遠程控制木馬_關(guān)于遠控木馬你應(yīng)該了解的知識點 |今日視點

哈嘍小伙伴們 ，今天給大家科普一個小知識。在日常生活中我們或多或少的都會接觸到遠程控制木馬_關(guān)于遠控木馬你應(yīng)該了解的知識點 方面的一些說法，有的小伙伴還不是很了解，今天就給大家詳細的介紹一下關(guān)于遠程控制木馬_關(guān)于遠控木馬你應(yīng)該了解的知識點 的相關(guān)內(nèi)容。

(資料圖片僅供參考)

遠程控制木馬(關(guān)于遠程控制木馬你應(yīng)該知道的知識點)

“遙控木馬”這個詞總感覺很有年代感。作為安全行業(yè)的菜鳥，最初的啟蒙是分析各種遙控器的受控端，了解這類惡意代碼從行為到流量的發(fā)展變化。遠程控制木馬的分析在網(wǎng)上隨處可見。所以本文從個人角度總結(jié)了一些對遠程控制木馬的認識，可能有所欠缺。歡迎交流學(xué)習(xí)。

從控制端熟悉遠程控制木馬的功能。

我之一次接觸遠程控制木馬的時候，大概用過上百個遠程控制軟件的客戶端。知道一個遠程控制木馬的功能，最直接的方法就是使用它。下面以GH0ST的美化版為例:

控制終端的界面功能非常清晰。首先要做的是生成一個受控終端的程序。通常，您可以設(shè)置在線IP/域名/網(wǎng)址等。，選擇kill還是shell，選擇進程注入、服務(wù)啟動等駐留模式。有些遙控器可以設(shè)置密碼對傳輸?shù)臄?shù)據(jù)進行加密，選擇不同的圖標(biāo)等。：

這里，選擇一個XP虛擬機作為演示的受控端。受控端運行生成的exe程序后，可以在界面中看到主機。Wireshark可用于捕獲受控終端的在線流量。Gh0st遠程控制的特點是TCP流量會包含GH0ST online字符串，后面是Zlib壓縮的主機信息數(shù)據(jù):

選擇用于Gh0st遠程控制的snort的以下規(guī)則:

Gh0st的流量具有非常典型的特征。很多遙控器其實都是Gh0st源碼改的，所以一般格式都不一樣。一段識別碼+Zlib壓縮數(shù)據(jù)(你怎么知道是Zlib？zlib壓縮的頭標(biāo)是\x78\x9c)，通過這個特性可以在流量端檢測到這些遠程控制或者分析流量數(shù)據(jù)，這是目前大多數(shù)IDS/態(tài)勢感知產(chǎn)品使用的方法之一。

在控制端，你可以看到聯(lián)機的主機，然后執(zhí)行一系列的操作?；旧?，你可以在受控端做任何你想做的事情:

通過逆向理解遠程控制木馬

如果說使用它可以直觀的了解遠程控制木馬的功能，那么逆向分析就是了解這些功能是如何實現(xiàn)的(當(dāng)然源代碼分析也是一種方法)。下面是最近抓取的一個遠程控制DLL文件，作為例子簡單分析一下。發(fā)現(xiàn)此DLL文件時，它正在作為服務(wù)運行:

ServiceMain先注冊了一個窗口類“TOXHJ MYLOVE”，可恥，這個名字公然告訴大家我是木馬:

然后創(chuàng)建一個線程，遍歷整個流程，找到軟件查殺:

然后注冊服務(wù)，即在故障排除開始時看到正在運行的服務(wù)程序:

解密C&C服務(wù)器的域名“as3421363.vicp.cc”，并與域名進行通信，其中使用的API都是動態(tài)地址:

*** 常用的幾個API，如gethostbyname、connect、recv等。：

獲取主機信息，通常包括磁盤、cpu、網(wǎng)卡、系統(tǒng)版本、安裝的安全軟件等信息。在此示例中，數(shù)據(jù)也由zlib壓縮并發(fā)送:

接收控制端的命令，解析命令并執(zhí)行相應(yīng)的操作，粗略看一下遠程控制木馬支持的操作如文件操作、遠程桌面、攝像頭監(jiān)控、鍵盤錄音、錄音、進程操作、遠程CMD等。：

如果想知道每個功能的具體實現(xiàn)，可以具體分析一下。但一般在野生樣本被捕獲后，控制終端已經(jīng)失去聯(lián)系，通過動態(tài)調(diào)試無法運行相應(yīng)的操作。如果有興趣，可以自己生成一個受控終端，使用同一個網(wǎng)段的兩個虛擬機進行動態(tài)調(diào)試。

為了分析遠程控制木馬的在線流量，這里修改了主機文件，捕獲了在線包?？梢钥吹綌?shù)據(jù)段的結(jié)構(gòu)和Gh0st很像，只是logo改成了Xjjhj，然后拼接壓縮后的主機信息，heartbeat packet也直接用了logo字符串:

遠程控制木馬的開發(fā)

事實上，通過以上簡單的分析，我們可以看出，傳統(tǒng)的遠程控制木馬雖然功能豐富，但也存在一些缺陷:

1.協(xié)議單一，通常使用TCP協(xié)議傳輸數(shù)據(jù)，沒有加密或加密算法很容易被解密；

2.系統(tǒng)具有單一駐留模式，如自啟動、服務(wù)啟動等。，容易被察覺；

3.木馬文件特點強，功能多，導(dǎo)致文件大，容易被檢測。

傳統(tǒng)的遠程控制木馬在攻擊中的隱蔽性不夠，所以現(xiàn)在衍生出很多新的木馬技術(shù)，比如注入、無文件、反沙盒、強迷惑、動態(tài)解密、反調(diào)試等手段層出不窮。在通信協(xié)議中，HTTPS和DNS隱蔽通道也被用來傳輸數(shù)據(jù)，其功能趨于簡化，更有針對性，甚至沒有交互，數(shù)據(jù)傳輸頻率極低，已經(jīng)演變成一種混合型木馬。

但是，無論技術(shù)手段如何發(fā)展，只要數(shù)據(jù)通過 *** 傳輸，就會留下痕跡，還有很多未知的東西等待我們?nèi)グl(fā)現(xiàn)。

關(guān)鍵詞： 木馬

責(zé)任編輯：Rex_06