Advanced Persistent Threat

Slides:



Advertisements
Similar presentations
四川财经职业学院会计一系会计综合实训 目录 情境 1.1 企业认知 情境 1.3 日常经济业务核算 情境 1.4 产品成本核算 情境 1.5 编制报表前准备工作 情境 1.6 期末会计报表的编制 情境 1.2 建账.
Advertisements

主编:邓萌 【点按任意键进入】 【第六单元】 教育口语. 幼儿教师教育口 语概论 模块一 幼儿教师教育口语 分类训练 模块二 适应不同对象的教 育口语 模块三 《幼儿教师口语》编写组.
第一組 加減法 思澄、博軒、暐翔、寒菱. 大綱 1. 加減法本質 2. 迷思概念 3. 一 ~ 七冊分析 4. 教材特色.
海南医学院附 院妇产科教室 华少平 妊娠合并心脏病  概述  妊娠、分娩对心脏病的影响  心脏病对妊娠、分娩的影响  妊娠合病心脏病的种类  妊娠合并心脏病对胎儿的影响  诊断  防治.
植树节的由来 植树节的意义 各国的植树节 纪念中山先生 植树节的由来 历史发展到今天, “ 植树造林,绿化祖国 ” 的热潮漫卷 了中华大地。从沿海到内地,从城市到乡村,涌现了多少 造林模范,留下了多少感人的故事。婴儿出世,父母栽一 棵小白怕,盼望孩子和小树一样浴光吮露,茁壮成长;男 女成婚,新人双双植一株嫩柳,象征家庭美满,幸福久长;
客户协议书 填写样本和说明 河南省郑州市金水路 299 号浦发国际金融中 心 13 层 吉林钰鸿国创贵金属经营有 限公司.
浙江省县级公立医院改革与剖析 马 进 上海交通大学公共卫生学院
第二章 环境.
教师招聘考试 政策解读 讲师:卢建鹏
了解语文课程的基本理念,把握语文素养的构成要素。 把握语文教育的特点,特别是开放而有活力的语文课程的特点。
北台小学 构建和谐师生关系 做幸福教师 2012—2013上职工大会.
福榮街官立小學 我家孩子上小一.
第2期技職教育再造方案(草案) 教育部 101年12月12日 1 1.
企业员工心态管理培训 企业员工心态管理培训讲师:谭小琥.
历史人物的研究 ----曾国藩 组员: 乔立蓉 杜曜芳 杨慧 组长:马学思 杜志丹 史敦慧 王晶.
教育部高职高专英语类专业教学指导委员会 刘黛琳 山东 • 二○一一年八月
淡雅诗韵 七(12)班 第二组 蔡聿桐.
第七届全国英语专业院长/系主任高级论坛 汇报材料
小數怕長計, 高糖飲品要節制 瑪麗醫院營養師 張桂嫦.
制冷和空调设备运用与维修专业 全日制2+1中等职业技术专业.
会计信息分析与运用 —浙江古越龙山酒股份有限公司财务分析 组员:2006级工商企业管理专业 金国芳 叶乐慧 魏观红 徐挺挺 虞琴琴.
第六章 人体生命活动的调节 人体对外界环境的感知.
芹菜 英语051班 9号 黄秋迎 概论:芹菜是常用蔬菜之一,既可热炒,又能凉拌,深受人们喜爱。近年来诸多研究表明,这是一种具有很好药用价值的植物。 别名:旱芹、样芹菜、药芹、香芹、蒲芹 。 芹菜属于花,芽及茎类。
2012年 学生党支部书记工作交流 大连理工大学 建工学部 孟秀英
北京市职业技能鉴定管理中心试题管理科.
完善固定资产加速折旧 企业所得税政策.
2014吉林市卫生局事业单位招聘153名工作人员公告解读
各類所得扣繳法令 與申報實務 財政部北區國稅局桃園分局 103年9月25日
初級游泳教學.
爱国卫生工作的持续发展 区爱卫办 俞贞龙.
公司保密工作要求及 院商秘保护工作安排 2014年9月12日.
第八章 数学活动 方程组图象解法和实际应用
本课内容提要 一、汇率的含义 二、汇率变化与币值的关系 三、汇率变化的影响. 本课内容提要 一、汇率的含义 二、汇率变化与币值的关系 三、汇率变化的影响.
散文鉴赏方法谈.
比亚迪集成创新模式探究 深圳大学2010届本科毕业论文答辩 姓名:卓华毅 专业:工商管理 学号: 指导老师:刘莉
如何撰写青年基金申请书 报 告 人: 吴 金 随.
点击输 入标题 点击输入说明性文字.
國際志工海外僑校服務 越南 國立臺中教育大學 2010年國際志工團隊.
痰 饮.
學分抵免原則及 學分抵免線上操作說明會.
教 学 查 房 黄宗海 南方医科大学第二临床医学院 外科学教研室.
评 建 工 作 安 排.
“十二五”国家科技计划经费管理改革培训 概预算申报与审批 国家科学技术部 2012年5月.
“十二五”国家科技计划经费管理改革培训 概预算申报与审批 国家科学技术部 2012年5月.
首都体育学院 武术与表演学院 张长念 太极拳技击运用之擒拿 首都体育学院 武术与表演学院 张长念
现行英语中考考试内容与形式的利与弊 黑龙江省教育学院 于 钢 2016, 07,黄山.
第5讲:比较安全学的创建 吴 超 教授 (O)
彰化縣西勢國小備課工作坊 新生入學的班級經營 主講:黃盈禎
重庆市西永组团K标准分区基本情况介绍.
西貢區歷史文化 清水灣 鍾礎營,楊柳鈞,林顥霖, 譚咏欣,陳昭龍.
所得稅扣繳法令與實務 財政部北區國稅局桃園分局 102年12月19日 1 1.
角 色 造 型 第四章 欧式卡通造型 主讲:李娜.
走进校园流行 高二15班政治组 指导老师:曾森治老师.
医院文化建设 广东省中医院 2011年3月26日.番禺.
案例:海底捞模式 ——把服务做到极致.
食品添加剂生产许可情况介绍 江苏省食品药品监督管理局 彭弘雷 2014年12月
医疗法律法规培训 连云港市东辛农场医院 周卫平 二0一四年十二月.
史泰博出货检验员面试中·········
09英本2班 罗芬.
个人所得税 扣缴申报表填报讲解.
主講人:孫台義 教授 哈薩克大學國際關係學院 客座教授
土地增值税清算业务培训 主讲人:吴金娟 怀集地税.
实训报告 财务管理二班 第三小组 组长:董文芳 执笔人:王瑾 组员:汲伦 庞宁宁 姜美.
体育教师提高科研能力的有效策略 ——从观察、分析、选题、构思谈起
经济发展新环境下糖企如何运用金融工具服务生产经营
好爸妈胜过好老师 激活兴趣、培养能力、以文育人 主讲:谢晓鸿 快乐作文杂志社 重庆小记者站.
国开学习网/形考模块
律师职业道德伦理专题案例.
动态链接库 主讲人:孙鑫
LabVIEW-Arduino串口通讯 实验者: 陈骏
Presentation transcript:

Advanced Persistent Threat APT攻击揭秘之特种木马技术实现 Advanced Persistent Threat 冷风

………………………………………………………… 你叫什么名字? 我叫 冷风 你从哪里来呢? 我来自天融信 阿尔法实验室 你是干啥的? 技术方向,木马,分析、编写 你的心情如何? 鸡冻 …………………………………………………………

一、特种木马是什么 二、HID攻击介绍 三、特种木马与防火墙对抗 四、特种木马与杀软对抗 整体目录 五、特种木马所具备的功能

特种木马是什么?

穿越到4年前,震网病毒爆发时期 特种木马是什么? 震网(Stuxnet)是一种Windows平台上的计算机蠕虫,该蠕虫病毒已感染并破坏了伊朗的核设施,使伊朗的布什尔核电站推迟启动。

木马如何进入隔绝的内网? 特种木马是什么? 敏感的网络都是物理隔离的,特种木马如何穿透隔离?

1、HID攻击方式 2、HID开发环境 3、HID攻击效果 4、HID技术瓶颈 HID攻击

1.0HID攻击方式 特种木马是什么?

1.1HID攻击方式 特种木马是什么? Teensy是一个基于USB接口非常小巧而又功能完整的单片机开发系统,它能够实现多种类型的项目开发和设计。Teensy为开源项目,任何有能力有技术的都可以生产定制。其中PJRC是最优秀的或者说商业化最好的生产商。

1.2HID开发环境 特种木马是什么? 安装完Arduino IDE之后,还需要Teensy芯片的SDK支持库,就可以进行开发了,开发语言类似于c语言。

1.3攻击效果 特种木马是什么? 把Teensy插入到电脑USB接口后,会自动打开,运行对话框,键入相应的命令并运行。

1.4HID技术瓶颈 特种木马是什么? Teensy芯片,可以发起攻击,但是如何隐蔽执行,却是一个大大的问题。

1、穿代理 2、绕过流量监控地址检测 3、多协议 4、协议加密穿透IPS/IDS 5、注入白名单通讯 对抗防火墙

2.1穿代理 代理程序以ISA为例子

2.2绕过流量监控和恶意地址检测 防火墙有恶意地址检测 恶意程序把数据传输到公共网络

同时兼容TCP、UDP、HTTP、DNS等 2.3多协议 同时兼容TCP、UDP、HTTP、DNS等

2.4协议加密穿透IPS/IDS防火墙 流行远控通信被加入特征库

2.5注入白名单通讯 特种木马是什么? 把通讯功能注入到白名单进程中 防火墙认为白名单程序通讯放行

1、绕过卡巴斯虚拟机查杀 2、绕过小红伞启发式查杀 3、绕过360 4、对抗杀毒软件提取样本 5、对抗样本上传 6、检测虚拟机 对抗杀毒软件 7、白加黑绕过大多杀软

3.1绕过卡巴斯基为代表的虚拟机 1、如何检测到虚拟机环境 2、根据父进程判断 特种木马是什么? 3、采用特殊消息判断

3.2绕过小红伞、NOD32为代表的启发式 高启发 60 50 40 30 20 10 把功能做成shellcode或者使用动态获取api针对启发式面杀效果好

3.3绕过360非白即黑查杀 特种木马是什么? 传统思路绕过困难且不稳定 以正规渠道申请白名单绕过

3.4对抗杀毒软件提取样本 特种木马是什么? 程序与秘钥分离 一次性木马

3.5对抗病毒样本上传 特种木马是什么? 把增大到几百兆或者上GB

3.6检测虚拟机停止执行 特种木马是什么? 检测VM、VPC虚拟机,防止分析

白加黑的意思就是利用杀毒软件所信任的软件程序,来安装启动或加载攻击者自己的恶意程序,以达到绕过杀毒软件的目的。马是什么? 3.7.1白加黑绕过杀毒软件 白加黑的意思就是利用杀毒软件所信任的软件程序,来安装启动或加载攻击者自己的恶意程序,以达到绕过杀毒软件的目的。马是什么?

3.7.2白加黑为何有效果 使用Shellcode来做一些敏感操作比如写注册表启动项,创建服务等,杀毒软件会给予放行,因为执行Shellcode的内存位于进程空间,不属于DLL,杀毒软件会粗略认为此操作由EXE发起,而EXE本身是白名单程序所以杀毒软件会放行。 这一做法针对大多数杀毒软件是可行的,但有一部分杀毒软件是以检测到,比如360。理论上讲Shellcode在进程空间执行,是无法得知这个代码究竟是由谁执行的,所以也无法查杀,而360的做法是对每次内存申请都做记录,然后出现敏感操作时,再进行回溯,定位到最初申请的模块。这样就解决了问题,不过这种方法对系统资源会有比较大的开销,他应该是有一个机制或者跟据程序的危险值,来控制是否开启此功能。

3.7.3选择白名单程序 特种木马是什么? 1、文件用户量要大文件知明度要高 2、文件要足够小足够简单 3、文件最好带有数字签名 4、文件要有被利用的漏洞

3.7.4选择白名单程序 特种木马是什么? 1、文件用户量要大文件知明度要高 2、文件要足够小足够简单 3、文件最好带有数字签名 4、文件要有被利用的漏洞

3.7.5分析白利用名单程序 特种木马是什么? 1、是否存在漏洞并使用动态加载 2、程序是否存在GUI界面 3、程序是否存在自动退出问题 4、卸载使用过的DLL文件

3.7.6白加黑最终实现思路整理 特种木马是什么? 1、首先分析要利用的白名单程序 2、进行DLL劫持漏洞利用 3、隐藏程序的界面,阻止程序退出 4、Shellcode复制进去并执行起来 5、最后卸载掉DLL

1、对移动设备传播 2、流量控制 特种木马功能

4.1对移动设备传播 对安卓手机感染

4.2流量控制 指定时间回传 对传输速度限速

THANK YOU 炫酷牛仔风格PowerPoint模板 冷风 QQ 121-121-606 阿尔法实验室