很高兴的分享Wikia这个网站,大家都知道无论是谁在,在个人信息被泄露之后,绝大多数正常人会愤怒。
一流的黑客不是一个人活动,一个人单独活动都是技术爱好者。
我们可以看到侵入或者网络的对象一般都是企业,方式有很多种,其中有病毒,蠕虫,间谍软件,木马,广告软件,勒索软件等。
他们的目的就是让你失去自主权,窃取你的企业隐私和安全。
团队合作的黑客打磨利剑,独狼才磨牙齿。
部署高级的能绕过安全解决方案的恶意软件,静悄悄地潜入到企业网络中。
六个口径
常见的入侵口如下:
1.Windows注册表,
目前绝大多数的可用电脑都在使用这个系统,注册表非常大,非常复杂,仅仅是纯代码,就拥有几百兆的体积。用经验和人工能力去完全防御这个地方是完全不可能的。
除非你不联网,也不适用U盘工具。
Poweliks--Windows内置API-ZwSetValueKey,
注册表病毒的优点是如果用户不重新安装系统,可以实现隐藏,自启动和长期驻留的目的。
2.进程注入
很多时候突然断网,就是进程注入病毒接管了你的电脑控制权。
而且常见命名的svchost.exe或者explorer.exe,实现检测规避。
注入进程会利用内置Windows API,设置调试权限的那些。
进程如果设置成调试模式,就能调动很多调试API,实现附着到其他进程并命令进程分配额外内存等功能。目标进程分配了更多内存后,恶意进程就能往该进程中注入任意代码。
Poison Lvy是利用进程注入的一大恶意软件,他通常不占用整块的内存,而是子多个不同进程中分配小小的内存块,分析和逆向都是非常难的。
它的破坏方式是数据库分表给系统带来不能启动的问题。我们知道数据库一旦分区之后再分区,引导区和系统盘分区被再分区。
除了格盘重新装系统外,别无办法。除非你知道其他盘的准确起点在哪里,不然你也会丢失大部分的其他盘的数据,打开可能要依靠拷贝到其他硬盘才能读取。
3.进程挖空
这种笔者也没有见过,大概是在良好进程准备启动的时候挂起。当好代码加载完毕准备执行时,好代码被清空,进程中出现给恶意代码放入的空间,并且可以由恶意代码修改头部和尾部的空间。
这让修改过的代码看上去是好的,然后进程重新被启动。对普通用户而言,就是再正常不过的windows启动的正常系统进程。
比如Dridex银行木马
4.进程列表解链
进程解链涉及到操作“进程列表”,也就是包含了所有“活动”进程的双向链表。一旦进程被从进程列表中抽出(解链),该进程便可以对所有查看“活动”进程的工具隐身了。
可通过使用ZwSystemDebugControl()函数,或映射\Device\PhysicalMemory来实现这一操作。
设要从列表中删除的进程为B,B的后链B->Blink指向其上一个进程A,前链B->Flink指向其下一个进程C。只需将进程A的前链((B->Blink)->Flink)指向C(B->Flink),
再将进程C的后链((B->Flink)->Blink)指向A(B->Blink),便可顺利将进程B从双向链表中摘除,观察进程列表时直接从A跳到C。
更加高级的解链,甚至会重新写入B,这样即使有内存鉴证调查也无济于事。
目前针对解链的工具有,PsAc4veProcessHead遍历,进程池标签扫描,线程池标签扫描等。
5.动态链接库列表解链。
动态链接库(DLL)列表也能隐藏恶意软件。
进程列表,DLL列表是双向链表,每个DLL信息节点都有指向其上一个节点和下一个节点的指针,有API可以调用来修改DLL列表中的节点,摘除其中节点,并抹去内存中的信息以辅助逃过内存鉴证或备份工具的检测。这种办法在rootkit活动中很常见。
6.内核模块列表解链
内核模块包含加载到内核的任意模块。
与DLL和进程列表类似,内核模块也有自己的列表,能通过API查询,返回每一个被加载到内核的模块信息。
同样,有调试API可以将内核模块从列表中移除并清零。
内核和内存不一样,只要被清零,再找回的难度就大得多——该权限就像Ring0级权限,绝对与rootkit行为有关。一般来讲,恶意软件会在用户空间执行,然后
尝试内核级漏洞利用以得到内核管理权限,随后释放出主rootkit,主rootkit再将自身从内核模块列表进程中清除。
Copyright © 2010-2022 All Rights Reserved