Advanced Persistent Threat

Advanced Persistent Threat
APT攻击揭秘之特种木马技术实现 Advanced Persistent Threat 冷风

…………………………………………………………
你叫什么名字？我叫冷风你从哪里来呢？我来自天融信阿尔法实验室你是干啥的？技术方向，木马，分析、编写你的心情如何？鸡冻 …………………………………………………………

一、特种木马是什么二、HID攻击介绍三、特种木马与防火墙对抗四、特种木马与杀软对抗整体目录五、特种木马所具备的功能

特种木马是什么？

穿越到4年前，震网病毒爆发时期特种木马是什么？
震网（Stuxnet）是一种Windows平台上的计算机蠕虫，该蠕虫病毒已感染并破坏了伊朗的核设施，使伊朗的布什尔核电站推迟启动。

木马如何进入隔绝的内网？特种木马是什么？敏感的网络都是物理隔离的，特种木马如何穿透隔离？

1、HID攻击方式 2、HID开发环境 3、HID攻击效果 4、HID技术瓶颈 HID攻击

1.0HID攻击方式特种木马是什么？

1.1HID攻击方式特种木马是什么？ Teensy是一个基于USB接口非常小巧而又功能完整的单片机开发系统，它能够实现多种类型的项目开发和设计。Teensy为开源项目，任何有能力有技术的都可以生产定制。其中PJRC是最优秀的或者说商业化最好的生产商。

1.2HID开发环境特种木马是什么？安装完Arduino IDE之后，还需要Teensy芯片的SDK支持库，就可以进行开发了，开发语言类似于c语言。

1.3攻击效果特种木马是什么？把Teensy插入到电脑USB接口后，会自动打开，运行对话框，键入相应的命令并运行。

1.4HID技术瓶颈特种木马是什么？ Teensy芯片，可以发起攻击，但是如何隐蔽执行，却是一个大大的问题。

1、穿代理 2、绕过流量监控地址检测 3、多协议 4、协议加密穿透IPS/IDS 5、注入白名单通讯对抗防火墙

2.1穿代理代理程序以ISA为例子

2.2绕过流量监控和恶意地址检测防火墙有恶意地址检测恶意程序把数据传输到公共网络

同时兼容TCP、UDP、HTTP、DNS等
2.3多协议同时兼容TCP、UDP、HTTP、DNS等

2.4协议加密穿透IPS/IDS防火墙流行远控通信被加入特征库

2.5注入白名单通讯特种木马是什么？把通讯功能注入到白名单进程中防火墙认为白名单程序通讯放行

1、绕过卡巴斯虚拟机查杀 2、绕过小红伞启发式查杀 3、绕过360 4、对抗杀毒软件提取样本 5、对抗样本上传 6、检测虚拟机对抗杀毒软件 7、白加黑绕过大多杀软

3.1绕过卡巴斯基为代表的虚拟机 1、如何检测到虚拟机环境 2、根据父进程判断特种木马是什么？ 3、采用特殊消息判断

3.2绕过小红伞、NOD32为代表的启发式高启发 60 50 40 30 20 10 把功能做成shellcode或者使用动态获取api针对启发式面杀效果好

3.3绕过360非白即黑查杀特种木马是什么？传统思路绕过困难且不稳定以正规渠道申请白名单绕过

3.4对抗杀毒软件提取样本特种木马是什么？程序与秘钥分离一次性木马

3.5对抗病毒样本上传特种木马是什么？把增大到几百兆或者上GB

3.6检测虚拟机停止执行特种木马是什么？检测VM、VPC虚拟机，防止分析

白加黑的意思就是利用杀毒软件所信任的软件程序，来安装启动或加载攻击者自己的恶意程序，以达到绕过杀毒软件的目的。马是什么？
3.7.1白加黑绕过杀毒软件白加黑的意思就是利用杀毒软件所信任的软件程序，来安装启动或加载攻击者自己的恶意程序，以达到绕过杀毒软件的目的。马是什么？

3.7.2白加黑为何有效果使用Shellcode来做一些敏感操作比如写注册表启动项，创建服务等，杀毒软件会给予放行，因为执行Shellcode的内存位于进程空间，不属于DLL，杀毒软件会粗略认为此操作由EXE发起，而EXE本身是白名单程序所以杀毒软件会放行。这一做法针对大多数杀毒软件是可行的，但有一部分杀毒软件是以检测到，比如360。理论上讲Shellcode在进程空间执行，是无法得知这个代码究竟是由谁执行的，所以也无法查杀，而360的做法是对每次内存申请都做记录，然后出现敏感操作时，再进行回溯，定位到最初申请的模块。这样就解决了问题，不过这种方法对系统资源会有比较大的开销，他应该是有一个机制或者跟据程序的危险值，来控制是否开启此功能。

3.7.3选择白名单程序特种木马是什么？ 1、文件用户量要大文件知明度要高 2、文件要足够小足够简单 3、文件最好带有数字签名
4、文件要有被利用的漏洞

3.7.4选择白名单程序特种木马是什么？ 1、文件用户量要大文件知明度要高 2、文件要足够小足够简单 3、文件最好带有数字签名
4、文件要有被利用的漏洞

3.7.5分析白利用名单程序特种木马是什么？ 1、是否存在漏洞并使用动态加载 2、程序是否存在GUI界面 3、程序是否存在自动退出问题
4、卸载使用过的DLL文件

3.7.6白加黑最终实现思路整理特种木马是什么？ 1、首先分析要利用的白名单程序 2、进行DLL劫持漏洞利用
3、隐藏程序的界面，阻止程序退出 4、Shellcode复制进去并执行起来 5、最后卸载掉DLL

1、对移动设备传播 2、流量控制特种木马功能

4.1对移动设备传播对安卓手机感染

4.2流量控制指定时间回传对传输速度限速

THANK YOU 炫酷牛仔风格PowerPoint模板冷风 QQ 阿尔法实验室

Advanced Persistent Threat

Similar presentations

Presentation on theme: "Advanced Persistent Threat"— Presentation transcript:

Similar presentations

About project

反馈

请登录

Auth with social network:

Advanced Persistent Threat

Similar presentations

Presentation on theme: "Advanced Persistent Threat"— Presentation transcript:

Similar presentations

About project

反馈