资质僵尸网络一:设计&编写 木马

我们的木马所需要的功能

  1. 自启动
  2. 可控制
  3. 会复活
  4. 隐蔽
  5. 可以下一阶段的攻击

木马类型

  • 普通木马
  • 下载者木马
  • shellcode
  • Rootkit级别内核木马

普通木马

意义上的普通木马,就是普通的远程控制木马。

具体行为就是,预先编写好攻击动作在程序中,然后工具远程黑客发送的指令,执行预先编写好的函数。

之前教大家的gh0st就是这种类型的攻击木马。

优点

编写简单,使用方便。

缺点

体积较大,特别容易被杀软检测

下载者木马

和普通行木马类似,唯一不同的是,改类型木马只有预先写好下载这个功能,然后去下载攻击者所给出的恶意可执行程序地址。

包括但不限于exe,dll,com,src,cmd等等。然后执行这些恶意程序。

优点

程序体积较小, 查杀略微困难。编写及其简单。大部分僵尸网络都是这个功能,这也是我们此课程要教大家实现的木马。

缺点

使用麻烦,功能单一

SHELLCODE

应该归类到下载者的,但是使用方式和下载者有严重的不同。

shellcode是一段用于利用软件漏洞而执行的代码,shellcode为16进制的机器码,因为经常让攻击者获得shell而得名。shellcode常常使用机器语言编写。 可在暂存器eip溢出后,塞入一段可让CPU执行的shellcode机器码,让电脑可以执行攻击者的任意指令。

衍生:在诸多CTF比赛中,PWN相关其实就和ctf非常的类似。可以参考本站关于PWN题目的writeup

优点

及其难以查杀,在不加载shellcode之前完全无法检测。特别是正向链接类型的shellcode,而且体积小巧,极难被发现。

缺点

使用及其困难,shellcode编写也非常困难。同时还容易遇到许多意外情况导致shellcode不执行,对恶意代码控制者技术要求极高

Rootkit类型

技术难度极高,在这里忽略不提。

木马控制方式

  • 正向通信
  • 反向通信
  • P2P通信

正向通信

早期木马控制方式。意思就是等待人给你链接

优点

相比其他链接类型,网络占用略微少。同时编写简单,不需要编写黑客端。

缺点

无法突破防火墙,对于动态IP个人电脑基本无法使用。无法突破NAT

反向通信

木马反弹连接,反向找到黑客

优点

适用于大多数状况

缺点

网络波动十分频繁,并且容易发现攻击者。并且十分容易被检测。并且如果僵尸网络数量过大管理将十分困难

P2P通信

使用p2p方式进行控制的僵尸网络

优点

可以组成超大僵尸网络,不容易发现攻击者。

缺点

组网困难,新用户加入困难,小型网络容易崩溃。黑客下达的消息速度慢

自启动

自启动方式

  • 注册表启动
  • 文件目录启动
  • 服务启动
  • 文件劫持启动
  • BHO启动
  • 意外触发启动

文件目录启动

10我不知道,7之前,有一个开始菜单,程序,启动。

文件放在这个目录之下。那么文件就会在开机的时候启动启动。

我们的木马,可以直接复制到这个目录下,达到自启动的目的

优点

编写非常非常简单

缺点

特别容易被查杀+发现,杀毒软件,重点XN监控这个目录。

注册表启动

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun] 木马在C:123.exe
[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce](仅运行一次)
[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices]
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun]
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce](仅运行一次)
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorerRun](WIN2000/XP)
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRun](WIN2000/XP)
[HKEY_CURRENT_USERSoftwareMicrosoftWindows
NTCurrentVersionWindows](WIN2000/XP)

优点就是

编写简单,略微不容易被发现

缺点

同样非常容易被查杀

服务启动

创建了服务,服务名和描述都十分的骗人。

优点

隐蔽性还行,编写难度,也还行

缺点

一句话,会被杀软的主动防御给拦截

文件劫持启动

家在这里,但是家里面的人到底是谁,就不知道了。

街吃完之后,在运行原来的程序。

用户看来 == 直接运行原来的程序

好处

不大容易被发现,比较容易过查杀

缺点

不一定保证,一定有东西可以给你偷梁换柱。

而且偷梁换柱后,也许源程序就无法运行了,导致被发现。

← 上一篇 没有啦~
Comments

添加新评论