加密威脅原理篇（一）惡意程式基礎知識

2019 年 11 月 4 日
筆記

加密惡意加密流量的檢測始終是行業的一個難點和痛點。

病毒

病毒我們通常稱為感染式的惡意程式，它最大的特點就是通過感染其他正常文件的方式來進行傳播。感染正常文件有很多種不同的情況，比如說可能把惡意的程式寫在正常程式的後邊，或者說把正常成把惡意程式寫在正常程式的開始的部分，也可能寫到中間，有一些惡意程式，甚至把他的惡意程式碼分成不同的部分，寫到正常文件的不同的企業的空白區裡邊，這幾種情況都是有的。

我們看一下這個案例，首先我們從圖標上看，左邊的程式是一個沒有感染的原始的程式，右邊的這個程式是一個感染後的程式。從圖標上看是沒有任何區別的，我們首先觀察一下這兩個程式的大小。那麼這兩個程式感染前28.5K感染後變成1M。

從大小上已經發生了變化了。然後我們再看一些細節，我們可以拿一個16進位的工具，把這兩個程式在這個工具裡邊進行比較。紅色的部分裡邊有different，這種部分指的就是這兩個文件不一樣的地方。

這些地方就是惡意程式，往裡邊添加的一些惡意的程式碼。最後我們看一下兩個程式的入口，原始程式的入口是0532C那麼被感染後程式它的入口點也發生了變化。這樣的話，當我們雙擊運行一個感染後的程式的時候，這些惡意程式碼就會獲取到執行許可權。惡意程式碼首先會執行，做一些它想做的事情，執行了以後，它還會跳回到原來的入口點，執行它原有的功能。用戶如果從程式執行的特徵上來看，是很難發現有什麼異常的。

蠕蟲

蠕蟲是利用網路進行複製和自我傳播，我們關注的點就是它的傳播途徑。蠕蟲傳播的途徑有很多種，比如說系統漏洞。

wannacry從功能上講，它是一個勒索軟體，從技術層面上講，它是一個利用系統漏洞進行傳播的蠕蟲程式。蠕蟲傳播的時候，除了利用系統漏洞，也可以利用其它的，比如說弱口令。當某一個蠕蟲感染了區域網內的某一台電腦以後，他可能利用類似3389這種埠，對其他的區域網的機器進行一個口令爆破。一旦爆破成功，它會將自身的程式複製一份到對方的機器並且運行，從而達到一個傳播的目的。它的傳播途徑除了系統漏洞弱口令還可能是郵件U盤等等。

木馬

木馬是指潛伏在電腦中，可受外部用戶控制以竊取本機資訊的惡意程式。（不同的安全廠商對於木馬的分類有很大的區別。）

1、遠控：基於經濟或者政治目的的資訊泄竊取，這類程式是危害最大的；

2、Rootkit：隱藏自身及指定的文件、進程和網路鏈接等資訊；

3、Botnet：殭屍網路是指採用一種或多種傳播手段，將大量主機感染的惡意程式。從而在控制者和被感染主機之間形成的一個可一對多的控制的網路。

4、Downloader：通過用戶的電腦從其攻擊者指定的網路地址下載一個或多個惡意程式並在本地運行。

5、PSW：密碼竊取

6、Clicker：木馬點擊器，它們侵入用戶電腦後，會根據攻擊者設定的網址去點擊網上的廣告等；

木馬傳播過程

xRAT是開源木馬，但是我們在一些APT的攻擊裡邊見到了它的使用。

第一個步驟：生成

我們大家看一下如何生成一個客戶端。第二個框裡邊就是當客戶端感染到用戶機器上的時候，我要存放到什麼樣的位置？第三個框裡邊就是你的惡意程式，在客戶端運行的時候要不要隱藏，要不要自己動？我們把這些資訊配置好了以後就可以點擊生成。

這個時候左下角就會生成一個木馬的客戶端程式，一旦在客戶的電腦上運行以後，它本身是處於隱藏狀態的，它的名字它的存儲目錄都是我們剛才生成的時候指定的。

註冊表裡的資訊寫到註冊表裡以後，當用戶的機器重啟的時候，它惡意程式會自動運行，從而達到一個持久化的目的。

這是我們說遠控木馬的第一步是生成客戶端。

第二步：傳播

很多APP最喜歡的傳播方式，一個是水坑，一個是魚叉。

水坑

比如說我如果想對某一類人進行攻擊的話，那麼我要先分析這一類人最喜歡訪問的網站是什麼，然後通過滲透等手段得到網站的許可權，然後將他的惡意程式經過偽裝放到這個網站上，讓目標人群去點擊下載，從而運行惡意程式。

魚叉

針對特定人群去構造特定的郵件，比如說你是上班族，那我給你發一封郵件，我說你要漲工資了，給你發一個類似於這樣的一個郵件，然後把惡意程式精心構造一個附件放到你的文件裡面。

所以在這裡邊我要強調一下，很多魚叉攻擊通常都伴隨著應用程式的漏洞，比如說word文檔的漏洞，那麼我給你發的確實是一個word文檔，當你打開這個文檔的時候，你也不需要什麼允許運行等這些許可權，你只要打開這個文檔就夠了，然後他就會利用這種應用軟體級別的漏洞來觸發惡意程式碼的執行。

第三步：資訊竊取

在我們的控制者，在攻擊者的伺服器端，他可以選擇監聽的埠，然後開始進入監聽的狀態。

監聽的時候我們就能看到這樣一個列表，在這個列表裡邊會詳細的列出所有客戶端的程式的資訊，比如說你的IP、作業系統等等。除了可以得到這些資訊以外，對客戶端的機器擁有完全的許可權。可以把你這個程式關掉，也可以把你這個程式重啟，也可以查看感染者機器上的所有文件內容，對我感興趣的文件我可以進行下載，甚至我還可以截取感染者他的螢幕的資訊。

常用協議介紹