APT攻击揭秘之特种木马技术实现pps-Paper.PPT

Advanced Persistent Threat * * 冷风 APT攻击揭秘之特种木马技术实现 你叫什么名字？ 我叫 冷风 你从哪里来呢？ 我来自天融信 阿尔法实验室 你是干啥的？ 技术方向，木马，分析、编写 你的心情如何？ 鸡冻 ………………………………………………………… 整体目录 一、特种木马是什么 四、特种木马与杀软对抗 三、特种木马与防火墙对抗 五、特种木马所具备的功能 二、HID攻击介绍 特种木马是什么？ 特种木马是什么？ 穿越到4年前，震网病毒爆发时期 震网（Stuxnet）是一种Windows平台上的计算机蠕虫，该蠕虫病毒已感染并破坏了伊朗的核设施，使伊朗的布什尔核电站推迟启动。 特种木马是什么？ 木马如何进入隔绝的内网？ 敏感的网络都是物理隔离的，特种木马如何穿透隔离？ HID攻击 1、HID攻击方式 2、HID开发环境 3、HID攻击效果 4、HID技术瓶颈 特种木马是什么？ 1.0HID攻击方式 特种木马是什么？ 1.1HID攻击方式 Teensy是一个基于USB接口非常小巧而又功能完整的单片机开发系统，它能够实现多种类型的项目开发和设计。Teensy为开源项目，任何有能力有技术的都可以生产定制。其中PJRC是最优秀的或者说商业化最好的生产商。 特种木马是什么？ 1.2HID开发环境 安装完Arduino IDE之后，还需要Teensy芯片的SDK支持库，就可以进行开发了，开发语言类似于c语言。 特种木马是什么？ 1.3攻击效果 把Teensy插入到电脑USB接口后，会自动打开，运行对话框，键入相应的命令并运行。 特种木马是什么？ 1.4HID技术瓶颈 Teensy芯片，可以发起攻击，但是如何隐蔽执行，却是一个大大的问题。 对抗防火墙 5、注入白名单通讯 1、穿代理 2、绕过流量监控地址检测 3、多协议 4、协议加密穿透IPS/IDS 2.1穿代理 代理程序以ISA为例子 2.2绕过流量监控和恶意地址检测 恶意程序把数据传输到公共网络 防火墙有恶意地址检测 2.3多协议 同时兼容TCP、UDP、HTTP、DNS等 2.4协议加密穿透IPS/IDS防火墙 流行远控通信被加入特征库 特种木马是什么？ 2.5注入白名单通讯 把通讯功能注入到白名单进程中 防火墙认为白名单程序通讯放行 对抗杀毒软件 1、绕过卡巴斯虚拟机查杀 2、绕过小红伞启发式查杀 3、绕过360 4、对抗杀毒软件提取样本 5、对抗样本上传 6、检测虚拟机 7、白加黑绕过大多杀软 特种木马是什么？ 3.1绕过卡巴斯基为代表的虚拟机 1、如何检测到虚拟机环境 2、根据父进程判断 3、采用特殊消息判断 3.2绕过小红伞、NOD32为代表的启发式 高启发 10 20 30 40 50 60 把功能做成shellcode或者使用动态获取api针对启发式面杀效果好 特种木马是什么？ 3.3绕过360非白即黑查杀 传统思路绕过困难且不稳定 以正规渠道申请白名单绕过 特种木马是什么？ 3.4对抗杀毒软件提取样本 程序与秘钥分离 一次性木马 特种木马是什么？ 3.5对抗病毒样本上传 把增大到几百兆或者上GB 特种木马是什么？ 3.6检测虚拟机停止执行 检测VM、VPC虚拟机，防止分析 白加黑的意思就是利用杀毒软件所信任的软件程序，来安装启动或加载攻击者自己的恶意程序，以达到绕过杀毒软件的目的。马是什么？ 3.7.1白加黑绕过杀毒软件 使用Shellcode来做一些敏感操作比如写注册表启动项，创建服务等，杀毒软件会给予放行，因为执行Shellcode的内存位于进程空间，不属于DLL，杀毒软件会粗略认为此操作由EXE发起，而EXE本身是白名单程序所以杀毒软件会放行。 这一做法针对大多数杀毒软件是可行的，但有一部分杀毒软件是以检测到，比如360。理论上讲Shellcode在进程空间执行，是无法得知这个代码究竟是由谁执行的，所以也无法查杀，而360的做法是对每次内存申请都做记录，然后出现敏感操作时，再进行回溯，定位到最初申请的模块。这样就解决了问题，不过这种方法对系统资源会有比较大的开销，他应该是有一个机制或者跟据程序的危险值，来控制是否开启此功能。 3.7.2白加黑为何有效果 特种木马是什么？ 3.7.3选择白名单程序 4、文件要有被利用的漏洞 1、文件用户量要大文件知明度要高 2、文件要足够小足够简单 3、文件最好带有数字签名 * * *