關(guān)于下一代遠(yuǎn)程控制木馬的思路探討

　　今天學(xué)習(xí)啦小編要跟大家講解下下一代遠(yuǎn)程控制木馬的思路，下面就是學(xué)習(xí)啦小編為大家整理到的資料，請(qǐng)大家認(rèn)真看看!

　　下一代遠(yuǎn)程控制木馬的思路探討

　　傳統(tǒng)意義上的遠(yuǎn)程控制木馬由于適用面不廣,使用比較單一,只注重功能不注重一些安全上的問(wèn)題,出現(xiàn)過(guò)的事故就有:

　　1.控制者被反查

　　2.控制者機(jī)器被利用文件下載上傳文件反控

　　3.相關(guān)黑客被殺

　　4.抓雞黑客被網(wǎng)警追捕

　　5.主要成員被國(guó)際通緝 等等。

　　傳統(tǒng)的遠(yuǎn)程控制木馬

　　最初

　　1. 大多使用tcp協(xié)議作為其主要通信協(xié)議,沒(méi)有采用對(duì)應(yīng)的加密措施。

　　2. 木馬文件經(jīng)過(guò)加殼或者沒(méi)有加殼,可輕易被分析出特征碼。

　　3. 相關(guān)功能都被整合到了一起,免殺時(shí)間短。

　　4. 不穩(wěn)定性,遇到復(fù)雜的網(wǎng)絡(luò)環(huán)境可能存在上線難的問(wèn)題。

　　5. 上線采用動(dòng)態(tài)域名,經(jīng)過(guò)不可靠第三方中轉(zhuǎn)信息可被輕易攔截或者偽造。

　　6. 大多采用注冊(cè)表啟動(dòng)或者注冊(cè)服務(wù)啟動(dòng),少有修改文件方式。

　　7. 存在可執(zhí)行文件,dll,sys,啟動(dòng)方式大多采用獨(dú)立啟動(dòng),沒(méi)有或者少有文件感染,進(jìn)程注入。

　　8. 種馬感染方式單一,大多采用網(wǎng)絡(luò)傳輸方式感染。

　　9. 駐留方式單一,大多是駐留在系統(tǒng)。不存在反沙盒分析功能。

　　10. 大多是c/s結(jié)構(gòu),即client/server。木馬文件普遍較大。

　　后來(lái)

　　1. 除了tcp木馬之外出現(xiàn)了udp木馬,但依然沒(méi)有采取加密措施。

　　2. 木馬在原有加殼基礎(chǔ)之上,開(kāi)始出現(xiàn)了自寫(xiě)殼,反調(diào)試等反分析措施。

　　3. 由原來(lái)的整合到一起開(kāi)始出現(xiàn)了生成器/控制端的模式,免殺時(shí)間稍微變長(zhǎng)。

　　4. 上線開(kāi)始出現(xiàn)了多種上線模式,出現(xiàn)了網(wǎng)站空間上線、FTP上線、數(shù)據(jù)庫(kù)上線。

　　5. 穩(wěn)定性變強(qiáng)。出現(xiàn)了反彈上線木馬。

　　6. 開(kāi)始出現(xiàn)修改系統(tǒng)文件,修改服務(wù)啟動(dòng)方式隱藏自身。

　　7. 開(kāi)始出現(xiàn)了迷你版本木馬,出現(xiàn)了無(wú)進(jìn)程,文件感染,進(jìn)程注入技術(shù)應(yīng)用。

　　8. 出現(xiàn)了多種感染方式,木馬本身在感染母體后出現(xiàn)了感染移動(dòng)設(shè)備的情況。

　　9. 開(kāi)始出現(xiàn)了駐留bios,感染映像文件木馬。依然不存在反沙盒分析能力。

　　10. 出現(xiàn)了b/s,即瀏覽器/服務(wù)器模式交互通信木馬。穩(wěn)定性變強(qiáng)。文件比起上一代變小了一些。

　　現(xiàn)在

　　1. 除了tcp,udp木馬之外,開(kāi)始出現(xiàn)了https,ssl木馬,但本身還是會(huì)被抓到木馬原型。

　　2. 木馬在原有加殼,自寫(xiě)殼,反調(diào)試基礎(chǔ)之上,出現(xiàn)了shellcode木馬,dll木馬,純進(jìn)制文件靠其他文件加載木馬。

　　3. 由原來(lái)的生成器/控制端模式開(kāi)始出現(xiàn)了模塊化木馬,抗分析,免殺能力變強(qiáng)。

　　4. 上線由原來(lái)的單一上線模式出現(xiàn)了支持混合協(xié)議上線模式木馬,一個(gè)服務(wù)器被封，可保持被控者依然不掉。

　　5. 穩(wěn)定性在原有基礎(chǔ)之上變得更強(qiáng),除了反彈上線之外,出現(xiàn)了依靠其他服務(wù)上線木馬。

　　6. 除了原來(lái)的修改、感染文件方式之外，出現(xiàn)了感染聲卡，感染網(wǎng)卡方式。

　　7. 除了無(wú)進(jìn)程之外，出現(xiàn)了無(wú)文件，無(wú)端口端口木馬技術(shù)應(yīng)用。

　　8. 除了感染移動(dòng)設(shè)備外，出現(xiàn)了跨平臺(tái)感染木馬，內(nèi)網(wǎng)感染木馬，會(huì)感染比如智能交易終端之類(lèi)的設(shè)備。

　　9. 出現(xiàn)了反內(nèi)存分析、文件定時(shí)自動(dòng)變異木馬，會(huì)給分析帶來(lái)一定難度。

　　10.出現(xiàn)了混合控制方式木馬，可以b/s也可以c/s。

　　11.由原來(lái)的從vc/delphi/vb之類(lèi)的語(yǔ)言編寫(xiě)的遠(yuǎn)控木馬開(kāi)始出現(xiàn)了腳本編寫(xiě)的遠(yuǎn)控木馬程序。體積更小，方式更加隱蔽。

　　目前面臨的問(wèn)題。

　　1. 遠(yuǎn)控傳輸協(xié)議的問(wèn)題,沒(méi)有好的加密協(xié)議很容易出現(xiàn)通信被攔截/偽造問(wèn)題,給自己帶來(lái)危險(xiǎn)。一些防火墻設(shè)備也可以輕易攔截通信。

　　2. 遠(yuǎn)控的免殺問(wèn)題,傳統(tǒng)的木馬很容易在取到特征后就被殺毒軟件查殺,一直沒(méi)有出現(xiàn)好的反殺毒軟件思路。

　　3. 啟動(dòng)加載方式問(wèn)題,傳統(tǒng)的比如注冊(cè)表，文件，服務(wù)啟動(dòng)，很容易被比如(x60之類(lèi))軟件攔截,許多殺軟也比較看重注冊(cè)表。

　　4. 文件駐留問(wèn)題,駐留在系統(tǒng)很容易被取到樣本文件,也會(huì)導(dǎo)致木馬本身生存周期變短。

　　5. 文件操作問(wèn)題，所有功能都集中在了一起，很容易被識(shí)別為木馬文件。

　　暫時(shí)性的解決措施：

　　1. 遠(yuǎn)控傳輸協(xié)議采用公鑰方式加密,文件生成時(shí)可選擇偽造某種可信軟件報(bào)文方式。

　　2. 在文件特征上,采用密鑰方式分段加密,內(nèi)存分段解密運(yùn)行后刪除上一次操作記錄,靜動(dòng)交互+加密模式對(duì)抗特征捕獲。

　　3. 加載方式采用非注冊(cè)表加載，注入硬件核心驅(qū)動(dòng)文件加載。

　　4. 系統(tǒng)只駐留主要支持文件，或者完全靠注入后文件操作。

　　5. 功能文件采用插件方式,用完即刪,即使被捕獲也很難被分析認(rèn)定為木馬。

　　未解決的問(wèn)題:

　　源頭/ip地址很容易被偵查員捕獲的問(wèn)題,采用私有云,p2p方式待實(shí)踐。

　　只有更新的木馬/黑客技術(shù)才能促進(jìn)整體的安全進(jìn)步。