亚洲日本免费-啊轻点灬太粗太长了三男一女-麻豆av电影在线观看-日韩一级片毛片|www.grbbt.com

郭勇生：大家好！我是天融信阿爾法實驗室的”冷風”。這次我給大家?guī)淼淖h題是特種木馬的攻擊，以及特種木馬的溯源。主要介紹兩個方面：

1、特種木馬的特性。

2、攻擊溯源的一些思路，溯源主要是兩個簡單的案例。

我們怎么樣定義特種木馬，電控網(wǎng)絡(luò)上特別多，比如黑鴿子、黑洞、Gost（音），大家也用過，一旦被公開大家都在用的遠控那么它不能稱之為特種木馬了，我認為特種木馬是針對特定目的開發(fā)定制的繞過沙箱的軟件木馬，不光是遠控，還有其他的軟件也是這樣的。作為后門或惡意程序有兩大點是最主要的，它進入木馬網(wǎng)絡(luò)后怎么樣穿透網(wǎng)絡(luò)，能連接出來，這一點是很重要的。第二是它和殺毒軟件的對抗，現(xiàn)在每臺電腦都有殺毒軟件，如何避過殺毒軟件查殺是要點所在。

特種木馬對網(wǎng)絡(luò)的穿透性。分為五個方面：

1、代理的穿透性，早期的遠控是直連的，TCP、UDP，直連就可以控制上線，中間經(jīng)過大型網(wǎng)絡(luò)的上線，比如微軟ISA的代理，上網(wǎng)之前回彈出一個框讓你輸入用戶名、密碼，驗證成功才能上網(wǎng)，代理的程序大部分遠控無法做到，它的方法，完全模仿用戶的操作，比如用戶用IE瀏覽器，用HTTP協(xié)議出來，它模仿HTTP在網(wǎng)關(guān)驗證，然后再連接出來。HTTP實驗的時候通過拆解密碼或用其他的方式，比如用戶上網(wǎng)時彈出框來讓你輸入密碼，它也彈出讓你輸入密碼，它這樣偽裝獲得你的帳號密碼，再進行穿透。

2、繞過流量監(jiān)控和惡意地址檢測。管理員往往看到流量監(jiān)控和惡意地址，比如一般訪問的是國內(nèi)網(wǎng)站，突然有一天連接從來沒有連接過的地址，這時候網(wǎng)絡(luò)管理員會有異察。惡意的攻擊進入到網(wǎng)絡(luò)內(nèi)部，重要的還是你的數(shù)據(jù)，它會把你的數(shù)據(jù)脫走，脫數(shù)據(jù)的時候這個數(shù)據(jù)有可能大也可能小，大也可能是百G甚至上T的，這樣就會產(chǎn)生很大的流量。惡意軟件它怎么避開這個檢測呢？如果它使用公有的網(wǎng)絡(luò)環(huán)境，比如JoBox或者Google的云，或者網(wǎng)盤數(shù)據(jù)，最大程度上迷惑管理員和運維，讓他們看不清這個數(shù)據(jù)被人惡意脫走，還是用戶自己上傳的云數(shù)據(jù)。

3、采用多種協(xié)議穿透。有時候在滲透過程中有很多情況，你可以進去，但是上不了網(wǎng)，也Ping不通，通過DNS可以解析，這種情況有時候可以束手無策，有時候可以通過DNS隧道，通過DNS隧道進行數(shù)據(jù)傳輸。而惡意程序和特種遠程控制軟件會在內(nèi)部集成幾種協(xié)議，比如同時支持TMP、DNS、ICMP等等，會檢測那些會被網(wǎng)絡(luò)協(xié)議識別出來，會自適應(yīng)網(wǎng)絡(luò)協(xié)議進行連接，它做到只要用戶數(shù)據(jù)能出來它就出來，穿透性就有很大的提高。

4、協(xié)議加密繞過IPS/IDS防火墻。這種防火墻是把很多通信特征，把病毒通信特征庫，采集大量通信特征加進去，你的程序通訊時一般會被通信特征攔下來。而惡意的攻擊者會采用一種新的方式，在每次生成時，配置惡意程序時會采用不同的加密方式或者不同的密鑰，這樣兩邊進行匹配，每次生成的通信特征不一樣，這樣繞過IPS/IDS。

5、插入白名單程序繞單機防火墻。這些惡意程序繞過用戶電腦，用戶電腦裝著單機防火墻，比如科莫多（音），單機防火墻彈性是非常大的，如果高級用戶對每一個進程，專家記的都會了解，而大多數(shù)用戶是使用默認狀態(tài)，因為他不希望自己在上網(wǎng)時有各種提示彈出來，所以惡意程序會采用把自己注入到一些白名單程序里，通過它來通訊，一是迷惑用戶，二是對反病毒軟件是有效果的，至于怎么樣把自己注入白名單程序里，殺毒軟件會攔截，這個攔截方法我們后面再分析。

一些惡意程序與殺毒軟件的對抗。

1、對抗虛擬機檢測。

2、對抗啟發(fā)式檢測。

3、目前普遍殺毒軟件的軟肋，比較容易被攻破的地方。

對抗虛擬機環(huán)境檢測，比如搜索虛擬環(huán)境中的進程，文件系統(tǒng)、注冊表，修改文件，當它發(fā)生這樣的行動就政策它是惡意的，你可以自測所運行的環(huán)境不是用戶真實的環(huán)境。既然它是虛擬機就不可能完全模擬到用戶的操作，假設(shè)這個程序你執(zhí)行完之后等著用戶點擊鼠標交寫和真實的鍵盤交寫。真實的情況下點擊之后可以進行惡意操作，而虛擬機有可能模擬不到這種操作，他可能認為你這個程序沒有惡意行為就放行、繞過，針對這種檢測，主要是上面四條：

1、搜索虛擬環(huán)境中的進程、文件系統(tǒng)、注冊表。

2、搜索虛擬環(huán)境中的內(nèi)存。

3、搜索虛擬環(huán)境中的特定虛擬硬件。

4、搜索虛擬環(huán)境中特定的處理器指令和功能。

對抗啟發(fā)式檢測。

啟發(fā)式軟件，分析惡意程序和正常程序，惡意程序和正常程序會有差別，惡意程序會有操作界面，會有文件大小，惡意程序只有10K、20K，會有網(wǎng)絡(luò)鏈接，會修改系統(tǒng)目錄等等，它是根據(jù)每一條特性設(shè)定一個閾值，綜合判斷程序的閾值，比如達到60分就說明這個程序很可能是有害的，真正的用戶應(yīng)用程序不可能具有專門的特性。通過這個思路，你繞過他們時可以程序盡量少調(diào)用一些API，使用動態(tài)的方式加載，做成Shellcode方式，或者找個比較大的開源程序，這個開源程序如果用啟發(fā)式進行查的話，它的閾值就會比較低，把你的惡意程序插入到其中的某一部分，這樣就起到了很大的迷惑作用。

關(guān)于目前大多數(shù)殺毒軟件軟肋問題。現(xiàn)在殺毒軟件和前些年已經(jīng)有了本質(zhì)上的不一樣，原來通過修改特征碼，惡意程序通過修改特征碼，幾個跳轉(zhuǎn)就可以做到免殺，現(xiàn)在這樣基本是行不通了，不管虛擬機、啟發(fā)式、云還是沙箱都非常嚴格。它們的軟肋在于白名單機制，因為殺毒軟件它必有的一種機制，必然要有一些機制，要有白名單，要有一些程序放行的，這一塊成為最大的問題。

360有個比較嚴格的機制”非白即黑”，意思是我不能判斷你這個程序是無害的程序那么我就認為你是有害的程序，這是非常極端的機制做法。如果要這樣的做法必然要排除第三方軟件和共享軟件。問題就在于，白名單程序你怎么樣能確定它確確實實是白名單程序呢？這個東西你肯定也要有病毒分析師分析這個程序，它究竟是不是白名單，有沒有危害，這個工作量是相當巨大的。360病毒分析師的工作量基本13分鐘要判斷一個文件是白是黑或者是灰。就13分鐘來判斷，如果是一個有針對性的攻擊者自己去寫一套軟件，找一套開源的程序做一定的修改，加入一定的惡意程序，提交到這個組，你去分析時很難確保我肯定能給你分析出這個東西有惡意的情況。不只是他，所有的都有這樣的問題。

最早殺毒軟件有個問題，幫用戶優(yōu)化啟動項，讓機器跑得更快，有時候你可能會發(fā)現(xiàn)，優(yōu)化完以后你的網(wǎng)銀用不了了，炒股軟件用不了，總之很多和錢相關(guān)的東西就出問題了，而這個時候用戶就會面臨一個選擇，我是用你這個殺毒軟件還是用我這個網(wǎng)銀呢？到后來殺毒軟件公司他們也可能發(fā)現(xiàn)這個問題，凡是和網(wǎng)銀類、插件類的默認就不會顯示在你的啟動項域化里，這時候就給惡意攻擊者一些機會，他們可以分析網(wǎng)銀插件，找一些問題可以利用的，比如DLL劫持等問題，通過它啟動一個惡意程序，這樣即便殺毒軟件認為它有危害也是給它放行的權(quán)值會比較高。也不排除某些人購買數(shù)字簽名加到這個軟件上達到繞過的目的，數(shù)字的簽名成本很低，也就幾千元，而且這方面的驗證也不是特別嚴格。

特種木馬的溯源。

1、溯源之難。

真正做過溯源的人，如果你沒有去做過可能有一些思路，真正要去做的話會發(fā)現(xiàn)特別難，因為網(wǎng)絡(luò)上的隱藏成本是非常低的，如果他稍稍有些反偵查意識，做一些保護手段你很難去追查。現(xiàn)在國外的VPN你可以輕輕松松買到辦理，如果去溯源，查到一個惡意IP在境外，得到它了想進一步走怎么辦？你境外協(xié)調(diào)這個事情是協(xié)調(diào)不了了的，國家和國家之間這個機制是不完善的。當然，在國內(nèi)，比如你自己入侵了一個國內(nèi)的站，掛了一個國內(nèi)的VPN，這樣想抓你是分分鐘的事情，沒這么困難的。因為你用VPN服務(wù)器，它直接用機房或者相應(yīng)VPN提供商就能查到你各種鏈接。

在溯源時要考慮一個問題，我們的對手是誰，這是蘭德報告里一小段，他把黑客分為頂級黑客、一流黑客、二流黑客，他說頂級黑客的數(shù)目可能不會太多，大多數(shù)黑客會把局勢搞亂，可能行動會驚動敵人，并把目標暴露給目標集合。對二流黑客來說，他們最合適的工作是繪制目標網(wǎng)絡(luò)拓撲和翻查對方用戶文件。我們遇到頂級黑客不是特別多，關(guān)于頂級黑客也是個傳說。即便是二流黑客，你對他的溯源也不是那么容易。

2、如何發(fā)現(xiàn)特種木馬。

如果沒有樣本怎么得到特種木馬呢？原來我配合一些特定的目標去一些受害單位做單機檢查，這基本上是大海撈針，因為真正的攻擊肯定在整體數(shù)量上不是那么多，而且針對性特別強，你做個網(wǎng)絡(luò)，到這家單位檢查，到那家單位檢查，能找到的幾率是非常小的。目前來看，最好的方法還是大數(shù)據(jù)的方式，剛才方興前面說他們不再做盒子了，而是使用大數(shù)據(jù)，其實趨勢就是這樣的。比如國內(nèi)大型殺毒軟件部署的量特別大，他們采集樣本肯定沒有問題，只有在這個基礎(chǔ)上再去做大數(shù)據(jù)分析，找特種攻擊相對來說還是比較有勝算的。比如前段時間報出來的海蓮花，大數(shù)據(jù)里要有大數(shù)據(jù)，而是對大數(shù)據(jù)要有甄別能力，這時候你的思維要多維度考慮這個事情，你針對特種木馬，它的特性就是沒有特性，凡是有類似行為，但非常隱蔽，只部署在某一些部門里，而且連接也不頻繁，數(shù)據(jù)量也不太大，把這些揪出來進行分析的話可能成功率就非常高，如果排序的話，把這些惡意程序行為做倒序排，研究量不多，數(shù)量也不大，研究點也不多，類似這樣的你可以作為重點觀察對象。

3、基于調(diào)試信息的溯源。

往上有篇文章分析木馬作者分析得特別細，都能查到這個人叫什么，在哪里工作，哪里畢業(yè)的，工作是什么？他是怎么做到的呢？其實他就是拿到了這個病毒樣本，拿到病毒樣本之后去做二進制分析發(fā)信編譯其留下的調(diào)試路徑，而這個調(diào)試路徑包含了它的用戶名，也就是說它把原代碼編譯時放到了桌面上，編譯以后他桌面上的用戶名被編譯到了里面。就這么一點就能把它徹底暴露出來。這個問題看似非常簡單，如果不暴露出這種事件或問題時有誰能知道編譯器能進入你的路徑，發(fā)布的時候在里面呢？大家是不是都喜歡把自己的東西放到桌面上，你的用戶名又是什么呢？是不是和你自身的名字和單位放在一起呢？相信80%都是這樣的。

4、基于IP的一個溯源案例。

還有一次拿到惡意軟件的樣本，它回鏈一個地址，處于非激活狀態(tài)，IP已經(jīng)連不通了，你通過二進制分析不出來東西時怎么辦？它通過反連的IP地質(zhì)到DomainTools去發(fā)行，它的曾經(jīng)對域名解析到了一個IP地址，有了這個域名之后你可以對域名進行溯源，有了注冊人信息，有了注冊人信息你可以再一步步走，這依賴于DomainTools國外一個服務(wù)商，它號稱12年的注冊記錄，包括域名的所有權(quán)、域名注冊記錄、托管數(shù)據(jù)、截圖和其他DNS記錄等信息。你覺得這個域名把它解析到了IP地址，之后解析到別處，認為是安全的，其實不是，你做的過程很可能被這樣的服務(wù)商給記錄下來。

5、基于蜜罐的分析。

如果發(fā)現(xiàn)了目標攻擊，這個攻擊正在進行的話，你可以通過設(shè)一些蜜罐獲取對方的真實地址，方法其實可以很簡單，在各種文檔中插入一些網(wǎng)絡(luò)的資源如圖片，把IP地址暴露出來，難的不是設(shè)蜜罐，難的是怎么樣讓他相信你，這是很難的。

6、一層VPN的溯源。

下面有討論，如果我剝了一層國外的VPN到國外的網(wǎng)站你能不能查到是我干的呢？左邊是攻擊者，右邊是被攻擊者，中間共同穿越了一個GFW防火墻，剝了一個境外的VPN再攻擊被攻擊者。被攻擊者網(wǎng)站上的日志是可以看到境外VPN這個地址的，假設(shè)這個網(wǎng)站的日志你可以看到，而攻擊者必然是在這個時刻的前后連接過境外的VPN，這也是有鏈接的，即便它是隧道，它加密了，但加密之前最初驗證時肯定是有驗證的，這時候你通過了GFW，它肯定能記錄下來，是沒有疑問的。這么一個理論就形成了，境外VPN攻擊了一個被攻擊的網(wǎng)站，而同時你又連了這個VPN，只要去防火墻上查一查，在網(wǎng)站被攻擊時，國內(nèi)哪個IP連接了國外的VPN就可以知道是誰了，思路是這樣的也沒什么問題。

現(xiàn)在關(guān)鍵是在這里，入口這個地方會不會做這個記錄呢？有人說能，有人說不能。我覺得思路上來講是能的，但具體實現(xiàn)上是很難的，因為網(wǎng)絡(luò)的出口流量特別大，如果做這個記錄你得需要多大的存儲空間，事實上是很難的，即便你剝了一層VPN，會追溯到你的可能性也不會很大，當然剝了兩層和你這個思路就更行不通了。

7、基于日志的分析。

它難就難在大量的數(shù)據(jù)分析，大量設(shè)備日志聯(lián)動起來，形成一條攻擊鏈然后找到對方。成功的也有，比如多，有時候網(wǎng)站上大量日志都是境外IP進行掃描，結(jié)果突然斷了一下，又境內(nèi)的IP，這時候VPN斷了，掃描功能還在繼續(xù)，這是存在的。

我的介紹就這么多。謝謝！