關於下一代遠端控制木馬的思路探討

  今天小編要跟大家講解下下一代遠端控制木馬的思路,下面就是小編為大家整理到的資料,請大家認真看看!

  下一代遠端控制木馬的思路探討

  傳統意義上的遠端控制木馬由於適用面不廣,使用比較單一,只注重功能不注重一些安全上的問題,出現過的事故就有:

  1.控制者被反查

  2.控制者機器被利用檔案下載上傳檔案反控

  3.相關黑客被殺

  4.抓雞黑客被網警追捕

  5.主要成員被國際通緝 等等。

  傳統的遠端控制木馬

  最初

  1. 大多使用tcp協議作為其主要通訊協議,沒有采用對應的加密措施。

  2. 木馬檔案經過加殼或者沒有加殼,可輕易被分析出特徵碼。

  3. 相關功能都被整合到了一起,免殺時間短。

  4. 不穩定性,遇到複雜的網路環境可能存在上線難的問題。

  5. 上線採用動態域名,經過不可靠第三方中轉資訊可被輕易攔截或者偽造。

  6. 大多采用登錄檔啟動或者註冊服務啟動,少有修改檔案方式。

  7. 存在可執行檔案,dll,sys,啟動方式大多采用獨立啟動,沒有或者少有檔案感染,程序注入。

  8. 種馬感染方式單一,大多采用網路傳輸方式感染。

  9. 駐留方式單一,大多是駐留在系統。不存在反沙盒分析功能。

  10. 大多是c/s結構,即client/server。木馬檔案普遍較大。

  後來

  1. 除了tcp木馬之外出現了udp木馬,但依然沒有采取加密措施。

  2. 木馬在原有加殼基礎之上,開始出現了自寫殼,反除錯等反分析措施。

  3. 由原來的整合到一起開始出現了生成器/控制端的模式,免殺時間稍微變長。

  4. 上線開始出現了多種上線模式,出現了網站空間上線、FTP上線、資料庫上線。

  5. 穩定性變強。出現了反彈上線木馬。

  6. 開始出現修改系統檔案,修改服務啟動方式隱藏自身。

  7. 開始出現了迷你版本木馬,出現了無程序,檔案感染,程序注入技術應用。

  8. 出現了多種感染方式,木馬本身在感染母體後出現了感染移動裝置的情況。

  9. 開始出現了駐留bios,感染映像檔案木馬。依然不存在反沙盒分析能力。

  10. 出現了b/s,即瀏覽器/伺服器模式互動通訊木馬。穩定性變強。檔案比起上一代變小了一些。

  現在

  1. 除了tcp,udp木馬之外,開始出現了https,ssl木馬,但本身還是會被抓到木馬原型。

  2. 木馬在原有加殼,自寫殼,反除錯基礎之上,出現了shellcode木馬,dll木馬,純進位制檔案靠其他檔案載入木馬。

  3. 由原來的生成器/控制端模式開始出現了模組化木馬,抗分析,免殺能力變強。

  4. 上線由原來的單一上線模式出現了支援混合協議上線模式木馬,一個伺服器被封,可保持被控者依然不掉。

  5. 穩定性在原有基礎之上變得更強,除了反彈上線之外,出現了依靠其他服務上線木馬。

  6. 除了原來的修改、感染檔案方式之外,出現了感染音效卡,感染網絡卡方式。

  7. 除了無程序之外,出現了無檔案,無埠埠木馬技術應用。

  8. 除了感染移動裝置外,出現了跨平臺感染木馬,內網感染木馬,會感染比如智慧交易終端之類的裝置。

  9. 出現了反記憶體分析、檔案定時自動變異木馬,會給分析帶來一定難度。

  10.出現了混合控制方式木馬,可以b/s也可以c/s。

  11.由原來的從vc/delphi/vb之類的語言編寫的遠控木馬開始出現了指令碼編寫的遠控木馬程式。體積更小,方式更加隱蔽。

  目前面臨的問題。

  1. 遠控傳輸協議的問題,沒有好的加密協議很容易出現通訊被攔截/偽造問題,給自己帶來危險。一些防火牆裝置也可以輕易攔截通訊。

  2. 遠控的免殺問題,傳統的木馬很容易在取到特徵後就被防毒軟體查殺,一直沒有出現好的反防毒軟體思路。

  3. 啟動載入方式問題,傳統的比如登錄檔,檔案,服務啟動,很容易被比如x60之類軟體攔截,許多殺軟也比較看重登錄檔。

  4. 檔案駐留問題,駐留在系統很容易被取到樣本檔案,也會導致木馬本身生存週期變短。

  5. 檔案操作問題,所有功能都集中在了一起,很容易被識別為木馬檔案。

  暫時性的解決措施:

  1. 遠控傳輸協議採用公鑰方式加密,檔案生成時可選擇偽造某種可信軟體報文方式。

  2. 在檔案特徵上,採用金鑰方式分段加密,記憶體分段解密執行後刪除上一次操作記錄,靜動互動+加密模式對抗特徵捕獲。

  3. 載入方式採用非登錄檔載入,注入硬體核心驅動檔案載入。

  4. 系統只駐留主要支援檔案,或者完全靠注入後文件操作。

  5. 功能檔案採用外掛方式,用完即刪,即使被捕獲也很難被分析認定為木馬。

  未解決的問題:

  源頭/ip地址很容易被偵查員捕獲的問題,採用私有云,p2p方式待實踐。

  只有更新的木馬/黑客技術才能促進整體的安全進步。