病毒分析-木马

木马的基本概念

通过欺骗或诱骗的方式安装，并在用户的计算机中隐藏以实现控制用户计算机的目的。
具有远程控制、信息窃取、破坏等功能的恶意代码。

木马的分类

 

 

 

 远程控制型木马

远程控制

交互性：双向（攻击者<->被控制端）

典型案例：

卡巴斯基分类标准下的木马子类：Backdoor

冰河、网络神偷、广外女生、网络黑牛、黑洞、上兴、彩虹桥、PCShare、灰鸽子等。

信息获取型木马

信息获取

键盘输入、内存、文件数据等

交互性：单向（攻击者<-被控制端）

发送至三方空间、文件服务器、指定邮箱等，或者直接开启FTP服务程序等。

典型案例：

卡巴斯基分类标准下的Trojan-Bank、Trojan-GameThief、Trojan-IM、Trojan-Spy、Trojan-PSW、Trojan-Mailfinder等

破坏性木马

对本地或者远程主机系统进行数据破坏，资源消耗等

交互性：单向（攻击者->被控制端），或无交互

典型案例：

卡巴斯基分类标准下的Trojan-Ddos、Trojan-Dropper、Trojan-AceBomb等

木马的植入方式

网页挂马攻击

自动下载安装（MS06014,MS10002)

电子邮件植入

附件形式，打开附件被植入

电子邮件与恶意网页结合，即使不打开附件，选中就会被植入（以HTML格式发送）

文档捆绑植入

office文档、pdf文档漏洞等

伪装欺骗植入

更改后缀名、图标伪装

捆绑植入

exe捆绑、文档镶嵌、多媒体文件、电子书植入

其他

特定U盘植入

社会工程

木马的通信方式

传输通道构建信息

IP地址、端口等信息、第三方网站地址

建立通信方式的连接方式

正向链接

反向链接

正向链接

 

 

 优点：

攻击者无需外部IP地址

木马样本不会泄露攻击者IP地址

缺点：
可能被防火墙阻挡

被攻击者必须具备外部IP地址

定位被攻击者相对困难

反向链接

第一种方式

 

 

 优点：

通过防火墙相对容易

攻击目标随时上线、随时控制

可以控制局域网内的目标

缺点：

样本会暴露控制服务器的信息

攻击者通常具有外部IP

 

第二种方式

优点：

可绕过防火墙、自动连接上线，不易被发现（代理）

缺点：

RootKit的稳定性需要保障

远控木马的常见功能与意图

典型功能

文件管理

进程管理

服务管理

注册表管理

屏幕监控、屏幕截取

语音视频截获

键盘记录

窗口管理

远程Shell等

 

文件管理

获取目标的文件系统信息，通常包括如下功能：

浏览各磁盘文件

上传、下载文件

执行文件

删除文件

修改文件信息

进程管理

查看、结束、暂停目标系统进程

查看目标系统的环境信息

停止或者暂停目标系统的相关程序（如反病毒程序）

服务管理

查看并管理目标系统的服务（创建、启动、停止、删除服务）

木马检测思路

如何对木马进行检测？

静态文件特征

网络流量特征

系统行为特征

功能行为特征

攻击意图等