26、远程访问木马的网络杀伤链分析

最新推荐文章于 2025-09-02 14:33:01 发布

吃瓜不吐籽595

最新推荐文章于 2025-09-02 14:33:01 发布

阅读量98

点赞数

CC 4.0 BY-SA版权

分类专栏：解读《大数据与物联网安全手册》文章标签：远程访问木马 RAT 网络杀伤链

本文链接：https://blog.youkuaiyun.com/oauth7security/article/details/149855498

解读《大数据与物联网安全手册》专栏收录该内容

35 篇文章 ¥499.90

订阅专栏¥69.90

会员秒杀 ¥9.9 重磅福利

超级会员免费看

远程访问木马的网络杀伤链分析

在当今数字化时代，计算机网络和工业系统时刻面临着网络威胁与攻击。恶意软件的不断发展，尤其是像木马这类远程控制恶意软件，给系统安全带来了巨大挑战。本文将深入探讨如何运用网络杀伤链（Cyber Kill Chain）模型来分析远程访问木马（RAT），并提出相应的层次结构，以帮助识别和减轻风险。

1. 网络安全威胁现状

随着新技术的不断涌现和互联网的广泛普及，各种系统面临着不同意图的渗透和污染。恶意软件作为计算机程序，旨在感染系统，不仅攻击和获取系统资源、信息，损害服务质量和操作，还会非法窃取个人信息，给人们带来巨大的心理影响和经济损失。

在过去二十年中，恶意软件检测一直是网络安全研究领域的热门挑战。恶意软件的发展呈指数级增长，因此需要更准确、高效的方法来应对。常见的恶意软件类型包括后门、Rootkit、Dropper、按键记录器、病毒、勒索软件等，它们会对计算机网络、操作系统、文件共享、在线社交网络等基础设施产生影响。

2. 远程访问木马（RAT）

RAT的定义和用途 ：远程访问木马（RAT）即远程管理工具，攻击者可借此远程控制目标系统，用于窃取目标组织的机密信息。RAT通常包含监听特定TCP/UDP端口的服务，客户端则作为服务器和攻击者之间的中介。
RAT的危害行为 ：
- 窃取文件
- 搜索受害者系统的个人文件
- 安装按键记录器以捕获和监控受害者键盘
- 文件管理（下载/上传/执行等）
- 管理和更改注册表（查询/添加/删除/修改）
- 外壳控制（通常使用命令行）
- 使用受害者系统进行DDoS攻击
- 使用网络带宽
- 监控、停止或启动任务管理中的任务
- 意外移动和点击鼠标
- 禁用系统的安全功能
RAT的传播方式 ：RAT可以通过创建TCP/UDP端口上的进程，转移流量以进行DDoS攻击。其传播途径主要有三种：电子邮件、USB驱动器和驱动下载。RAT通常从其命令服务器开始工作，存在两种模式：一种是攻击者的服务接收器模式，但流量难以通过防火墙；另一种是从受害者服务器开始的模式，流量甚至可以通过代理服务器。
RAT的操作平台 ：首个Windows RAT于1998年被发现，RAT主要针对Windows平台，但Linux、Mac OS X和Android系统上的木马数量也在不断增加。跨平台的RAT可以安装在任何支持Java的系统上，因此反木马解决方案应覆盖多种操作系统。

3. 相关研究

此前已有许多关于恶意软件层次结构的研究。例如，Lindorfer等人在2011年基于识别环境变量提出了恶意软件破坏行为的层次结构，但面临破坏性代码和识别工具环境的问题；Karim等人在2014年为手机僵尸网络提出了层次结构；Ugarte等人在2015年基于执行时间复杂度和代码比较方法提出了破坏性软件包的层次结构，但存在缺乏参考细节和分析工具的问题；Gupta等人提出了不同网络钓鱼攻击的层次结构及防御方法，但面临快速访问和高识别率的限制；Nawir在2016年为物联网（IoT）网络中的不同安全攻击提供了层次结构；Alan Cook在2017年提供了一个集成过程ICS_CDTP1，但无法预测确切的攻击路线；Kiwia等人在2017年基于网络杀伤链（CKC）为银行木马提出了首个层次结构，但需要扩展以覆盖其他家族。

4. 提出的方法

本文提出的检测RAT威胁的方法基于威胁狩猎模型，选择网络杀伤链威胁狩猎模型来应对企业中的RAT威胁。
- 威胁狩猎模型 ：
- 高级持续威胁（APT） ：一些网络威胁被称为高级持续威胁（APT），攻击者具备强大的能力，能够创建和维持针对目标的长期行动。安全专家不仅要对警告或妥协指标做出反应，还应主动寻找威胁，以防止或减轻损害。
- 网络杀伤链（CKC） ：CKC是一个系统的过程，用于针对和打击敌人以产生效果，包括七个步骤：
|步骤|描述|
| ---- | ---- |
|侦察（Reconnaissance）|收集电子邮件地址、会议信息等|
|武器化（Weaponization）|将漏洞与后门结合成可交付的有效载荷|
|交付（Delivery）|通过电子邮件、网络、USB等将武器化的捆绑包交付给受害者|
|利用（Exploitation）|利用漏洞在受害者系统上执行代码|
|安装（Installation）|在资产上安装恶意软件|
|指挥与控制（Command & Control）|用于远程操纵受害者的命令通道|
|行动目标（Action on Objectives）|入侵者通过“键盘操作”实现其原始目标|
- 钻石模型（Diamond Model） ：钻石模型用于解释原子渗透，描述对手的四个主要特征：攻击者、能力、基础设施和受害者。这些特征相互连接，边则描述了它们之间的关系。

实验方法 ：为了创建RAT模型，收集了477个真实世界的RAT文件进行实验。采用静态分析和动态分析两种方法来了解恶意软件的行为。
- 静态分析 ：无需执行恶意软件即可检测，计算开销较小，可检查所有执行路线。
- 动态分析 ：在Cuckoo沙箱中执行恶意软件，通过监控其行为和反应进行分析。

通过这些分析，挖掘出适合的属性，将恶意软件进行层次划分。一些显著的特征包括所需访问权限、端口、协议、模型和API调用等，这些特征有助于了解可执行文件的行为和目的。然后基于这些特征和CKC模型，提出了基于远程控制恶意软件属性的层次结构，为安全专家和风险缓解及识别策略设计者提供了逐步理解网络攻击的方法。

graph LR
    classDef process fill:#E5F6FF,stroke:#73A6FF,stroke-width:2px;
    A(收集数据):::process --> B(数据预处理):::process
    B --> C(数据分析):::process
    C --> D(静态分析):::process
    C --> E(动态分析):::process
    D --> F(特征选择):::process
    E --> F
    F --> G(攻击选项分析):::process
    G --> H(特征分类):::process
    H --> I(将RAT映射到CKC模型):::process
    I --> J(基于CKC的RAT分类):::process

通过以上方法，我们可以更深入地了解远程访问木马的行为和特征，为网络安全防护提供有力支持。在后续的研究中，还可以进一步分析不同APT组织的攻击工具，提供法医学分类和调查指南，以更好地应对不断变化的网络威胁。

远程访问木马的网络杀伤链分析

5. 透明部落高级持续性威胁（APT）行动矩阵分析

在应对网络威胁时，对于不同阶段的APT攻击，有相应的行动矩阵来指导防御策略。以下是透明部落APT的行动矩阵：
|CKC阶段|检测（Detect）|拒绝（Deny）|破坏（Disrupt）|降级（Degrade）|欺骗（Deceive）|摧毁（Destroy）|
| ---- | ---- | ---- | ---- | ---- | ---- | ---- |
|侦察威胁（Reconnaissance Threat）|威胁情报（Threat intelligence）|蜜罐（Honey pot）| - | - | - | - |
|武器化（Weaponisation）| - |补丁（Patch）| - | - | - | - |
|交付（Delivery）| - |员工培训（Staff training）| - | - | - | - |
|利用（Exploitation）|主机入侵检测系统（HIDS）| - | - | - | - | - |
|安装（Installation）|网络入侵检测系统（NIDS）、内联杀毒软件（Inline AV）| - | - | - | - | - |
|指挥与控制（C2）| - |服务质量（Quality of service）| - | - | - | - |
|行动意图（Actions—Intent）| - |加密（Encryption）| - | - | - | - |

如果对威胁的检测能力不足或被忽视，对手成功的可能性会大大增加。从矩阵中可以看出，这会减少破坏、降级、欺骗和遏制威胁的机会。

6. 未来工作展望

未来的研究可以基于APT组织的攻击工具进行分析，例如他们是否依赖经典恶意软件、勒索软件或僵尸网络等。此外，为不同的APT组织提供法医学分类和调查指南也是很有意义的工作。

7. 总结

本文围绕远程访问木马（RAT）的分析展开，通过网络杀伤链（CKC）模型对其进行深入研究。首先介绍了网络安全威胁的现状，强调了恶意软件对系统的危害。接着详细阐述了RAT的定义、用途、危害行为、传播方式和操作平台。在相关研究部分，回顾了以往关于恶意软件层次结构的研究成果及存在的问题。

提出的方法中，选择CKC威胁狩猎模型来应对企业中的RAT威胁，通过静态分析和动态分析两种方法了解恶意软件的行为，并基于分析结果和CKC模型提出了RAT的层次结构。同时，还分析了透明部落APT的行动矩阵，为防御策略提供了指导。

通过这些研究，我们能够更全面地了解RAT的特点和行为，为网络安全防护提供有效的方法和策略。在未来，不断深入研究和改进这些方法，将有助于更好地应对日益复杂的网络威胁。

graph LR
    classDef process fill:#E5F6FF,stroke:#73A6FF,stroke-width:2px;
    A(侦察):::process --> B(武器化):::process
    B --> C(交付):::process
    C --> D(利用):::process
    D --> E(安装):::process
    E --> F(指挥与控制):::process
    F --> G(行动目标):::process
    H(检测):::process --> A
    I(拒绝):::process --> B
    J(破坏):::process --> C
    K(降级):::process --> D
    L(欺骗):::process --> E
    M(摧毁):::process --> F

总之，网络安全是一个持续的挑战，我们需要不断学习和创新，运用科学的方法和策略来保护我们的系统和数据安全。无论是企业还是个人，都应该重视网络安全问题，采取有效的措施来防范网络攻击。