操作系统的种类、版本、语言；系统时间；同时运行的程序和窗口，以及后台运行的程序（任务栏托盘上显示，包括浏览器，播放器，聊天工具，杀毒软禁等等）。这些信息能在很大程度上反映黑客的作息时间，工作方式和一些习惯，比如听音乐，聊天等等。
分析当前窗口。对于botnet截图，当前窗口一般都是IRC工具或者其他控制botnet运行的工具。这些工具的窗口包含了最多的关于botnet的运行情况和扩散情况的信息。Botnet窗口当中能够提示信息的有如下结构：标题栏，标签栏，历史消息栏，命令输入框以及好友列表。其中标题栏中包括了IRC工具名称，当前聊天室名，服务器地址和端口，以及聊天室开启的日期时间，这些是关于该bot的最基本信息。此外标签栏显示了该主机同时连接的所有的IRC聊天室，而且某些mIRC版本会将该主机管理的所有IRC聊天室名显示为红色，这样就更加方便我们顺藤摸瓜，找到更多的操纵botnet的黑客。
历史消息栏可以显示出所有之前出现过的消息，包括用户加入和退出，管理员操作和用户反馈信息等等，这些信息可以帮助我们分析botnet的活动规律和分布情况，也是掌握该botnet动向的最基本的信息来源。
分析桌面上的其他内容。对于有桌面的截图，除了分析以上两部分内容之外，还要分析桌面图标等内容，这样可以为我们提供一些额外的信息，为我们追踪黑客提供更多的线索。
通过如上分析，可以总结出，一张botnet桌面截图可以包含如下信息：
1、 任务栏--系统语言，时间，活动窗口和后台运行程序。
2、IRC工具窗口--工具种类和版本，服务器名，管理员用户名，感染用户数量，服务器地址，端口和开机时间；用户进出的历史情况和历史消息情况。
3、 桌面--系统语言，常用工具，聊天窗口，应用程序等。
进行实际分析时，可按照表1来分析总结botnet截图当中的信息：
典型案例分析
图2是一个僵尸网络制造者留下来的截图：
逐步对其进行分析：
1、任务栏（表2）。
2、当前窗口--最大化运行，mIRC6.15版本（因为系统主题改了所以外观有所变化），如表3所示。
3、桌面（该图中当前窗口为最大化，不可见桌面）。
于是根据以上信息，我们一面查找被感染用户的IP地址，一面搜索BlackIRC的相关信息，就可以得到进一步的资料。
通过被感染者的IP定位，我们可以发现，至少屏幕上所显示的IP地址，有一小半来自巴西，约百分之十来自美国南部（IANA），还有个别用户来自加拿大蒙特利尔和中国。第一个被感染的用户来自云南省红河州，后来感染范围扩大到贵阳，然后是美国、加拿大和法国，后来又到了巴西圣保罗。应该认为该botnet来自巴西，毕竟巴西被感染的用户数量最多。
    通过以上事例可以看出，按照任务栏--窗口--桌面的顺序，在图片中分块、分步查找所需的信息，是我们通过截图来进行botnet控制者追踪定位的有效途径。虽然只能从一个侧面来寻找蛛丝马迹，这些信息对于筛选可疑的人物进行排查从而找到黑客可以起到重要作用。