1、木马攻击
-
植入技术:让木马程序在目标终端运行的技术
-
系统漏洞:如缓冲区溢出攻击是植入木马最常用的手段,据统计通过缓冲区溢出进行木马植入占所有木马攻击总数的80%以上
-
水坑攻击:指攻击者在分析目标的上网活动规律后,寻找攻击目标经常访问网站 漏洞,先将此网站“攻破”并植入攻击代码,一旦目标使用含有漏洞的浏览器访问该网站就会被植入木马
-
文件捆绑:攻击者通过修改正常程序PE结构的入口点和添加数据节,将木马程序与正常的程序相捆绑,然后上传至互联网让用户下载
-
社会工程学植入:是指攻击者通过伪基站发送包含木马链接的短信、伪热点劫持域名和流量、即使通信软件交流、社交网络平台散播、电子邮件恶意附件和BadUSB等手段向目标计算机植入木马程序
-
-
通信技术:在宿主计算机和攻击者控制端之间建立连接,离不开网络通信
-
正向连结:木马服务端程序监听,客户端进行主动连接
-
服务端首先在宿主计算机上监听一个TCP(或UDP)端口,然后等待客户端连接,但这种从外而内的网络连接容易被防火墙拦截并报警
-
-
反向连结:由客户端程序监听,服务器端主动连接客户端的一种技术
-
这一技术是为了应对防火墙而出现的,因为防火墙一般对由内部通往外部的连接管理相对松散
-
-
HTTP/HTTPS:HTTP是一种面向对象的协议,允许传送任意类型的数据对象,它通过数据类型和长度来标识所传送数据内容和大小,并允许对数据进行压缩传送
-
木马程序将控制命令和执行结果进行加密压缩以后隐藏在HTTP协议数据段内,并插入伪装的HTML代码起到混淆的作用,提升木马通信的隐蔽性
-
攻击者进一步可采用HTTPS协议来加密木马通信数据,使其更加难以被识别
-
-
DNS隧道:DNS报文具有天然的穿透防火墙的能力,杀毒软件和入侵检测系统通常不会对DNS报文进行严格的监管。
-
直连型DNS隧道木马,指木马宿主机与控制主机直接通信,传输协议采用DNS协议,与传统木马最明显的区别就是利用UDP 53端口进行传输交互
-
域名型DNS隧道木马,其服务器端需要把传输数据封装在请求域名的DNS报文中,当服务端向任意一台DNS服务器请求该域名时,本地DNS服务器无论是通过递归查询还是迭代查询,都会向外转发这个DNS请求,最终该DNS请求都会被转发到客户端中
-
-
-
控制技术:即攻击者如何控制服务器端实施攻击任务
-
屏幕截取:攻击者想知道当前屏幕内容时使用。
-
对于C语言实现的木马,主要使用CDC进行图形编程,使用了GetDC()和BitBlt()来实现相关功能
-
-
键盘记录:攻击者想了解用户输入尤其是密码口令无法截图显示时,实现方式有基于系统钩子的实现,主要使用SetWindowsHookEx()函数来拦截用户键盘输入,也有基于Windows API来实现的,主要使用GetAsyncKeyState()获取用户敲击键盘的状态
-
命令执行:木马的核心功能之一,其本质是在宿主机上开启一个隐藏的CMD窗口,通过创建匿名管道和进程的方法与控制端进行数据交互
-
文件管理:攻击者可以通过这个功能查阅、搜索、删除、重命名宿主计算机上的文件资源,这主要是通过FindFirstFile()和FindNextFile()API函数来实现
-
-
隐藏技术:降低自己的网络特征、进程特征和文件特征,分别对应了端口隐藏、进程隐藏和文件隐藏
-
端口隐藏
-
端口复用
-
在服务器安装一个中间程序,在客户端发送数据给端口前截获这个数据,判断它是不是攻击者发来的数据,如果是就将它转发给木马程序,如果不是就转发给端口对应的正常程序
-
-
驱动级隐藏
-
通过修改WIndows驱动级内核系统组件IRP的状态来实现端口隐藏,主要使用GetCurrentIrpStackLocation来获取端口列表
-
-
-
-
-
进程隐藏
-
系统API
-
系统钩子
-
-
文件隐藏
-
2、木马攻击的防御
-
针对木马的植入,要及时更新系统及应用补丁,不要点击不明的链接、不从非官网下载软件
-
安装杀毒软件并及时更新病毒库
-
不随便插入来源不明的U盘
-
不轻易使用系统管理员权限,并定期修改系统用户密码,增强密码强度,删除非必要的账户
-
定位备份重要数据,避免因木马程序而造成数据的丢失
更多推荐
3.9 木马攻击
发布评论