27、基于网络杀伤链模型的远程访问木马分析

最新推荐文章于 2025-09-02 14:33:01 发布

吃瓜不吐籽595

最新推荐文章于 2025-09-02 14:33:01 发布

阅读量49

点赞数

CC 4.0 BY-SA版权

分类专栏：解读《大数据与物联网安全手册》文章标签：远程访问木马 RAT 网络杀伤链

本文链接：https://blog.youkuaiyun.com/oauth7security/article/details/149855501

解读《大数据与物联网安全手册》专栏收录该内容

35 篇文章 ¥499.90

订阅专栏¥69.90

会员秒杀 ¥9.9 重磅福利

超级会员免费看

基于网络杀伤链模型的远程访问木马分析

1. 静态分析方法的挑战与动态分析的必要性

在对恶意软件进行分析时，静态分析方法虽取得了不少成果，但也面临着巨大挑战。静态分析方法在处理新的、未知的恶意软件时存在复杂性，这是因为新的恶意软件采用了反问题解决机制和防御技术，阻止代码分支被分析。而且，我们并不总是能够获取恶意软件的代码结构，恶意软件还有可能对其代码结构进行编码，在这些情况下，静态分析方法往往就失去了作用。因此，为了解决这些问题，动态分析方法应运而生。

静态分析可以提取一些特征，在沙箱执行后，恶意软件可能会创建文件和注册表项以驻留在系统中，启动新进程并与控制和命令服务器进行通信。具体的分析结果如下：
- 进程相关 ：能够显示恶意软件创建的进程。
- 域名解析 ：分析过程中解析的域名（将域名转换为 IP 地址的活动）。
- 网络连接 ：建立的网络连接。
- API 调用 ：显示每个进程调用的 API 列表，包含 API 使用场景（如访问网络、系统文件、注册表、服务、集成等）、API 调用时间、API 名称、输入值和 API 参数、API 输出值以及重复次数。
- 系统文件变化 ：显示系统文件的变化（添加新文件、更改文件、删除文件）。
- 注册表变化 ：显示 Windows 注册表的变化。
- 互斥体使用 ：显示创建和使用的互斥体。

网络连接部分的分析结果还包括目标主机地址，以及可下载分析期间所有交换数据包的数据包捕获文件。此外，这样的系统还应能够收集准确的系统信息，如当前网络的结构，包括解析域名的名称、HTTP(S) 连接列表、ICMP 连接列表、UDP 连接列表、TCP 连接列表和 DNS 连接列表。

通过 Cuckoo 沙箱分析还能从文件属性中获取其他信息，如下表所示：
| 文件名称 | 大小 | 类型 | MD5 | CRC32 | SSDeep | Yara | 截图数量 | 被杀毒软件识别数量 |
| — | — | — | — | — | — | — | — | — |
| A7m3d - Rat V1.0.exe | 1.1 MB | PE32 可执行文件（GUI），Intel 80386，适用于 MS Windows | 4451fc1ccdfa5134c5cb191366951972 | 7BA16B81 | 无 | vmdetect - 可能采用反虚拟化技术 | 160 | 42 |
| Adwind RAT v3.0.jar | 2.8 MB | Java 存档数据（JAR） | b83082c7899204065f4b2d79506c8773 | A11E19D9 | 无 | Advapi_Hash_API - 查找 advapi API 函数；RijnDael_AES - RijnDael AES；shellcode - 匹配 shellcode 字节模式；SEH__vba - （无描述） | 96 | 30 |
| AceRAT - Client.exe | 440.0 KB | PE32 可执行文件（GUI），Intel 80386，适用于 MS Windows | 67aaf784a80fcdb89945977e43a45ea5 | AC0F25C8 | 无 | | 88 | 48 |

2. 远程访问木马在网络杀伤链模型中的映射范式

当木马安装在系统上时，不仅会削弱系统信息的安全性，还会为攻击者提供攻击机会。一般来说，一次攻击包含七个主要步骤，我们基于这些步骤提出了相应的层次结构。

2.1 侦察（Reconnaissance）

识别网络攻击包括使用数据收集工具对目标进行规划和研究。

2.2 武器化（Weaponization）

利用木马制作软件创建感染了木马的软件包。这一步对于提高攻击的成功率、降低攻击被识别的概率以及限制安全研究人员识别和分析威胁的能力至关重要。识别恶意代码通常可分为基于主机的方法和基于网络的方法，如下表所示：
| 类别 | 子类 | 应用于 RAT 检测 |
| — | — | — |
| 基于主机 | 签名 | 静态，检测二进制文件 |
| 基于主机 | 行为 | 沙箱，动态检测 |
| 基于网络 | 签名 | 静态，检测应用层 |
| 基于网络 | 异常 | 流量统计 |
| 基于网络 | 协议 | 非标准协议 |

基于主机的逃避技术
- 嵌入恶意代码 ：将木马的恶意代码伪装成有吸引力的文件，如办公软件。用户执行该文件时，子进程会在后台悄悄安装，之后再安装主程序。攻击者可以使用特殊工具压缩任何二进制代码（DOS 或 Windows），该工具在执行时会提取文件，使子进程难以被检测到，大多数杀毒软件也无法识别文件内的数字签名。
- Rootkit ：是一组控制操作系统的软件，用户通常不会察觉到其存在，黑客却可以访问所有系统设置。Rootkit 与木马和后门类似，但更难被识别，因为它们会取代操作系统文件，甚至有时会取代 Windows 内核。
- 后门：攻击者通常会创建隐藏的出口，以便能够发送、接收或控制系统。也就是说，攻击者可以绕过正常的安全机制，获取系统的管理员权限，轻松窃取信息和文件。
基于网络的逃避技术
- 端口利用 ：使用共享端口，有时使用特定端口。木马利用常见端口进行破坏活动，降低网络端口被识别为恶意通信的概率。
- 通用协议 ：通常使用 HTTP(S)、UDP 和 TCP 等协议。

2.3 交付（Delivery）

攻击者会采用某种方法与目标进行接触，并将其破坏性负载发送到目标环境。一般可以通过以下不同方式实现：
- 下载：用户（有意识或无意识）通过与浏览器兼容的活动内容（如 JavaScript）下载破坏性程序。恶意代码嵌入在对象中，迫使受害者下载。
- 恶意网站 ：受害者访问网站时，网站会在其系统上执行破坏性程序，从而使木马进入系统。
- 电子邮件 ：发送的电子邮件可能包含破坏性文件，点击后木马会进入系统。
- 利用软件漏洞 ：木马利用软件（如浏览器）的漏洞进入受害者系统。
- 使用软盘 ：这也是一种将破坏性负载传递到目标空间的方式。

远程控制木马通常使用以下三种方法：
- 电子邮件附件 ：大多数组织使用电子邮件通信，其附件（如 PDF 文档或办公软件中的宏）可能包含以宏或 JavaScript 形式存在的破坏性代码。
- 网页链接 ：受害者访问网站，网站在系统上执行程序，木马进入系统。
- 下载器 ：受害者下载程序，木马隐藏在程序中进入系统。

2.4 利用（Exploitation）

在交付恶意软件后，攻击者通过执行破坏性程序或利用系统漏洞来攻击目标系统。成功的渗透可能导致窃取个人信息、向应用程序注入恶意代码、操纵功能等。
- 网页注入 ：具有网页注入能力的木马可以逐渐改变受害者系统上的网页。例如，用户态 Rootkit 技术中，木马在浏览器启动时通过 API 注入代码，使用 WININET.DLL 并利用高级通信功能（如 HttpQueryInfo、HttpSendRequest 等），通过 API 挂钩操纵功能，从而改变用户状态，使木马能够在信息被 HTTP 编码之前进行跟踪。
- 保护机制利用 ：安全账户的访问权限可以以任何方式分配，一个对象总是继承其主对象的访问权限，这虽然便于安全管理，但也使攻击者更容易访问和操纵。
- 期望访问 ：与文件相关的对象存储受访问模型控制，攻击者在调用 Create File、Create Directory 等函数时会定义文件或目录的安全解释器，更改访问规则（如删除、读取控制所有者、写入和同步）。

2.5 安装（Installation）

在这一阶段，攻击者试图访问更多系统，使更多节点处于危险之中。在安装之前，RAT 服务器可以通过 RAT 提供的结构包进行修改，包括设置 RAT 服务器使用的 TCP/UDP 默认设置、描述自动启动方法、编码算法以及确定初始密码。RAT 服务器在安装过程中可能会将自己伪装成合法程序，当有请求时就会被调用。攻击者通常会采用难以被发现的方法，例如 DLL 加载，Windows 允许应用程序指定路径加载 DLL，攻击者利用这一点，以更高的优先级加载其破坏性 DLL。

2.6 命令与控制（Command and Control）

通过命令与控制机制对操作进行控制和协调，并将信息发送到 C2 服务器。这一机制将恶意软件与 C&C 服务器连接起来，破坏性程序会在 C2 域中注册，以上传或接收命令。数据流量根据行为模式和影响可分为资源下载、多媒体、网站访问、超个人存储、远程访问、P2P 交互和电子邮件等类别。RAT 连接有直接连接和反向连接两种类型，直接连接是攻击者主机与受感染主机之间的直接连接，反向连接是受感染主机递归连接到攻击者主机。
- IP 地址 ：攻击者作为域名可以连接到每个 IP 地址，但获取域名的规则较为复杂。
- 协议利用 ：攻击者使用不同的协议，接收受害者访问的不同域名，并试图将其木马托管在这些域名上。通常，攻击者会创建多个 C2 路由，以确保即使一个路由被识别，连接仍能保持。
- 行动目标 ：攻击者完成上述步骤后，会按照其计划进行操作，可能包括干扰系统、影响信息传输速度、在网络中移动、安装和执行附加功能等。
- 投放文件 ：木马可以利用后门在受害者系统上放置不同类型的文件，以进行破坏活动。

根据上述七个基本步骤，我们提出的分类如下：

graph LR
    classDef process fill:#E5F6FF,stroke:#73A6FF,stroke-width:2px;
    A(武器化):::process --> B(基于主机的逃避):::process
    A --> C(基于网络的逃避):::process
    B --> D(嵌入恶意代码):::process
    B --> E(Rootkit):::process
    B --> F(后门):::process
    C --> G(端口利用):::process
    C --> H(通用协议):::process
    I(交付):::process --> J(电子邮件附件):::process
    I --> K(网页链接):::process
    I --> L(下载器):::process
    M(利用):::process --> N(网页注入):::process
    M --> O(保护机制利用):::process
    M --> P(期望访问):::process
    Q(安装):::process --> R(DLL 加载):::process
    S(命令与控制):::process --> T(IP 地址):::process
    S --> U(DNS、TCP、UDP、HTTP(S)):::process
    S --> V(行动目标):::process
    S --> W(投放文件):::process

3. 总结

新型恶意软件（如 RAT）的检测是一项具有挑战性的任务。这类恶意软件的结构通过各种混淆技术在每次传播后都会发生变化，但其主要功能保持不变，这使得识别它们变得困难和复杂。恶意软件开发者在恶意软件中插入跳转代码，使每次入侵时其签名不同，从而避免被杀毒软件和反恶意软件检测到。恶意软件检测失败的原因可能是种类变化、结构编码、包含不同代码，也可能是计算溢出、识别准确性和方法性能不佳等。我们提出了一种基于网络杀伤链威胁狩猎模型的新型映射机制，通过静态和动态特征来检测 RAT。该模型有助于根据 RAT 的当前行为和特征进行识别和分类，并将其映射到网络杀伤链的工作区域。

附录中还给出了一些提取特征的示例，如下表所示：
| 名称 | API | 期望访问 | 共享访问 | 节 | 导入 | 分配类型 | 保护 | 状态返回 | 端口 | 协议 | 套接字 | 区域大小 | 标志 |
| — | — | — | — | — | — | — | — | — | — | — | — | — | — |
| RAT1 | GetAdaptersAddresses 等 | 111 等 | 0 等 | .text .data .idata .tls | kernel32.dll | MEM_COMMIT|MEM_RESERVE 等 | READWRITE, NOACCESS 等 | 1 等 | | | | 1269760 等 | 0 等 |
| RAT2 | GetDiskFreeSpaceExW 等 | 1 等 | 1 等 | .text .data .idata .tls | kernel32.dll | | | | | | | | |
| RAT3 | GetFileAttributesW 等 | 4294967295 等 | | .text .sdata .rsrc .reloc | mscoree.dll | | | | | | | | |
| RAT4 | | | | .text .sedata .idata .rsrc | mscoree.dll, MSVCRT.dll 等 | | | | | | | | |

同时，还有远程木马的分类表：
| 名称 | 武器化 | 交付 | 利用 | 安装 | 命令与控制 | 行动目标 | 基于主机的逃避 | 基于网络的逃避 | 电子邮件附件 | 网页注入 - API | 主机 | 协议 | 数据外渗 | 嵌入恶意代码 | Rootkit | 后门 | 端口 | 通用协议 | 宏 | PDF | 网页链接 | 下载器 | 用户态 Rootkit | 保护 | 期望访问 | DLL 加载 | 共享访问 | IP 地址 | DNS | TCP | UDP | HTTP(s) | 投放文件 |
| — | — | — | — | — | — | — | — | — | — | — | — | — | — | — | — | — | — | — | — | — | — | — | — | — | — | — | — | — | — | — | — | — |
| RAT1 | * | * | * | * | * | 1 | 0 | 1 | 14 | 1 | | | | | | | | | | | | | | | | | | | | | |
| RAT2 | * | * | * | * | * | * | * | * | * | 1 | 0 | 1 | 15 | 1 | * | | | | | | | | | | | | | | | | |
| RAT3 | * | * | * | * | * | * | * | * | 4 | 3 | 9 | 25 | 14 | * | | | | | | | | | | | | | | | | |
| RAT4 | * | * | * | * | * | * | 1 | 1 | 0 | 14 | 1 | | | | | | | | | | | | | | | | | | | | |
| RAT5 | * | * | * | * | * | * | * | * | * | 1 | 0 | 1 | 18 | 1 | * | | | | | | | | | | | | | | | | |
| RAT6 | * | * | * | * | * | * | * | 1 | 0 | 1 | 14 | 1 | | | | | | | | | | | | | | | | | | | |
| RAT7 | * | * | * | * | * | 1 | 0 | 1 | 18 | 1 | * | | | | | | | | | | | | | | | | | | | | |
| RAT8 | * | * | * | * | 1 | 0 | 1 | 13 | 1 | | | | | | | | | | | | | | | | | | | | | |
| RAT9 | * | * | * | * | * | * | * | * | * | 1 | 0 | 1 | 12 | 1 | | | | | | | | | | | | | | | | | |
| RAT10 | * | * | * | * | * | 1 | 0 | 1 | 12 | 1 | | | | | | | | | | | | | | | | | | | | | |
| RAT11 | * | * | * | * | * | * | * | * | * | 1 | 0 | 1 | 16 | 1 | * | | | | | | | | | | | | | | | | |
| RAT12 | * | * | * | * | * | 1 | 0 | 1 | 10 | 1 | | | | | | | | | | | | | | | | | | | | | |
| RAT13 | * | * | * | * | * | * | 1 | 0 | 1 | 15 | 1 | | | | | | | | | | | | | | | | | | | | |
| RAT14 | * | * | * | * | * | * | * | 1 | 0 | 1 | 14 | 1 | * | | | | | | | | | | | | | | | | | | |
| RAT15 | * | * | * | * | * | * | * | * | 1 | 0 | 1 | 19 | 1 | * | | | | | | | | | | | | | | | | | |
| RAT16 | * | * | * | * | 1 | 0 | 1 | 17 | 1 | * | | | | | | | | | | | | | | | | | | | | | |
| RAT17 | * | * | * | * | * | * | * | * | 1 | 0 | 1 | 12 | 1 | * | | | | | | | | | | | | | | | | | |
| RAT18 | * | * | * | * | * | * | 1 | 0 | 1 | 12 | 1 | * | | | | | | | | | | | | | | | | | | | |
| RAT19 | * | * | * | * | * | * | 1 | 0 | 1 | 20 | 1 | | | | | | | | | | | | | | | | | | | | |
| RAT20 | * | * | * | * | * | * | * | 1 | 0 | 1 | 14 | 1 | | | | | | | | | | | | | | | | | | | |
| RAT21 | * | * | * | * | * | 1 | 0 | 2 | 15 | 2 | * | | | | | | | | | | | | | | | | | | | | |

通过这些表格和分析，我们可以更全面地了解远程访问木马的特征和攻击流程，从而更好地进行防范和检测。

基于网络杀伤链模型的远程访问木马分析（续）

4. 远程访问木马特征的详细解析

为了更深入地理解远程访问木马（RAT）的特性，我们对其在各个攻击阶段所呈现的特征进行详细解析。

4.1 武器化阶段特征

在武器化阶段，RAT 采用多种手段来逃避检测并提高攻击的隐蔽性。从前面提到的表格中可以看出，不同的 RAT 在基于主机和基于网络的逃避技术方面有不同的表现。
- 基于主机的特征 ：如 RAT1 - RAT21 中部分标识有“ ”的项表明使用了嵌入恶意代码、Rootkit 或后门等技术。例如 RAT2 显示使用了嵌入恶意代码技术，这意味着它可能会以伪装文件的形式进入系统，在用户毫无察觉的情况下进行安装和执行。
- 基于网络的特征 *：一些 RAT 利用端口和通用协议进行逃避。像使用共享端口或特定端口，以及 HTTP(S)、UDP、TCP 等通用协议，降低被识别为恶意通信的可能性。例如某些 RAT 可能会利用常见的 80 端口（HTTP 协议）进行数据传输，使得其通信流量与正常的网页浏览流量难以区分。

4.2 交付阶段特征

交付阶段是 RAT 进入目标系统的关键环节。主要通过电子邮件附件、网页链接和下载器三种方式。
- 电子邮件附件 ：许多组织的日常工作依赖电子邮件通信，这为 RAT 提供了可乘之机。如表格中部分 RAT 涉及电子邮件附件交付方式，其附件中的 PDF 文档或办公软件宏可能包含恶意代码。攻击者会精心设计邮件内容，诱导用户点击附件，从而使 RAT 进入系统。
- 网页链接 ：恶意网站也是 RAT 进入系统的重要途径。当用户访问这些网站时，网站会在其系统上执行破坏性程序。例如一些看似正常的新闻网站，可能被攻击者植入了恶意脚本，用户访问时就会触发 RAT 的下载和安装。
- 下载器 ：用户在下载程序时，可能会下载到隐藏有 RAT 的文件。例如一些免费的软件下载网站，可能被攻击者篡改，提供包含 RAT 的软件包。

4.3 利用阶段特征

利用阶段是 RAT 发挥其攻击能力的阶段，主要包括网页注入、保护机制利用和期望访问等方面。
- 网页注入 ：具有网页注入能力的 RAT 可以改变受害者系统上的网页。例如用户态 Rootkit 技术，通过 API 注入代码，在浏览器启动时进行操作，利用 WININET.DLL 和高级通信功能，在信息被 HTTP 编码之前进行跟踪。这使得攻击者可以获取用户在网页上输入的敏感信息，如账号密码等。
- 保护机制利用 ：安全账户的访问权限分配可能被攻击者利用。由于对象继承主对象的访问权限，攻击者可以更容易地访问和操纵系统资源。例如攻击者可能会利用某个具有一定权限的账户，逐步提升自己的权限，最终获取系统的管理员权限。
- 期望访问 ：攻击者在调用相关函数时会更改文件或目录的访问规则。例如在调用 Create File、Create Directory 等函数时，修改 Delete、Read Control Owner、Write 和 Synchronous 等访问规则，以便更自由地操作系统文件和目录。

4.4 安装阶段特征

安装阶段 RAT 会尝试在目标系统上立足并扩展其影响力。其中 DLL 加载是常见的手段之一。
- DLL 加载 ：Windows 系统允许应用程序指定路径加载 DLL，攻击者会利用这一特性，以更高的优先级加载其破坏性 DLL。例如攻击者可能会将恶意 DLL 放置在系统的高优先级目录中，使得系统在启动时优先加载该 DLL，从而实现 RAT 的自动启动和持久化。

4.5 命令与控制阶段特征

命令与控制阶段是攻击者对 RAT 进行远程控制的阶段，涉及 IP 地址、协议利用、行动目标和投放文件等方面。
- IP 地址 ：攻击者作为域名可以连接到每个 IP 地址，但获取域名的规则较为复杂。因此，攻击者可能会采用动态 IP 地址或使用代理服务器来隐藏自己的真实 IP 地址，增加追踪的难度。
- 协议利用 ：攻击者使用不同的协议，接收受害者访问的不同域名，并试图将其木马托管在这些域名上。同时创建多个 C2 路由，确保即使一个路由被识别，连接仍能保持。例如攻击者可能会利用多个域名和服务器进行通信，形成一个复杂的命令与控制网络。
- 行动目标 ：攻击者的行动目标多种多样，可能包括干扰系统、影响信息传输速度、在网络中移动、安装和执行附加功能等。例如攻击者可能会通过 RAT 对目标系统进行 DDoS 攻击，导致系统瘫痪，或者窃取系统中的敏感数据。
- 投放文件 ：RAT 可以利用后门在受害者系统上放置不同类型的文件，以进行破坏活动。这些文件可能是进一步的攻击工具、间谍软件或用于数据外渗的脚本等。

5. 应对远程访问木马的策略

了解 RAT 的攻击流程和特征后，我们可以制定相应的应对策略。

5.1 加强安全意识培训

员工培训 ：对企业员工进行安全意识培训至关重要。教育员工不要随意点击电子邮件中的附件和链接，尤其是来自不明来源的邮件。提醒员工注意下载软件的来源，避免从不可信的网站下载程序。
用户教育 ：对于普通用户，也需要提高安全意识。例如在浏览网页时，注意网址的真实性，避免访问可疑网站。不轻易在不可信的网站上输入个人敏感信息。

5.2 强化系统防护

防火墙设置 ：合理配置防火墙，限制不必要的网络端口和协议访问。例如关闭一些不常用的端口，只允许特定的 IP 地址和端口进行通信。
杀毒软件和入侵检测系统 ：安装可靠的杀毒软件和入侵检测系统（IDS/IPS），并及时更新病毒库和规则库。这些软件可以实时监测系统的活动，发现并阻止 RAT 的入侵和运行。
系统更新 ：及时更新操作系统和应用程序的补丁，修复已知的安全漏洞，减少 RAT 利用漏洞进入系统的机会。

5.3 监测和分析网络流量

流量分析 ：通过网络流量分析工具，监测网络中的异常流量。例如分析流量的来源、目的地址、端口和协议，发现异常的通信模式。如果发现某个 IP 地址频繁与多个未知地址进行通信，或者某个端口的流量异常增大，可能存在 RAT 的活动。
日志审计 ：定期审计系统和网络设备的日志，查找可疑的活动记录。例如查看系统登录日志、文件访问日志等，发现异常的登录行为或文件操作。

5.4 建立应急响应机制

应急预案制定 ：制定完善的应急预案，明确在发现 RAT 入侵时的处理流程。包括隔离受感染的系统、备份重要数据、清除 RAT 等步骤。
应急演练 ：定期进行应急演练，提高应急响应团队的处理能力和协同作战能力。确保在实际发生 RAT 入侵时，能够迅速、有效地进行处理，减少损失。

6. 总结与展望

通过对远程访问木马在网络杀伤链模型下的分析，我们全面了解了其攻击流程、特征以及应对策略。网络安全是一个持续的挑战，随着技术的不断发展，RAT 也会不断演变和升级。未来，我们需要不断加强对 RAT 的研究和监测，采用更先进的技术和方法来应对新的威胁。

同时，随着物联网、云计算等新技术的广泛应用，网络攻击的范围和影响将进一步扩大。我们需要将网络安全的理念融入到各个领域，构建多层次、全方位的安全防护体系，以保障信息系统的安全稳定运行。

graph LR
    classDef process fill:#E5F6FF,stroke:#73A6FF,stroke-width:2px;
    A(加强安全意识培训):::process --> B(员工培训):::process
    A --> C(用户教育):::process
    D(强化系统防护):::process --> E(防火墙设置):::process
    D --> F(杀毒软件和入侵检测系统):::process
    D --> G(系统更新):::process
    H(监测和分析网络流量):::process --> I(流量分析):::process
    H --> J(日志审计):::process
    K(建立应急响应机制):::process --> L(应急预案制定):::process
    K --> M(应急演练):::process

通过以上的策略和措施，我们可以更好地应对远程访问木马的威胁，保护网络和信息系统的安全。

应对策略	具体措施
加强安全意识培训	员工培训、用户教育
强化系统防护	防火墙设置、杀毒软件和入侵检测系统、系统更新
监测和分析网络流量	流量分析、日志审计
建立应急响应机制	应急预案制定、应急演练

通过不断学习和实践，我们可以提高对 RAT 的防范能力，保障网络空间的安全。