最新文章

·糟糕原来你的电脑就是这样被木
·OSI五层模型怎么画5步详解模型
·PageAdminCMS建站系统的可视化
·苹果cms自定义快捷菜单怎么添加
·前端哪需要自己设计页面用现成
·Web前端20大新AngularJS开发

推荐文章

·Flash明年正式寿终正寝看到这些

热点文章

·Flash明年正式寿终正寝看到这些
所在的位置: html >> html介绍 >> 糟糕原来你的电脑就是这样被木马远控了

糟糕原来你的电脑就是这样被木马远控了

作者

杨秀璋,责编

夕颜

出品

CSDN博客

头图

视觉中国

这篇文章将详细讲解远控木马及APT攻击中的远控,包括木马的基本概念和分类、木马的植入方式、远控木马的通信方式、APT攻击与远控木马等。

声明:本人坚决反对利用教学方法进行犯罪的行为,一切犯罪行为必将受到严惩,绿色网络需要我们共同维护,更推荐大家了解它们背后的原理,更好地进行防护。

木马的基本概念和分类

木马全称为特洛伊木马,来源于古希腊神话。木马是通过欺骗或诱骗的方式安装,并在用户的计算机中隐藏以实现控制用户计算机的目的。

具有远程控制、信息窃取、破坏等功能的恶意代码

木马具有如下特点:

欺骗性木马都有很强的欺骗性,执行通常都由被攻击者自己执行起来的

隐藏性非授权性执行恶意操作是没有经过用户授权的交互性主机之外的攻击者可以通过某种方式对主机进行交互

接着分享木马的分类,不同视角有不同的分类。

1.行为视角

粒度细,如卡巴斯基SafeStream病毒库的分类标准。由下图所示,它是卡巴斯基整个对恶意代码分类体系,最上面的是蠕虫(Worm)和病毒(Virus),接着是后门(Backdoor)和Trojan,接着将Trojan按行为分成了很多类,最后是Rootkit和Exploit。从下往上是按照危害程度进行排序,最上面的危害程度最大、最下面的危害程度最小。

下面这张图是卡巴斯基木马的具体分类,木马分为Backdoor、Trojan、Rootkit、Exploit。按道理说,将Exploit放到木马范畴是不合适的,接着Trojan又分为Trojan-Downloader(下载)、Trojan-Dropper(释放)、Trojan-Spy(间D软件)Trojan-DDoS(拒绝服务)、Trojan-Ransom(磁盘数据加密勒索用户)等。同时,它在命名的时候会根据其行为进行分类。对于卡巴斯基来首,Backdoor包括远程控制型程序,就是这篇文章的远控型木马。

2.功能视角

包括远程控制型、信息获取型、破坏型等。

远程控制型木马远程控制可以对目标计算机进行交互性访问(实时或非实时),可以下发相应的指令触发恶意软件的功能,也能获取目标的各种数据。其交互性是双向的(攻击者-被控制端)。典型案例包括卡巴斯基分类标准下的木马之类Backdoor,还有一些实际案例,包括冰河、网络神TOU、广外女神、网络公牛、黑洞、上兴、彩虹桥、PCShare、灰鸽子等。下图展示了灰鸽子代码,其具体测试方法推荐作者前文。

信息获取型木马信息型获取木马的功能是信息获取,可以从键盘输入、内存、文件、数据库、浏览器Cookies等中获取有价值的信息。其交互性是单向交互,是被控制端发送数据给攻击者,比如发送至攻击者的第三方空间、文件服务器、指定邮箱等,或者直接开启FTP服务程序,攻击者直接访问从而下载数据。下图展示了BPK软件界面,包括屏幕截屏、信息记录等功能,并发送数据给攻击者。典型案例包括卡巴斯基分类标准下的Trojan-Bank、Trojan-GameThief、Trojan-IM、Trojan-Spy、Trojan-PSW、Trojan-Mailfinder等。

破坏性木马它的功能是对本地或远程主机系统进行数据破坏、资源消耗等。其交互性也是单向的,攻击者可以向被控制端发送指令,有的情况也没有任何交互。典型案例包括卡巴斯基分类标准下的Trojan-DDoS、Trojan-Ransom、Trojan-ArcBomb、Trojan-Downloader、Trojan-Dropper等。

木马的植入方式

木马的欺骗性很强,那么它究竟是通过什么方式去欺骗用户安装这个程序呢?常见方式如下:

网页挂MA植入通过网页挂MA实现比较典型,通常需要利用浏览器或相关漏洞,再结合实时新闻、热点话题制作相关网页,将漏洞和网页结合,最后生成恶意网页,当用户打开网页时,远程的木马程序会自动下载和安装。常见的漏洞比如:MS、MS。电子邮件植入(鱼叉攻击)电子邮件植入最常见的是通过附件的形式,当用户打开附件时被注入木马;另一种是电子邮件与恶意网页相结合,由于电子邮件是支持HTML正文的,如果将相关漏洞植入到网页中,也是能够达到相关的效果。即使不打开附件,选中就会被植入(以HTML格式发送,如求职者)

文档捆绑植入(鱼叉攻击偏多)这也是一种有效的方式,通过office文档、pdf文档漏洞等将文档进行捆绑,当用户打开文档时会触发漏洞,从而释放木马或执行shellcode执行远程攻击。这种文档同时也常用于邮件附件的形式发送。伪装欺骗植入比如可以对exe的文件后缀名进行修改,在原本一个“exe”文件前增加“doc”,然后输入很多空格让其exe不显示出来,再修改成文档类图标,从而进行伪装;另一种是更改后缀名(Unicode翻转字符),将“cod”进行翻转,再就是图标伪装等。捆绑植入EXE捆绑、文档嵌入、多媒体文件、电子书植入。在“三十六.WinRAR漏洞复现(CVE--)及恶意软件自启动劫持”文章中,我详细讲解了通过WinRAR捆绑文件的方法。

其他比如特定U盘植入(故意丢弃、或者工作U盘、数据拷贝等)、社会工程等。

在APT攻击中的恶意诱饵类型众多,包括白加黑、lnk、doc文档、带有WinRARACE(CVE--)漏洞的压缩包等,之后的攻击中还新增了伪装为word图标的可执行文件、chm文件等。比如,通过加载scrobj.dll,远程调用


转载请注明:http://www.aierlanlan.com/rzfs/2019.html

  • 上一篇文章:
    •   
  • 下一篇文章: 没有了