远程控制木马
FB招聘站
分类阅读
专栏
公开课
FIT 2019
企业服务
用户服务
搜索
投稿
登录
注册
下一代远程控制木马的思路探讨 李雪主2014-08-22金币奖励+9共582303人围观 ,发现 36 个不明物体 系统安全
传统意义上的远程控制木马由于适用面不广,使用比较单一,只注重功能不注重一些安全上的问题,出现过的事故就有: 1.控制者被反查 2.控制者机器被利用文件下载上传文件反控 3.相关黑客被杀 4.抓鸡黑客被网警追捕 5.主要成员被国际通缉 等等。
01300000234385122156855389633.jpg
传统的远程控制木马
最初
1. 大多使用tcp协议作为其主要通信协议,没有采用对应的加密措施。
2. 木马文件经过加壳或者没有加壳,可轻易被分析出特征码。
3. 相关功能都被整合到了一起,免杀时间短。
4. 不稳定性,遇到复杂的网络环境可能存在上线难的问题。
5. 上线采用动态域名,经过不可靠第三方中转信息可被轻易拦截或者伪造。
6. 大多采用注册表启动或者注册服务启动,少有修改文件方式。
7. 存在可执行文件,dll,sys,启动方式大多采用独立启动,没有或者少有文件感染,进程注入。
8. 种马感染方式单一,大多采用网络传输方式感染。
9. 驻留方式单一,大多是驻留在系统。不存在反沙盒分析功能。
10. 大多是c/s结构,即client/server。木马文件普遍较大。
后来
1. 除了tcp木马之外出现了udp木马,但依然没有采取加密措施。
2. 木马在原有加壳基础之上,开始出现了自写壳,反调试等反分析措施。
3. 由原来的整合到一起开始出现了生成器/控制端的模式,免杀时间稍微变长。
4. 上线开始出现了多种上线模式,出现了网站空间上线、FTP上线、数据库上线。
5. 稳定性变强。出现了反弹上线木马。
6. 开始出现修改系统文件,修改服务启动方式隐藏自身。
7. 开始出现了迷你版本木马,出现了无进程,文件感染,进程注入技术应用。
8. 出现了多种感染方式,木马本身在感染母体后出现了感染移动设备的情况。
9. 开始出现了驻留bios,感染映像文件木马。依然不存在反沙盒分析能力。
10. 出现了b/s,即浏览器/服务器模式交互通信木马。稳定性变强。文件比起上一代变小了一些。
现在
1. 除了tcp,udp木马之外,开始出现了https,ssl木马,但本身还是会被抓到木马原型。
2. 木马在原有加壳,自写壳,反调试基础之上,出现了shellcode木马,dll木马,纯进制文件靠其他文件加载木马。
3. 由原来的生成器/控制端模式开始出现了模块化木马,抗分析,免杀能力变强。
4. 上线由原来的单一上线模式出现了支持混合协议上线模式木马,一个服务器被封,可保持被控者依然不掉。
5. 稳定性在原有基础之上变得更强,除了反弹上线之外,出现了依靠其他服务上线木马。
6. 除了原来的修改、感染文件方式之外,出现了感染声卡,感染网卡方式。
7. 除了无进程之外,出现了无文件,无端口端口木马技术应用。
8. 除了感染移动设备外,出现了跨平台感染木马,内网感染木马,会感染比如智能交易终端之类的设备。
9. 出现了反内存分析、文件定时自动变异木马,会给分析带来一定难度。
10.出现了混合控制方式木马,可以b/s也可以c/s。
11.由原来的从vc/delphi/vb之类的语言编写的远控木马开始出现了脚本编写的远控木马程序。体积更小,方式更加隐蔽。
目前面临的问题。
1. 远控传输协议的问题,没有好的加密协议很容易出现通信被拦截/伪造问题,给自己带来危险。一些防火墙设备也可以轻易拦截通信。
2. 远控的免杀问题,传统的木马很容易在取到特征后就被杀毒软件查杀,一直没有出现好的反杀毒软件思路。
3. 启动加载方式问题,传统的比如注册表,文件,服务启动,很容易被比如(x60之类)软件拦截,许多杀软也比较看重注册表。
4. 文件驻留问题,驻留在系统很容易被取到样本文件,也会导致木马本身生存周期变短。
5. 文件操作问题,所有功能都集中在了一起,很容易被识别为木马文件。
暂时性的解决措施:
1. 远控传输协议采用公钥方式加密,文件生成时可选择伪造某种可信软件报文方式。
2. 在文件特征上,采用密钥方式分段加密,内存分段解密运行后删除上一次操作记录,静动交互+加密模式对抗特征捕获。
3. 加载方式采用非注册表加载,注入硬件核心驱动文件加载。
4. 系统只驻留主要支持文件,或者完全靠注入后文件操作。
5. 功能文件采用插件方式,用完即删,即使被捕获也很难被分析认定为木马。
未解决的问题:
源头/ip地址很容易被侦查员捕获的问题,采用私有云,p2p方式待实践。
只有更新的木马/黑客技术才能促进整体的安全进步。
李雪主
1 篇文章
等级: 2级
||
上一篇:ossec tips – 让报警显示ip所在地下一篇:CloudFlare:香港PopVote史无前例DDoS攻击事件全解析
这些评论亮了
test23 回复
相关黑客被杀 ?太可怕了,求爆料
)51(亮了
解语忘忧 回复
:?: 说了半天感觉还基本已经被实现的功能。。
传输协议伪造这个早就有了
不过现在很多的HTTP协议老鼠只能说是伪HTTP协议连个HTTP头都不给伪造全你当杀软是白痴啊
文件加密内存解密运行这个现在不都在用么而且还有内存查杀 所以多态变形大法好
个人感觉国内的老鼠制作水平大体依旧停留在以前
低端市场还停留在改Gh0st的开源代码跟灰鸽子的逆向开源代码上面。。。
高端市场也基本没有啥新颖的技术革新了吧
另外就是编程语言选择方面个人觉得以后ShellCode马会不值钱
由于Delphi编译器的特性F9一键Dump出ShellCode简直不要太轻松
在原有的代码上几乎0成本的就可以一键Dump出ShellCode了就是体积会比非一键的大一点点
所以来跟我诚念 Delphi大法好
哦对了 文件感染这个。。。盲目感染不可取那样只会加快你对主机控制权的丢失以及缩短免杀周期
事先打探好定点感染指定的文件才能更隐秘 而且有些程序有自我保护 被感染会后弹框提示说文件被修改。。。
:sad: 本来有很多想法但是最近阴虚内火的厉害忘词了ORZ
Delphi大法好 ShellCode大法好 多态变形大法好 顺便膜拜下女王大人(Anskya)
)28(亮了
正恩 回复
夫人,辛苦了,晚上翻你的牌子。
)19(亮了
马小罗 回复
高深的隐藏技术谁没想过?讲了这儿多屁话,有什么实际意义吗?没有实际demo,poc,不要讲J8废话……
)9(亮了
发表评论已有 36 条评论
正恩 2014-08-22回复 1楼
夫人,辛苦了,晚上翻你的牌子。
亮了(19)
test23 2014-08-22回复 2楼
相关黑客被杀 ?太可怕了,求爆料
亮了(51)
解语忘忧 2014-08-22回复 3楼
:?: 说了半天感觉还基本已经被实现的功能。。
传输协议伪造这个早就有了
不过现在很多的HTTP协议老鼠只能说是伪HTTP协议连个HTTP头都不给伪造全你当杀软是白痴啊
文件加密内存解密运行这个现在不都在用么而且还有内存查杀 所以多态变形大法好
个人感觉国内的老鼠制作水平大体依旧停留在以前
低端市场还停留在改Gh0st的开源代码跟灰鸽子的逆向开源代码上面。。。
高端市场也基本没有啥新颖的技术革新了吧
另外就是编程语言选择方面个人觉得以后ShellCode马会不值钱
由于Delphi编译器的特性F9一键Dump出ShellCode简直不要太轻松
在原有的代码上几乎0成本的就可以一键Dump出ShellCode了就是体积会比非一键的大一点点
所以来跟我诚念 Delphi大法好
哦对了 文件感染这个。。。盲目感染不可取那样只会加快你对主机控制权的丢失以及缩短免杀周期
事先打探好定点感染指定的文件才能更隐秘 而且有些程序有自我保护 被感染会后弹框提示说文件被修改。。。
:sad: 本来有很多想法但是最近阴虚内火的厉害忘词了ORZ
Delphi大法好 ShellCode大法好 多态变形大法好 顺便膜拜下女王大人(Anskya)
亮了(28)
K (1级) 2014-08-22回复
@解语忘忧 关于 Delphi编译器的特性F9一键Dump出ShellCode 挺有兴趣的?能否私聊?
亮了(0)
解语忘忧 2014-08-22回复
@K 纯API写程序然后自己做个GetKernel
function start;
GetKernel
……..
you code
function end;
size = DWORD(@end) – DWORD(@start);
save(PByte(@start)^, size);
就这样然后ShellCode调用的API都得动态加载
Anskya翻译了一款ShellCode的生成引擎比这么写更方便都不用自己处理API加载直接引擎就处理了
亮了(1)
白头山 (1级) 2014-08-22回复
@解语忘忧 要是采用私有云的方式控制呢? 上线后的机器加入云服务列表,在云组的任何机器都可以控制,文件加密解密运行,以前是完全文件加密解密运行,要是分段,分步骤呢?运行完删除上一次操作记录呢? 多态变形,定时比较好。 感染一次改变一次特征还是有可能被识别,不定时变形呢? 低端市场确实还是停留在改上。 shellcode木马现在已经太多。。
感染上面,兄台有何高见? 我说的这些,都是在驻留文件,不存在任何恶意功能,任何跟其他远程控制软件相同特征的前提之下,主要驻留程序只承担一个接口中转的功能
亮了(0)
白头山 (1级) 2014-08-22回复
@白头山 细说一下,文件操作上面,本身就是一个个很小的插件,使用时才被上传到远程,在分段加密解密运行的基础之上,程序带有一个密钥,本身独立文件被识别为恶意就不容易,再加上有变形,有加密,还有密钥,杀软有沙盒,要是跑的话,就一个功能,他也不能说这是恶意,因为不符合A.B.C条件,我带了密钥,杀软是带了沙盒分析,但是他总不会爆破我的密钥吧?
亮了(0)
Sandman☭ (3级) 2014-08-22回复
@解语忘忧 其实不仅仅是Delphi可以一键F9 VC++也可以。就是看怎么处理全局重定位数据。结构体指针大法好 结构体指针大法好。。。
亮了(3)
KK 2014-08-22回复 4楼
卤猪你是在造么- -
亮了(0)
啊啊啊 ..啊.... 2014-08-22回复 5楼
求大神接着补充
亮了(0)
游客 2014-08-22回复 6楼
2. 在文件特征上,采用密钥方式分段加密,内存分段解密运行后删除上一次操作记录,静动交互+加密模式对抗特征捕获。
话说。。你这个解密代码就没特征了???解密这个组件所在的exe或者dll就没有特征了??对抗特征还是得混淆才行。
亮了(0)
Halo 2014-08-22回复 7楼
代表360水军,金山,腾讯读霸,百度卫视,xx管家发来贺电。
亮了(3)
tets 2014-08-22回复 8楼
想得很多,就是没有产品出现
亮了(0)
白头山 (1级) 2014-08-22回复
@tets 产品早就有,这些对大牛来说也不是什么难事,因为某些原因,不会公开程序或者代码。
亮了(1)
白头山 (1级) 2014-08-22回复 9楼
freebuf有什么牛人,有好的思路,都说一下吧。
亮了(0)
游族安全团队 2014-08-22回复 10楼
说了这么多,无非是要找一种pia的一下就干掉所有杀毒软件的方法。何不想一种能控制键盘的方法呢,永久后门。
亮了(3)
LittleHann 认证作者(5级) 阿里巴巴安全工程师 2014-08-22回复 11楼
下一代木马指的是rootkit吗?
亮了(1)
解语忘忧 2014-08-22回复
@LittleHann 需要加载驱动才能完成的东西以后会越来越难生存个人感觉
现在安软对驱动加载的动作看的太严像逗逼数字你不在白名单压根就不给你加载。。
亮了(0)
anlfi (5级) 2014-08-22回复 12楼
漏了几个吧
1.伪装协议 dns icmp 这些来穿墙
2.隐蔽通信协议封装 比如tor
3.p2p模式 利用Gmail Bt IRC sky…
4.反编译杀软底层 通过Hook 阻止病毒拦截 或者利用api直接添加入白名单
(杀软研究着病毒 人家也研究着杀软 这是相对的)
5.根据杀软扫描引擎fuzz出的溢出0day
注意的是以上的都已实现 百度都能下到p2p远控了 0day都在地下
还有lz说的启动项其实并不困难
比如某品牌机的驱动就有有各种莫名其妙的启动项 可以利用很多 甚至杀软本身也存在后门不详谈
设计远控 本地和远程怎么做都是其次功能免杀加密启动可以慢慢根据研究成果添加
只有通信框架才是关键 我认为类似tor多重加密封装网络匿名架构 将成为未来趋势
怎么通信将决定病毒的形态
当然还有冷门通信的就是利用移动介质 在不联网的设备间传递数据
比如CEO办公室的电脑可不常开着也未必联网
或者工控设备的COM口
甚至有利用警告灯光和红外设备 麦克风…
一些技术虽然早已利用 但在未成熟之前 一切都将可能成为未来
亮了(3)
解语忘忧 2014-08-22回复
@anlfi 0day的成本略高啊..而且封杀的也快。。
DNS ICMP的现在也已经开始流行起来了
P2P的现在还没见怎么有人用至少我是没见- -!
亮了(0)
hehe 2014-08-23回复
@解语忘忧 我怎么见到处都是?
亮了(0)
xt9 2014-08-26回复
@解语忘忧 p2p conficker
亮了(0)
Raytheon (1级) 2014-08-22回复 13楼
撸主,你这个是哪款的界面?
亮了(1)
gbm (2级) GOD BLESS ME 2014-08-22回复 14楼
很详细
亮了(1)
__stdcall (1级) 黑客防线 2014-08-22回复 15楼
金日成综合大学原子能分析所核武器研发与生化防卫作战处负责人兼主席夫人 ,,,好屌!
下一代木马就是我把你家网线剪了,装个过滤器在中间!
下一代木马就不是被动等着被杀,而是主动干掉杀毒软件!
下一代木马就是偏硬件级木马!
亮了(1)
xx00 (1级) 2014-08-22回复 16楼
现在:
1. 通讯正常化,常规化,动态适配化
2. 文件零散化,僵尸化
3. 功能单一化,不涉及反 ,逆,感染
4. 启动系统化,不依赖三方
5. 功能代码搭配实际进程,放大化
亮了(5)
Kingdom (1级) 2014-08-22回复 17楼
3.相关黑客被杀。。。。。。我看的惊呆了
亮了(1)
www.avr8.com (1级) 2014-08-22回复 18楼
寄生木马 远程木马 的时代没过啊 中国会一步一步进步的
亮了(1)
kebugcheck2 (1级) 2014-08-23回复 19楼
设计远控 本地和远程怎么做都是其次功能免杀加密启动可以慢慢根据研究成果添加
只有通信框架才是关键 @anlfi 。。觉得这个是整篇的关键啊。。后面的tor什么的 没怎么实际接触。。不过如果特征很明显应该还是不太好吧。。还是伪装成常用应用层协议伪装的好才是王道。另外。。用c写shellcode也一样方便吧。。freebuf上不是发布过。。idc翻译的c写shellcode的。。
亮了(3)
奥巴马 2014-08-23回复 20楼
实践是检验真理的唯一标准,而实践要看需求和方向,所以不能一概而论来说木马的功能和设计方案;再者,用什么语言不是关键的,个人精力和喜好而已;做定向,简单最好;做主控,稳隐最好。
亮了(1)
whg (1级) 2014-08-23回复 21楼
集思广益好,考虑多了,复杂了,体积大,适合使用才是关键。
变形是必须,反反汇编,反调试也是必须的,延长使用期限,后期免杀也简单。
尽量隐蔽是必须的,权限与环境有时候无法做隐藏,伪装也是个办法。
趋势1启动方式模版化
趋势2协议支持多样化
趋势3加密协议私人化
亮了(4)
Flygend (2级) 2014-08-24回复 22楼
3.相关黑客被杀。。。
亮了(1)
ss 2014-08-24回复 23楼
木马只有2个用户群体(被感染的)
1.菜B
2,大牛
对于菜B,你就直接服务启动,只要不要随时乱弹小框框,不被杀,那就是不死的存在。
对于大牛,只要别引起人家怀疑,一般牛的直接嗅探抓包把你抓出来,再不济封你IP总会。
再牛逼点的直接丢VM调试死你。
最重要的还是通信加密和模块化,把自己隐蔽成合法程序
亮了(3)
Moriarty (3级) 2014-08-26回复 24楼
面临的问题已解决
亮了(0)
xxoo 2014-08-27回复 25楼
不吹牛B又不会怀孕,gmail,skype走这些协义的木马,至少目前我还没有看到过,
亮了(0)
马小罗 2014-08-27回复 26楼
高深的隐藏技术谁没想过?讲了这儿多屁话,有什么实际意义吗?没有实际demo,poc,不要讲J8废话……
亮了(9)
昵称
请输入昵称
必须您当前尚未登录。登陆?注册邮箱
请输入邮箱地址
必须(保密)表情插图
有人回复时邮件通知我
李雪主
金日成综合大学原子能分析所核武器研发与生化防卫作战处负责人兼主席夫人
1
文章数
12
评论数
最近文章
下一代远程控制木马的思路探讨
2014.08.22
浏览更多
相关阅读
师傅:攻击14家日本银行的“大师级”新型银行木马从一个锁主页木马里挖出的惊天“暗杀黑名单”利用PDF漏洞的比特币木马来袭高度可定制化的远程访问木马“Remvio”,仅售58美金“蜥蜴之尾”:长老木马四代分析报告
特别推荐
关注我们 分享每日精选文章
活动预告
11月
FreeBuf精品公开课·双11学习狂欢节 | 给努力的你打打气
已结束
10月
【16课时-连载中】挖掘CVE不是梦(系列课程2)
已结束
10月
【首节课仅需1元】挖掘CVE不是梦
已结束
9月
【已结束】自炼神兵之自动化批量刷SRC
已结束
FREEBUF免责声明协议条款关于我们加入我们广告及服务寻求报道广告合作联系我们友情链接关注我们
官方微信
新浪微博腾讯微博Twitter赞助商
Copyright © 2018 WWW.FREEBUF.COM All Rights Reserved 沪ICP备13033796号
css.php 正在加载中...0daybank
文章评论