环球热资讯！远程控制木马_通过逆向理解远程控制木马

2023-04-06 16:17:07来源：互联网

随着社会越来越发达，大家都选择在网络上汲取相关知识内容，比如远程控制木马_关于远控木马你应该了解的知识点，为了更好的解答大家的问题，小编也是翻阅整理了相应内容，下面就一起来看一下吧！

远程控制木马(关于远程控制木马你应该知道的知识点)

(资料图片仅供参考)

“遥控木马”这个词总感觉很有年代感。作为安全行业的菜鸟，最初的启蒙是分析各种遥控器的受控端，了解这类恶意代码从行为到流量的发展变化。远程控制木马的分析在网上随处可见。所以本文从个人角度总结了一些对远程控制木马的认识，可能有所欠缺。欢迎交流学习。

从控制端熟悉远程控制木马的功能。

我之一次接触远程控制木马的时候，大概用过上百个远程控制软件的客户端。知道一个远程控制木马的功能，最直接的方法就是使用它。下面以GH0ST的美化版为例:

控制终端的界面功能非常清晰。首先要做的是生成一个受控终端的程序。通常，您可以设置在线IP/域名/网址等。，选择kill还是shell，选择进程注入、服务启动等驻留模式。有些遥控器可以设置密码对传输的数据进行加密，选择不同的图标等。：

这里，选择一个XP虚拟机作为演示的受控端。受控端运行生成的exe程序后，可以在界面中看到主机。Wireshark可用于捕获受控终端的在线流量。Gh0st远程控制的特点是TCP流量会包含GH0ST online字符串，后面是Zlib压缩的主机信息数据:

选择用于Gh0st远程控制的snort的以下规则:

alerttcp$HOME_NETany->$EXTERNAL_NETany(msg:"MALWARE-CNCWin.Trojan.Gh0stvariantoutboundconnection";flow:to_server,established;content:"Gh0st",depth5;content:"|000000|",within3,distance1;content:"|0000789C|",within4,distance2;metadata:impact_flagred,policybalanced-ipsdrop,policysecurity-ipsdrop,rulesetcommunity;reference:url,virustotal.com/en/file/a4fd37b8b9eabd0bfda7293acbb1b6c9f97f8cc3042f3f78ad2b11816e1f9a59/ *** ysis/1425053730/;classtype:trojan-activity;sid:27964;rev:5;)

Gh0st的流量具有非常典型的特征。很多遥控器其实都是Gh0st源码改的，所以一般格式都不一样。一段识别码+Zlib压缩数据(你怎么知道是Zlib？zlib压缩的头标是\x78\x9c)，通过这个特性可以在流量端检测到这些远程控制或者分析流量数据，这是目前大多数IDS/态势感知产品使用的方法之一。

在控制端，你可以看到联机的主机，然后执行一系列的操作。基本上，你可以在受控端做任何你想做的事情:

通过逆向理解远程控制木马

如果说使用它可以直观的了解远程控制木马的功能，那么逆向分析就是了解这些功能是如何实现的(当然源代码分析也是一种方法)。下面是最近抓取的一个远程控制DLL文件，作为例子简单分析一下。发现此DLL文件时，它正在作为服务运行:

ServiceMain先注册了一个窗口类“TOXHJ MYLOVE”，可耻，这个名字公然告诉大家我是木马:

然后创建一个线程，遍历整个流程，找到软件查杀:

然后注册服务，即在故障排除开始时看到正在运行的服务程序:

解密C&C服务器的域名“as3421363.vicp.cc”，并与域名进行通信，其中使用的API都是动态地址:

*** 常用的几个API，如gethostbyname、connect、recv等。：

获取主机信息，通常包括磁盘、cpu、网卡、系统版本、安装的安全软件等信息。在此示例中，数据也由zlib压缩并发送:

接收控制端的命令，解析命令并执行相应的操作，粗略看一下远程控制木马支持的操作如文件操作、远程桌面、摄像头监控、键盘录音、录音、进程操作、远程CMD等。：

如果想知道每个功能的具体实现，可以具体分析一下。但一般在野生样本被捕获后，控制终端已经失去联系，通过动态调试无法运行相应的操作。如果有兴趣，可以自己生成一个受控终端，使用同一个网段的两个虚拟机进行动态调试。