由于远程控制木马在传统意义上的应用范围不广,使用相对单一,只关注功能而不关注一些安全问题,事故包括:
1.控制器被反查;
2.使用文件下载和上传控制器机器的文件进行反控制;
3.相关黑客被杀;
4.网警追捕抓鸡黑客;
5.主要成员被国际通缉。
传统的远程控制木马
最初
1. 大多使用tcp协议作为其主要通信协议,未采取相应的加密措施。
2. 木马文件加壳或无加壳后,可轻松分析特征码。
3. 相关功能整合,免杀时间短。
4. 不稳定,复杂的网络环境可能很难上线。
5. 在线使用动态域名,可以很容易地拦截或伪造不可靠的第三方中转信息。
6. 多采用注册表或注册服务启动,很少修改文件。
7. 有可执行文件,dll,sys,大多数启动方式是独立启动,没有或少数文件感染,注入过程。
8. 种马感染方式单一,多采用网络传输感染。
9. 停留方式单一,多停留在系统中。没有反沙盒分析功能。
10. 大多是c/s结构,即client/server。木马文件一般较大。
后来
1. 除了tcp木马出现了udp但木马仍未采取加密措施。
2. 木马在原壳的基础上,开始出现自写壳、反调试等反分析措施。
3. 生成器/控制端模式从原始集成开始,免杀时间略长。
4. 开始出现各种在线模式,网站空间在线,FTP上线、数据库上线。
5. 稳定性增强。线上木马反弹。
6. 开始修改系统文件,修改服务启动模式隐藏自己。
7. 迷你版木马开始出现,没有过程,文件感染,过程注入技术应用。
8. 感染方式多种多样,木马本身在感染母体后感染了移动设备。
9. 开始出现居留bios,感染图像文件木马。反沙盒的分析能力仍然不存在。
10. 出现了b/s,也就是说,浏览器/服务器模式交互通信木马。稳定性更强。文件比上一代小。
现在
1. 除了tcp,udp木马以外开始出现https,ssl但是木马本身还是会被抓到。
2. 木马出现在原壳、自写壳、反调试的基础上shellcode木马,dll用其他文件加载木马的纯进制文件。
3. 模块化木马从原来的生成器/控制端模式开始出现,具有较强的抗分析和免杀能力。
4. 在线支持混合协议在线模式的木马出现在原来的单一在线模式中,服务器被密封,可以保持被控者不脱落。
5. 在原有的基础上,稳定性变得更强。除了反弹上线,还有依靠其他服务上线的木马。
6. 除了原有的修改和感染文件外,还有感染声卡和网卡。
7. 除无过程外,还出现了无文件、无端口的木马技术应用。
8. 除感染移动设备外,还有跨平台感染木马、内网感染木马、智能交易终端等设备。
9. 反内存分析和文件定期自动变异木马会给分析带来一定的困难。
10.木马有混合控制模式,可以b/s也可以c/s。
11.由原来的从vc/delphi/vb用这种语言编写的远程控制木马开始出现脚本编写的远程控制木马程序。体积更小,方法更隐蔽。
目前面临的问题。
1. 对于远程控制传输协议,如果没有良好的加密协议,很容易拦截/伪造通信,给自己带来危险。一些防火墙设备也可以很容易地拦截通信。
2. 远程控制的免杀问题,传统木马在获得特征后很容易被杀毒软件杀死,没有良好的反杀毒软件理念。
3. 启动加载方式的传统问题,如注册表、文件、服务启动等(x60等等)软件拦截,很多杀软也更注重注册表。
4. 文件停留问题,停留在系统中容易获得样本文件,也会缩短木马本身的生存周期。
5. 文件操作问题,所有功能都集中在一起,很容易被识别为木马文件。
临时解决方案:
1. 远程控制传输协议采用公钥加密,在生成文件时可以选择伪造某种可信软件。
2. 在文件特征方面,密钥分段加密,内存分段解密后删除上次操作记录,静态交互 加密模式捕获对抗特征。
3. 采用非注册表加载,注入硬件核心驱动文件加载。
4. 系统只停留主要支持文件,或完全依靠注入后的文件操作。
5. 功能文件采用插件方式,使用后删除,即使被捕获,也难以分析为木马。
未解决的问题:
源头/ip使用私有云,地址很容易被调查人员捕获,p2p方法待实践。
只有更新的木马/黑客技术才能促进整体安全进步。