傳統意義上的遠程控制***由於適用面不廣,使用比較單一,只注重功能不注重一些安全上的問題,出現過的事故就有:
1.控制者被反查
2.控制者機器被利用文件下載上傳文件反控
3.相關***被殺
4.抓雞***被網警追捕
5.主要成員被國際通緝 等等。
傳統的遠程控制***
最初
1. 大多使用tcp協議作爲其主要通信協議,沒有采用對應的加密措施。
2. ***文件經過加殼或者沒有加殼,可輕易被分析出特徵碼。
3. 相關功能都被整合到了一起,免殺時間短。
4. 不穩定性,遇到複雜的網絡環境可能存在上線難的問題。
5. 上線採用動態域名,經過不可靠第三方中轉信息可被輕易攔截或者僞造。
6. 大多采用註冊表啓動或者註冊服務啓動,少有修改文件方式。
7. 存在可執行文件,dll,sys,啓動方式大多采用獨立啓動,沒有或者少有文件感染,進程注入。
8. 種馬感染方式單一,大多采用網絡傳輸方式感染。
9. 駐留方式單一,大多是駐留在系統。不存在反沙盒分析功能。
10. 大多是c/s結構,即client/server。***文件普遍較大。
後來
1. 除了tcp***之外出現了udp***,但依然沒有采取加密措施。
2. ***在原有加殼基礎之上,開始出現了自寫殼,反調試等反分析措施。
3. 由原來的整合到一起開始出現了生成器/控制端的模式,免殺時間稍微變長。
4. 上線開始出現了多種上線模式,出現了網站空間上線、FTP上線、數據庫上線。
5. 穩定性變強。出現了反彈上線***。
6. 開始出現修改系統文件,修改服務啓動方式隱藏自身。
7. 開始出現了迷你版本***,出現了無進程,文件感染,進程注入技術應用。
8. 出現了多種感染方式,***本身在感染母體後出現了感染移動設備的情況。
9. 開始出現了駐留bios,感染映像文件***。依然不存在反沙盒分析能力。
10. 出現了b/s,即瀏覽器/服務器模式交互通信***。穩定性變強。文件比起上一代變小了一些。
現在
1. 除了tcp,udp***之外,開始出現了https,ssl***,但本身還是會被抓到***原型。
2. ***在原有加殼,自寫殼,反調試基礎之上,出現了shellcode***,dll***,純進制文件靠其他文件加載***。
3. 由原來的生成器/控制端模式開始出現了模塊化***,抗分析,免殺能力變強。
4. 上線由原來的單一上線模式出現了支持混合協議上線模式***,一個服務器被封,可保持被控者依然不掉。
5. 穩定性在原有基礎之上變得更強,除了反彈上線之外,出現了依靠其他服務上線***。
6. 除了原來的修改、感染文件方式之外,出現了感染聲卡,感染網卡方式。
7. 除了無進程之外,出現了無文件,無端口端口***技術應用。
8. 除了感染移動設備外,出現了跨平臺感染***,內網感染***,會感染比如智能交易終端之類的設備。
9. 出現了反內存分析、文件定時自動變異***,會給分析帶來一定難度。
10.出現了混合控制方式***,可以b/s也可以c/s。
11.由原來的從vc/delphi/vb之類的語言編寫的遠控***開始出現了腳本編寫的遠控***程序。體積更小,方式更加隱蔽。
目前面臨的問題。
1. 遠控傳輸協議的問題,沒有好的加密協議很容易出現通信被攔截/僞造問題,給自己帶來危險。一些防火牆設備也可以輕易攔截通信。
2. 遠控的免殺問題,傳統的***很容易在取到特徵後就被殺毒軟件查殺,一直沒有出現好的反殺毒軟件思路。
3. 啓動加載方式問題,傳統的比如註冊表,文件,服務啓動,很容易被比如(x60之類)軟件攔截,許多殺軟也比較看重註冊表。
4. 文件駐留問題,駐留在系統很容易被取到樣本文件,也會導致***本身生存週期變短。
5. 文件操作問題,所有功能都集中在了一起,很容易被識別爲***文件。
暫時性的解決措施:
1. 遠控傳輸協議採用公鑰方式加密,文件生成時可選擇僞造某種可信軟件報文方式。
2. 在文件特徵上,採用密鑰方式分段加密,內存分段解密運行後刪除上一次操作記錄,靜動交互+加密模式對抗特徵捕獲。
3. 加載方式採用非註冊表加載,注入硬件核心驅動文件加載。
4. 系統只駐留主要支持文件,或者完全靠注入後文件操作。
5. 功能文件採用插件方式,用完即刪,即使被捕獲也很難被分析認定爲***。
未解決的問題:
源頭/ip地址很容易被偵查員捕獲的問題,採用私有云,p2p方式待實踐。
只有更新的***/***技術才能促進整體的安全進步。