点击上方「蓝字」,关注我们
远控木马(Remote Access Trojan,RAT)是一种恶意软件,旨在远程控制和操作受感染的计算机系统,而无需受害者的明确授权。
传播方式
社会工程:通过欺骗、诱导等手段诱使用户执行恶意操作。
恶意软件包:将远控木马捆绑在合法软件中,用户下载安装后感染。
漏洞利用:利用系统或应用程序的漏洞将远控木马植入目标系统。
网络传播:利用网络漏洞或弱口令传播至其他主机。
移动存储介质:将远控木马存储在移动设备中,插入目标系统后感染。
远程攻击:通过远程漏洞利用或未授权访问部署远控木马。
供应链攻击:篡改软件或硬件供应链,使用户受感染。
内部渗透:利用钓鱼邮件等手段将远控木马植入内部网络。
以钓鱼网站为例示范远控木马的植入过程
在攻击机虚拟机中使用C2控制器生成后门程序。
对后门程序进行加固,可避免被杀毒软件查杀,且可防止程序被逆向和破解。
随机挑选一个可下载文件的网站并将其另存为html文件,在其中“下载最新版”的参数链接修改为后门程序的下载链接。
在靶机中模拟钓鱼攻击过程:当被钓的用户打开该网站并点击下载时,假设这个网站和程序的名称看起来都非常正常,但下载文件由原来的客户端变为后门程序。第一个下载文件为没有加固的后门程序,会被报病毒提醒并删除,第二个下载文件为加固后的后门程序,不会报毒。
当被钓的用户运行该程序时,运行后程序仅在后台执行,无界面展示。在攻击机虚拟机中,用户的设备上线,可对其进行远控操作。
例如,对其屏幕进行截图。
查看其文件夹底下文件。
创建文件夹。
删除文件夹。
另外还有一类比较常见的灰鸽子(HawkEye)远控工具,其生成的后门程序实现的远控功能更为齐全,且界面操作简单。
在服务生成中选择后门程序的配置信息后直接生成。假设被钓的用户以上述的方式下载到该后门程序,并运行,此时在管理软件中设备上线。
右键上线的主机查看对其可操作的功能。
一旦后门程序成功植入用户计算机,攻击者就可以远程控制该计算机,执行各种恶意操作,如窃取敏感信息、监视用户活动、发起攻击等。
应对方法
在命令控制台查看后台进程“netstat -anto”。发现是否有异常端口正在被占用,依据其PID在任务管理器进行查找。
简单的远控木马只需要在任务管理器找到该程序,右键结束进程,并在文件所在文件夹中删除文件即可。
此时攻击虚拟机断线。
一般来说当发现自己的计算机不对劲时,可按照一下几步进行操作:
1、及时断开网络连接,防止远控者进一步操控或获取敏感信息;
2、在任务管理器中查找相关进程,并找到该后门程序,将其压缩打包,随即将进程和程序删除,并排查计算机中是否存在该进程的服务或程序是否以注册表方式启动;
3、对计算机进行全盘扫描;
4、修改计算机的登录密码;
5、若敏感信息等已经泄露,应报警处理。
防范措施
1.避免点击陌生链接,不要下载奇怪的软件,常见的远控木马后门程序会伪装成钓鱼网站、钓鱼邮件、钓鱼短信、破解版软件、外挂程序等。
2.使用更新的反病毒软件和安全套件来扫描和检测潜在的恶意软件(例如win10和win11自带的Microsoft Defender,对病毒会进行定期检查并查杀),并及时安装操作系统和应用程序的安全更新和补丁,以修复已知漏洞并增强系统的安全性。
3.不要使用简单的登录密码,定期更新密码。
4.定期备份重要数据,将备份数据存储在安全的位置。
溯源分析
1、在获取到远控木马的样本文件后,可先对其进行静态分析,使用查壳软件查看程序是否加壳,再对程序文件进行逆向、反汇编、字符串提取等。
2、在测试环境中执行样本文件,并对其行为进行监视,查看其网络流量指向的地址(大部分远控程序的控制端都在VPS服务器上,且大概率为境外的租赁服务器,国内的云端服务器均需实名认证),一些远控木马会使用加密技术或混淆手段来隐藏其真实行为和通信方式,这使得分析和识别远控木马的行为变得更加困难,需要更多的时间和专业知识,涉及到跨境活动时,取证难度也大大增加。
如遇到相关问题,可咨询我司对其进行取证,建议直接将受感染的设备进行送检,以便更好对远控木马的来源及相关系统日志进行分析。
点个「在看」,你最好看
原文始发于微信公众号(网络安全与取证研究):解析木马攻击的技术内幕
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论