通信隐蔽化
为了更好地逃避目标主机上的安全软件、防火墙的拦截,越来越多的木马采用更底层的通信协议,甚至实现不同于 TCP/IP 协议的私有协议,以达到更好的通信过程隐蔽化
基于 Tor 的通信
Tor 提供了一个顶级域 .onion,用户只能通过 Tor 访问网络中的服务和主机,有效地保护了提供服务的主机位置和所有者的身份标识
卡巴斯基发现了多种使用 Tor 进行通信的木马,如 64 位的 Zeus、Chewbacca 等
基于公共服务的中转通信
Makadocs 使用 Google Docs 作为中转代理,Google Docs 提供了一个被称为 viewer 的功能,可以接受资源的 URL 并显示,该功能允许用户在浏览器中浏览多种类型的文件
LOWBALL 木马利用 Dropbox 云端服务充当控制服务器,利用 Dropbox 的官方标准接口进行存取,并且具备上传、下载以及执行脚本或者可执行文件的能力
基于内核的网络通信
基于主机的安全软件通过在 Windows 系统的网络协议栈上挂钩,或者附加过滤驱 动,可以监控目标机器的通信过程,阻止可疑的网络连接,提供流量统计功能。
为对抗防火墙、网络审计软件、抓包工具等分析与查杀,木马正倾向于将通信过程 迁移到系统更底层进行。具体方法是,基于网络栈的 NDIS 层实现木马自己的网络协议栈,在网络上发送不同于 TCP/IP 的数据帧
Windows 网络组件主要包含服务、接口、协议驱动和网络适配器驱动四个基本部分, 由上到下组成了系统的网络栈,网络栈中的组件分为用户模式和内核模式两部分。其中,网络适配器驱动遵循 NDIS(Network Driver Interface SpecificMion)规范。因此,网络适配器驱动也称为 NDIS 驱动或者 NDIS miniport 驱动
Windows 系统中所有的网络通信都需要通过 NDIS 接口来完成。NDIS 网络驱动有 NDIS 协议驱动、ND
最低0.47元/天 解锁文章
扫一扫
529
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
