冷风-特种木马攻击与溯源.pdfVIP

特种木马攻击与溯源 天融信阿尔法实验室 冷风 你可以了解到： 1 特种木马的一些特性 2 攻击溯源的一些思路 1 穿透ISA代理及硬件代理 1 我们的对手是谁 目录 2 绕过流量监控及地址检测 2 溯源之难 3 使用多协议进行内容穿透 2 如何发现特种木马 4 协议加密穿透IPS/IDS 3 基于二进制的分析 5 使用隧道穿透单机防火墙 4 基于IP的分析 6 对抗虚拟机检测 5 基于蜜罐的分析 7 对抗启发式检测 8 目前杀软的软肋 6 一层VPN的溯源 怎么定义特种木马? 特种木马对网络的穿透性 1 穿透ISA代理及硬件代理 4 协议加密穿透IPS/IDS 2 绕过流量监控及地址检测 5 使用隧道穿透单机防火墙 3 使用多协议进行内容穿透 穿透代理 绕过流量监控和恶意地址检测 把数据传到公共网络逃避恶意地址检测和流量检测 采用多种协议穿透 一般会使用应用协议如HTTP DNS 等 协议加密绕过IPS/IDS防火墙 一般公开的RAT程序通信特性会被加入规则库 插入白名单程序绕单机防火墙 注入防火墙默认允许通讯的进程 与杀毒软件的对抗 1 对抗虚拟机检测 2 对抗启发式检测 3 目前杀软的软肋 对抗虚拟机检测 1 搜索虚拟环境中的进程，文件系统，注册表 2 搜索虚拟环境中的内存 3 搜索虚拟环境中的特定虚拟硬件 4 搜索虚拟环境中的特定处理器指令和功能 对抗启发式检测 把功能做成shellcode或者使用动态获取api针对启发式面杀效果好 或者把恶意代码糅合和庞大的开源项目也会有好的逃逸效果。 目前杀软的软肋 恶意程序利用第三方的白名单程序是杀毒软件的一个软肋 特种木马的溯源 1 我们的对手是谁 4 基于IP的分析 2 如何发现特种木马 5 基于蜜罐的分析 3 基于二进制的分析 6 一层VPN的溯源 溯源之难 1 隐藏成本底 2 VPN盛行，国与国之间协调困难 我们的对手是谁？ 引用兰德报告的一段话 如何发现特种木马 1 有大量样本数据 2 对大量数据的甄别能力 基于调试信息的溯源 编译器会记录你的信息 基于IP的一个溯源案例 有一个服务商的名字为Domain