网络安全之“灰鸽子”的关键技术

“灰鸽子”的关键技术

【植入技术】

灰鸽子植入是灰鸽子攻击目标系统最关键的一步, 是后续攻击活动的基础.当前, 灰鸽子的植入方法可以分为两大类, 即被动植入和主动植入 被动植入是指通过人工干预方式才 能将灰鸽子程序安装到目标系统中, 植入过程必须依赖于受害用户的手工操作; 而主动植入则是指主动攻击方法, 是将灰鸽子程序通过程序自动安装到目标系统中, 植入过程无需受害 用户的操作。被动植入主要通过社会工程方法将灰鸽子程序伪装成合法的, 以达到降低受害 用户警觉性 , 诱骗用户的目的。

【隐藏技术】

灰鸽子设计者为了能逃避安全检测 , 就要设法隐藏灰鸽子的行为或痕迹,其主要技术目标就是将灰鸽子的本地活动行为、灰鸽子远程通信过程进行隐藏。

1.本地行为活动隐藏

现在的操作系统支持 LKM (Loadable KernelModules)功能,通过 LKM 可增加系统功能, 而且不需要重新编译内核,就可以动态地加载,如 Linux, Solaris 和 FreeBSD 都支持 LKM 。 灰鸽子设计者利用操作系统的 LKM 功能,通过替换或调整系统调用来实现木马程序的隐藏, 常见的技术方法有:文件隐藏、进程隐藏和通信连接隐藏。

2.远程通信隐藏

灰鸽子除了在远程目标端实现隐藏外, 还必须实现远程通信的隐藏, 包括通信内容和通 信方式的隐藏, 只有这样才能增强灰鸽子的生存能力。 在远程通信隐藏方面, 灰鸽子用到的通信隐藏关键技术主要有:通信内容加密、通信端口复用和网络隐蔽通道。

3.灰鸽子的存活性技术

灰鸽子的存活性取决于网络灰鸽子逃避安全监测的能力, 一些高级灰鸽子常具有端口反 向连接功能。 反向端口技术是指有灰鸽子代理在目标系统主动连接外部网的远程灰鸽子控制 端 , 以逃避防火墙的限制。

4.自启动技术

灰鸽子自启动技术用于控制灰鸽子程序的启动。 目前, 一般将灰鸽子程序放在系统的启 动目录中。 在 Windows 系统中 , 灰鸽子的自启动设置在系统配置文件中, 如 win.in 、 i system. ini 等中,或修改注册表设置实现灰鸽子的自动启动,或把灰鸽子注册为系统服务,或把灰 鸽子注入到系统服务程序中。在 UNIX 系统中,灰鸽子的自启动设置在 ini,t inetd, cron等文件或目录中。

【“灰鸽子”的运行原理】

灰鸽子木马分两部分:客户端和服务端。黑客操纵着客户端,利用客户端配置生成出一个服务端程序。服务端文件的名字默认为GServer.exe,然后黑客通过各种渠道传播这个木马(俗称种木马或者开后门)。种木马的手段有很多,比如,黑客可以将它与一张图片绑定,通过QQ木马传给你,诱骗你运行;也可以建立一个个人网页,诱骗你点击,利用IE漏洞把木马下载到你的机器上并运行;还可以将文件上传到某个软件下载站点,冒充成一个有趣的软件诱骗用户下载,GServer.exe运行后将自己拷贝到Windows目录下(98Pxp下为系统盘的windows录,2kPNT下为系统盘的Winnt目录),然后再从体内释放GServer.dll和GServerHook.dll到windows目录下。GServer.exe、GServer.dll和GServer-Hook.dll三个文件相互配合组成了灰鸽子服务端,有些灰鸽子会多释放出一个名为GServerKey.dll的文件用来记录键盘操作。注意,GServer.exe这个名称并不固定,它是可以定制的,比如当定制服务端文件名为A.exe时,生成的文件就是A.exe、A.dll和AHook.dll。Windows目录下的GServer.exe文件将自己注册成服务(98PXP系统写注册表启动项),每次开机都能自动运行,运行后启动GServer.dll和GServerHook.dll并自动退出。GServer.dll文件实现后门功能,与控制端客户端进行通信;GServerHook.dll则通过拦截API调用来隐藏病毒。因此,中毒后,我们看不到病毒文件,也看不到病毒注册的服务项。随着灰鸽子服务端文件的设置不同,GServerHook.dll有时候附在Explorer.exe的进程空间中,有时候则是附在所有进程中。

扫描一下二维码关注公众号每天获取更多科技资讯