APT之特种木马检测(2) - APT防御产品

APT之特种木马检测(2)

特种木马特点

免杀能力强:在投放前就针对性的使用各种杀毒软件进行了测试,能够和杀毒软件“和平共处”

穿透能力:能够在使用了包过滤、应用网关、状态检测、复合型、ISA代理等防火墙的网络环境保证数据回传
蔽能力:能够躲避一般管理员常用的检测工具,使之能够在系统中隐身

按通信方式分类

无通信型:使用非网络通信方式进行通信,例如短波、高分贝音频信号、移动存储设备

直连型:在目标本地绑定对外开放端口,攻击者可直接连接控制目标主机进行远程控制

端口复用型:劫持已经使用的通信端口,对正常连接进行重复利用

反弹端口型:由隐藏在目标主机上的木马服务端主动连接远程木马控制端。隐蔽性高,防火墙、IDS、IPS等难以防范

反弹代理型:在反弹端口的基础上增加代理的使用,能够穿透ISA、Squid等代理网关

按照APT的技术发展基调,不断创新

配合漏洞植入过程,远程下载控守类并执行
文件下载、键盘记录、密码捕获、屏幕控制、命令行控制等
通常驻留在MBR、BIOS、Ghost镜像文件、虚拟机文件、网卡、应用软件等位置
针对不同的网络特性提供各种形式的穿透

按寄宿方式分类

操作系统
运行在Windows、Linux、Mac OS、Android、IOS等操作系统下,可以利用不同操作系统特性隐藏自身

应用程序
隐藏在浏览器、Java虚拟机、Ghost文件等应用程序的应用环境中,利用应用复杂性隐藏自身

硬件平台
隐藏在硬盘、主板、网卡、路由器、芯片等位置,这些地方的恶意代码检测手段极其匮乏

常见特种木马

Dark Comet,作者Lesueur, 2012年7月因发现工具被使用于叙利亚政府打击反政府分子的攻击中,故而宣布停止更新

Gh0st RAT,作者Cooldiyer, 2008年5月开源3.6版本后再无更新,但至今仍有无数修改版本在流传

PoisonIvy,2008年2月更新屏幕插件后再无跟新,主版本停滞在2.3.2,作者声称需要更多时间和动力来开发新版

Zeus/zbot,2011年3月2.0.8.9版本源代码泄露后,衍生出了诸多的变种和模仿者

Reset SSDT.
通过重新从系统文件中读取ntoskrnl内核信息,在驱动层重置SSDT表以屏蔽杀毒软件

Install Service.
搜索未被占用的服务名,并注册自身为系统服务,寄宿于svchost.exe服务进程

Start Service
启动工作线程初始化自身配置信息、模块插件等,获取并接管目标系统的各种计算机资源

Connect Gh0st.
使用TCP协议周期性期连接连接后台控制端程序,通过超时保活机制保持连接,使用Zlib解压/压缩并封装传递的真实数据

Command&Control
完成命令控制通道的搭建,远程控制端每次控制一种远程资源均建立一个新的Socket连接

UAC机制

封包格式:
BYTE bPacketFlag[FLAG_SIZE];
int nSize;
int nUnCompressLength;
PBYTE pData;

PoisonIvy

Add Regedit or Regsvr ActiveX , Inject Process
选择使用修改注册表或注册ActiveX控件的方式完成自启动,并通过注入远程线程完成功能代码的隐蔽执行,同时利用进程的白名单特性绕过防火墙的拦截

Connect PoisonIvy for Command&Control
使用自定义格式的TCP协议一直保持长时间连接,有周期性的心跳信号,使用LZNT1压缩算法对交互数据进行压缩,各种连接操作均使用1个Socket连接进行通信

使用台湾yahoo的Blog作为控制信息中继器,2011年5月后攻击亲美势力尤其明显,现在转向企业

攻击中东石化公司的Citadel
Citadel木马是全新的Zeus,它是以Zeus的代码为基础的木马,据称它的所有功能都超越了目前的任何流氓软件组合

Taidoor

BlackEnergy
2007年变种开始增多,正在被用于攻击乌克兰、波兰的企业,以往是用于DDoS攻击、垃圾邮件和银行诈骗,2014年开始借助rootkit技术开始用于PT攻击

Machete
大多数受害者都位于委内瑞拉,厄瓜多尔,哥伦比亚,秘鲁,俄罗斯,古巴,西班牙,等等。在某些情况下,诸如俄罗斯,目标似乎是针对俄罗斯境内的某些大使馆。目标包括高层人物,其中包括情报部门,军队,驻外使馆和政府机构。

SpyEye
俄罗斯黑客Aleksander Panin在美国亚特兰大的一个联邦法院服罪

美国国安局(NSA)工具库中的特种木马


ANT的全称为“先进网络技术”或“入侵网络技术”。该部门的人员可以被认为是NSA下属“获取特定情报行动办公室”(以下简称“TAO”)中的技术大师。当TAO通常的黑客手段和数据收集方式无法发挥作用时,ANT的人员将使用专门工具介入,入侵网络设备,监控手机和计算机通信,记录甚至篡改数据。在 NSA建立全球互联网监控系统的过程中,ANT发挥了可观的作用。


转载请注明出处 APT防御产品 » APT之特种木马检测(2)

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址