传统意义上的远程控制木马由于适用面不广,使用比较单一,只注重功能不注重一些安全上的问题,出现过的事故就有: 1.控制者被反查 2.控制者机器被利用文件下载上传文件反控 3.相关黑客被杀 4.抓鸡黑客被网警追捕 5.主要成员被国际通缉 等等。
传统的远程控制木马
最初
1. 大多使用tcp协议作为其主要通信协议,没有采用对应的加密措施。
2. 木马文件经过加壳或者没有加壳,可轻易被分析出特征码。
3. 相关功能都被整合到了一起,免杀时间短。
4. 不稳定性,遇到复杂的网络环境可能存在上线难的问题。
5. 上线采用动态域名,经过不可靠第三方中转信息可被轻易拦截或者伪造。
6. 大多采用注册表启动或者注册服务启动,少有修改文件方式。
7. 存在可执行文件,dll,sys,启动方式大多采用独立启动,没有或者少有文件感染,进程注入。
8. 种马感染方式单一,大多采用网络传输方式感染。
9. 驻留方式单一,大多是驻留在系统。不存在反沙盒分析功能。
10. 大多是c/s结构,即client/server。木马文件普遍较大。
后来
1. 除了tcp木马之外出现了udp木马,但依然没有采取加密措施。
2. 木马在原有加壳基础之上,开始出现了自写壳,反调试等反分析措施。
3. 由原来的整合到一起开始出现了生成器/控制端的模式,免杀时间稍微变长。
4. 上线开始出现了多种上线模式,出现了网站空间上线、FTP上线、数据库上线。
5. 稳定性变强。出现了反弹上线木马。
6. 开始出现修改系统文件,修改服务启动方式隐藏自身。
7. 开始出现了迷你版本木马,出现了无进程,文件感染,进程注入技术应用。
8. 出现了多种感染方式,木马本身在感染母体后出现了感染移动设备的情况。
9. 开始出现了驻留bios,感染映像文件木马。依然不存在反沙盒分析能力。
10. 出现了b/s,即浏览器/服务器模式交互通信木马。稳定性变强。文件比起上一代变小了一些。
现在
1. 除了tcp,udp木马之外,开始出现了https,ssl木马,但本身还是会被抓到木马原型。
2. 木马在原有加壳,自写壳,反调试基础之上,出现了shellcode木马,dll木马,纯进制文件靠其他文件加载木马。
3. 由原来的生成器/控制端模式开始出现了模块化木马,抗分析,免杀能力变强。
4. 上线由原来的单一上线模式出现了支持混合协议上线模式木马,一个服务器被封,可保持被控者依然不掉。
5. 稳定性在原有基础之上变得更强,除了反弹上线之外,出现了依靠其他服务上线木马。
6. 除了原来的修改、感染文件方式之外,出现了感染声卡,感染网卡方式。
7. 除了无进程之外,出现了无文件,无端口端口木马技术应用。
8. 除了感染移动设备外,出现了跨平台感染木马,内网感染木马,会感染比如智能交易终端之类的设备。
9. 出现了反内存分析、文件定时自动变异木马,会给分析带来一定难度。
10.出现了混合控制方式木马,可以b/s也可以c/s。
11.由原来的从vc/delphi/vb之类的语言编写的远控木马开始出现了脚本编写的远控木马程序。体积更小,方式更加隐蔽。
目前面临的问题。
1. 远控传输协议的问题,没有好的加密协议很容易出现通信被拦截/伪造问题,给自己带来危险。一些防火墙设备也可以轻易拦截通信。
2. 远控的免杀问题,传统的木马很容易在取到特征后就被杀毒软件查杀,一直没有出现好的反杀毒软件思路。
3. 启动加载方式问题,传统的比如注册表,文件,服务启动,很容易被比如(x60之类)软件拦截,许多杀软也比较看重注册表。
4. 文件驻留问题,驻留在系统很容易被取到样本文件,也会导致木马本身生存周期变短。
5. 文件操作问题,所有功能都集中在了一起,很容易被识别为木马文件。
暂时性的解决措施:
1. 远控传输协议采用公钥方式加密,文件生成时可选择伪造某种可信软件报文方式。
2. 在文件特征上,采用密钥方式分段加密,内存分段解密运行后删除上一次操作记录,静动交互+加密模式对抗特征捕获。
3. 加载方式采用非注册表加载,注入硬件核心驱动文件加载。
4. 系统只驻留主要支持文件,或者完全靠注入后文件操作。
5. 功能文件采用插件方式,用完即删,即使被捕获也很难被分析认定为木马。
未解决的问题:
源头/ip地址很容易被侦查员捕获的问题,采用私有云,p2p方式待实践。
只有更新的木马/黑客技术才能促进整体的安全进步。
-
test23相关黑客被杀 ?太可怕了,求爆料
-
解语忘忧:?: 说了半天感觉还基本已经被实现的功能。。
传输协议伪造这个早就有了
不过现在很多的HTTP协议老鼠只能说是伪HTTP协议连个HTTP头都不给伪造全你当杀软是白痴啊
文件加密内存解密运行这个现在不都在用么而且还有内存查杀 所以多态变形大法好
个人感觉国内的老鼠制作水平大体依旧停留在以前
低端市场还停留在改Gh0st的开源代码跟灰鸽子的逆向开源代码上面。。。
高端市场也基本没有啥新颖的技术革新了吧
另外就是编程语言选择方面个人觉得以后ShellCode马会不值钱
由于Delphi编译器的特性F9一键Dump出ShellCode简直不要太轻松
在原有的代码上几乎0成本的就可以一键Dump出ShellCode了就是体积会比非一键的大一点点
所以来跟我诚念 Delphi大法好
哦对了 文件感染这个。。。盲目感染不可取那样只会加快你对主机控制权的丢失以及缩短免杀周期
事先打探好定点感染指定的文件才能更隐秘 而且有些程序有自我保护 被感染会后弹框提示说文件被修改。。。
:sad: 本来有很多想法但是最近阴虚内火的厉害忘词了ORZ
Delphi大法好 ShellCode大法好 多态变形大法好 顺便膜拜下女王大人(Anskya) -
正恩夫人,辛苦了,晚上翻你的牌子。
不容错过
- 端午“擒马”记:黑产是如何强刷用户银行卡8.1万元的?豆芽菜2016-06-13
- 监控网络流量?支付宝安全控件“附赠”的可疑进程fu4k2014-08-02
- 《通天神偷》之溜进某电力公司服务器饭团君2016-06-03
- 以色列公司开发新型监控系统,可窃听全球手机饭团君2016-06-08
0daybank
已有 36 条评论
夫人,辛苦了,晚上翻你的牌子。
相关黑客被杀 ?太可怕了,求爆料
说了半天感觉还基本已经被实现的功能。。
传输协议伪造这个早就有了
不过现在很多的HTTP协议老鼠只能说是伪HTTP协议连个HTTP头都不给伪造全你当杀软是白痴啊
文件加密内存解密运行这个现在不都在用么而且还有内存查杀 所以多态变形大法好
个人感觉国内的老鼠制作水平大体依旧停留在以前
低端市场还停留在改Gh0st的开源代码跟灰鸽子的逆向开源代码上面。。。
高端市场也基本没有啥新颖的技术革新了吧
另外就是编程语言选择方面个人觉得以后ShellCode马会不值钱
由于Delphi编译器的特性F9一键Dump出ShellCode简直不要太轻松
在原有的代码上几乎0成本的就可以一键Dump出ShellCode了就是体积会比非一键的大一点点
所以来跟我诚念 Delphi大法好
哦对了 文件感染这个。。。盲目感染不可取那样只会加快你对主机控制权的丢失以及缩短免杀周期
事先打探好定点感染指定的文件才能更隐秘 而且有些程序有自我保护 被感染会后弹框提示说文件被修改。。。
本来有很多想法但是最近阴虚内火的厉害忘词了ORZ
Delphi大法好 ShellCode大法好 多态变形大法好 顺便膜拜下女王大人(Anskya)
@解语忘忧 关于 Delphi编译器的特性F9一键Dump出ShellCode 挺有兴趣的?能否私聊?
@K 纯API写程序然后自己做个GetKernel
function start;
GetKernel
……..
you code
function end;
size = DWORD(@end) – DWORD(@start);
save(PByte(@start)^, size);
就这样然后ShellCode调用的API都得动态加载
Anskya翻译了一款ShellCode的生成引擎比这么写更方便都不用自己处理API加载直接引擎就处理了
@解语忘忧 要是采用私有云的方式控制呢? 上线后的机器加入云服务列表,在云组的任何机器都可以控制,文件加密解密运行,以前是完全文件加密解密运行,要是分段,分步骤呢?运行完删除上一次操作记录呢? 多态变形,定时比较好。 感染一次改变一次特征还是有可能被识别,不定时变形呢? 低端市场确实还是停留在改上。 shellcode木马现在已经太多。。
感染上面,兄台有何高见? 我说的这些,都是在驻留文件,不存在任何恶意功能,任何跟其他远程控制软件相同特征的前提之下,主要驻留程序只承担一个接口中转的功能
@白头山 细说一下,文件操作上面,本身就是一个个很小的插件,使用时才被上传到远程,在分段加密解密运行的基础之上,程序带有一个密钥,本身独立文件被识别为恶意就不容易,再加上有变形,有加密,还有密钥,杀软有沙盒,要是跑的话,就一个功能,他也不能说这是恶意,因为不符合A.B.C条件,我带了密钥,杀软是带了沙盒分析,但是他总不会爆破我的密钥吧?
@解语忘忧 其实不仅仅是Delphi可以一键F9 VC++也可以。就是看怎么处理全局重定位数据。结构体指针大法好 结构体指针大法好。。。
卤猪你是在造么- -
求大神接着补充
2. 在文件特征上,采用密钥方式分段加密,内存分段解密运行后删除上一次操作记录,静动交互+加密模式对抗特征捕获。
话说。。你这个解密代码就没特征了???解密这个组件所在的exe或者dll就没有特征了??对抗特征还是得混淆才行。
代表360水军,金山,腾讯读霸,百度卫视,xx管家发来贺电。
想得很多,就是没有产品出现
@tets 产品早就有,这些对大牛来说也不是什么难事,因为某些原因,不会公开程序或者代码。
freebuf有什么牛人,有好的思路,都说一下吧。
说了这么多,无非是要找一种pia的一下就干掉所有杀毒软件的方法。何不想一种能控制键盘的方法呢,永久后门。
下一代木马指的是rootkit吗?
@LittleHann 需要加载驱动才能完成的东西以后会越来越难生存个人感觉
现在安软对驱动加载的动作看的太严像逗逼数字你不在白名单压根就不给你加载。。
漏了几个吧
1.伪装协议 dns icmp 这些来穿墙
2.隐蔽通信协议封装 比如tor
3.p2p模式 利用Gmail Bt IRC sky…
4.反编译杀软底层 通过Hook 阻止病毒拦截 或者利用api直接添加入白名单
(杀软研究着病毒 人家也研究着杀软 这是相对的)
5.根据杀软扫描引擎fuzz出的溢出0day
注意的是以上的都已实现 百度都能下到p2p远控了 0day都在地下
还有lz说的启动项其实并不困难
比如某品牌机的驱动就有有各种莫名其妙的启动项 可以利用很多 甚至杀软本身也存在后门不详谈
设计远控 本地和远程怎么做都是其次功能免杀加密启动可以慢慢根据研究成果添加
只有通信框架才是关键 我认为类似tor多重加密封装网络匿名架构 将成为未来趋势
怎么通信将决定病毒的形态
当然还有冷门通信的就是利用移动介质 在不联网的设备间传递数据
比如CEO办公室的电脑可不常开着也未必联网
或者工控设备的COM口
甚至有利用警告灯光和红外设备 麦克风…
一些技术虽然早已利用 但在未成熟之前 一切都将可能成为未来
@anlfi 0day的成本略高啊..而且封杀的也快。。
DNS ICMP的现在也已经开始流行起来了
P2P的现在还没见怎么有人用至少我是没见- -!
@解语忘忧 我怎么见到处都是?
@解语忘忧 p2p conficker
撸主,你这个是哪款的界面?
很详细
金日成综合大学原子能分析所核武器研发与生化防卫作战处负责人兼主席夫人 ,,,好屌!
下一代木马就是我把你家网线剪了,装个过滤器在中间!
下一代木马就不是被动等着被杀,而是主动干掉杀毒软件!
下一代木马就是偏硬件级木马!
现在:
1. 通讯正常化,常规化,动态适配化
2. 文件零散化,僵尸化
3. 功能单一化,不涉及反 ,逆,感染
4. 启动系统化,不依赖三方
5. 功能代码搭配实际进程,放大化
3.相关黑客被杀。。。。。。我看的惊呆了
寄生木马 远程木马 的时代没过啊 中国会一步一步进步的
设计远控 本地和远程怎么做都是其次功能免杀加密启动可以慢慢根据研究成果添加
只有通信框架才是关键 @anlfi 。。觉得这个是整篇的关键啊。。后面的tor什么的 没怎么实际接触。。不过如果特征很明显应该还是不太好吧。。还是伪装成常用应用层协议伪装的好才是王道。另外。。用c写shellcode也一样方便吧。。freebuf上不是发布过。。idc翻译的c写shellcode的。。
实践是检验真理的唯一标准,而实践要看需求和方向,所以不能一概而论来说木马的功能和设计方案;再者,用什么语言不是关键的,个人精力和喜好而已;做定向,简单最好;做主控,稳隐最好。
集思广益好,考虑多了,复杂了,体积大,适合使用才是关键。
变形是必须,反反汇编,反调试也是必须的,延长使用期限,后期免杀也简单。
尽量隐蔽是必须的,权限与环境有时候无法做隐藏,伪装也是个办法。
趋势1启动方式模版化
趋势2协议支持多样化
趋势3加密协议私人化
3.相关黑客被杀。。。
木马只有2个用户群体(被感染的)
1.菜B
2,大牛
对于菜B,你就直接服务启动,只要不要随时乱弹小框框,不被杀,那就是不死的存在。
对于大牛,只要别引起人家怀疑,一般牛的直接嗅探抓包把你抓出来,再不济封你IP总会。
再牛逼点的直接丢VM调试死你。
最重要的还是通信加密和模块化,把自己隐蔽成合法程序
面临的问题已解决
不吹牛B又不会怀孕,gmail,skype走这些协义的木马,至少目前我还没有看到过,
高深的隐藏技术谁没想过?讲了这儿多屁话,有什么实际意义吗?没有实际demo,poc,不要讲J8废话……