Advanced Persistent Threat APT攻击揭秘之特种木马技术实现 Advanced Persistent Threat 冷风

………………………………………………………… 你叫什么名字？ 我叫 冷风 你从哪里来呢？ 我来自天融信 阿尔法实验室 你是干啥的？ 技术方向，木马，分析、编写 你的心情如何？ 鸡冻 …………………………………………………………

一、特种木马是什么 二、HID攻击介绍 三、特种木马与防火墙对抗 四、特种木马与杀软对抗 整体目录 五、特种木马所具备的功能

特种木马是什么？

穿越到4年前，震网病毒爆发时期 特种木马是什么？ 震网（Stuxnet）是一种Windows平台上的计算机蠕虫，该蠕虫病毒已感染并破坏了伊朗的核设施，使伊朗的布什尔核电站推迟启动。

木马如何进入隔绝的内网？ 特种木马是什么？ 敏感的网络都是物理隔离的，特种木马如何穿透隔离？

1、HID攻击方式 2、HID开发环境 3、HID攻击效果 4、HID技术瓶颈 HID攻击

1.0HID攻击方式 特种木马是什么？

1.1HID攻击方式 特种木马是什么？ Teensy是一个基于USB接口非常小巧而又功能完整的单片机开发系统，它能够实现多种类型的项目开发和设计。Teensy为开源项目，任何有能力有技术的都可以生产定制。其中PJRC是最优秀的或者说商业化最好的生产商。

1.2HID开发环境 特种木马是什么？ 安装完Arduino IDE之后，还需要Teensy芯片的SDK支持库，就可以进行开发了，开发语言类似于c语言。

1.3攻击效果 特种木马是什么？ 把Teensy插入到电脑USB接口后，会自动打开，运行对话框，键入相应的命令并运行。

1.4HID技术瓶颈 特种木马是什么？ Teensy芯片，可以发起攻击，但是如何隐蔽执行，却是一个大大的问题。

1、穿代理 2、绕过流量监控地址检测 3、多协议 4、协议加密穿透IPS/IDS 5、注入白名单通讯 对抗防火墙

2.1穿代理 代理程序以ISA为例子

2.2绕过流量监控和恶意地址检测 防火墙有恶意地址检测 恶意程序把数据传输到公共网络

同时兼容TCP、UDP、HTTP、DNS等 2.3多协议 同时兼容TCP、UDP、HTTP、DNS等

2.4协议加密穿透IPS/IDS防火墙 流行远控通信被加入特征库

2.5注入白名单通讯 特种木马是什么？ 把通讯功能注入到白名单进程中 防火墙认为白名单程序通讯放行

1、绕过卡巴斯虚拟机查杀 2、绕过小红伞启发式查杀 3、绕过360 4、对抗杀毒软件提取样本 5、对抗样本上传 6、检测虚拟机 对抗杀毒软件 7、白加黑绕过大多杀软

3.1绕过卡巴斯基为代表的虚拟机 1、如何检测到虚拟机环境 2、根据父进程判断 特种木马是什么？ 3、采用特殊消息判断

3.2绕过小红伞、NOD32为代表的启发式 高启发 60 50 40 30 20 10 把功能做成shellcode或者使用动态获取api针对启发式面杀效果好

3.3绕过360非白即黑查杀 特种木马是什么？ 传统思路绕过困难且不稳定 以正规渠道申请白名单绕过

3.4对抗杀毒软件提取样本 特种木马是什么？ 程序与秘钥分离 一次性木马

3.5对抗病毒样本上传 特种木马是什么？ 把增大到几百兆或者上GB

3.6检测虚拟机停止执行 特种木马是什么？ 检测VM、VPC虚拟机，防止分析

白加黑的意思就是利用杀毒软件所信任的软件程序，来安装启动或加载攻击者自己的恶意程序，以达到绕过杀毒软件的目的。马是什么？ 3.7.1白加黑绕过杀毒软件 白加黑的意思就是利用杀毒软件所信任的软件程序，来安装启动或加载攻击者自己的恶意程序，以达到绕过杀毒软件的目的。马是什么？

3.7.2白加黑为何有效果 使用Shellcode来做一些敏感操作比如写注册表启动项，创建服务等，杀毒软件会给予放行，因为执行Shellcode的内存位于进程空间，不属于DLL，杀毒软件会粗略认为此操作由EXE发起，而EXE本身是白名单程序所以杀毒软件会放行。 这一做法针对大多数杀毒软件是可行的，但有一部分杀毒软件是以检测到，比如360。理论上讲Shellcode在进程空间执行，是无法得知这个代码究竟是由谁执行的，所以也无法查杀，而360的做法是对每次内存申请都做记录，然后出现敏感操作时，再进行回溯，定位到最初申请的模块。这样就解决了问题，不过这种方法对系统资源会有比较大的开销，他应该是有一个机制或者跟据程序的危险值，来控制是否开启此功能。

3.7.3选择白名单程序 特种木马是什么？ 1、文件用户量要大文件知明度要高 2、文件要足够小足够简单 3、文件最好带有数字签名 4、文件要有被利用的漏洞

3.7.4选择白名单程序 特种木马是什么？ 1、文件用户量要大文件知明度要高 2、文件要足够小足够简单 3、文件最好带有数字签名 4、文件要有被利用的漏洞

3.7.5分析白利用名单程序 特种木马是什么？ 1、是否存在漏洞并使用动态加载 2、程序是否存在GUI界面 3、程序是否存在自动退出问题 4、卸载使用过的DLL文件

3.7.6白加黑最终实现思路整理 特种木马是什么？ 1、首先分析要利用的白名单程序 2、进行DLL劫持漏洞利用 3、隐藏程序的界面，阻止程序退出 4、Shellcode复制进去并执行起来 5、最后卸载掉DLL

1、对移动设备传播 2、流量控制 特种木马功能

4.1对移动设备传播 对安卓手机感染

4.2流量控制 指定时间回传 对传输速度限速

THANK YOU 炫酷牛仔风格PowerPoint模板 冷风 QQ 121-121-606 阿尔法实验室