加密惡意加密流量的檢測始終是行業(yè)的一個難點和痛點。

病毒

病毒我們通常稱為感染式的惡意程序，它最大的特點就是通過感染其他正常文件的方式來進行傳播。感染正常文件有很多種不同的情況，比如說可能把惡意的程序寫在正常程序的后邊，或者說把正常成把惡意程序寫在正常程序的開始的部分，也可能寫到中間，有一些惡意程序，甚至把他的惡意代碼分成不同的部分，寫到正常文件的不同的企業(yè)的空白區(qū)里邊，這幾種情況都是有的。

我們看一下這個案例，首先我們從圖標上看，左邊的程序是一個沒有感染的原始的程序，右邊的這個程序是一個感染后的程序。從圖標上看是沒有任何區(qū)別的，我們首先觀察一下這兩個程序的大小。那么這兩個程序感染前28.5K感染后變成1M，

從大小上已經發(fā)生了變化了。然后我們再看一些細節(jié)，我們可以拿一個16進制的工具，把這兩個程序在這個工具里邊進行比較。紅色的部分里邊有different，這種部分指的就是這兩個文件不一樣的地方。

?

這些地方就是惡意程序，往里邊添加的一些惡意的代碼。最后我們看一下兩個程序的入口，原始程序的入口是0532C那么被感染后程序它的入口點也發(fā)生了變化。這樣的話，當我們雙擊運行一個感染后的程序的時候，這些惡意代碼就會獲取到執(zhí)行權限。惡意代碼首先會執(zhí)行，做一些它想做的事情，執(zhí)行了以后，它還會跳回到原來的入口點，執(zhí)行它原有的功能。用戶如果從程序執(zhí)行的特征上來看，是很難發(fā)現(xiàn)有什么異常的。

?

?

蠕蟲

蠕蟲是利用網絡進行復制和自我傳播，我們關注的點就是它的傳播途徑。蠕蟲傳播的途徑有很多種，比如說系統(tǒng)漏洞。

wannacry從功能上講，它是一個勒索軟件，從技術層面上講，它是一個利用系統(tǒng)漏洞進行傳播的蠕蟲程序。蠕蟲傳播的時候，除了利用系統(tǒng)漏洞，也可以利用其它的，比如說弱口令。當某一個蠕蟲感染了局域網內的某一臺計算機以后，他可能利用類似3389這種端口，對其他的局域網的機器進行一個口令爆破。 一旦爆破成功，它會將自身的程序復制一份到對方的機器并且運行，從而達到一個傳播的目的。它的傳播途徑除了系統(tǒng)漏洞弱口令還可能是郵件U盤等等。

?

木馬

木馬是指潛伏在電腦中，可受外部用戶控制以竊取本機信息的惡意程序。（不同的安全廠商對于木馬的分類有很大的區(qū)別。）

1、遠控：基于經濟或者政治目的的信息泄竊取，這類程序是危害最大的，

2、Rootkit：隱藏自身及指定的文件、進程和網絡鏈接等信息；

3、Botnet：僵尸網絡是指采用一種或多種傳播手段，將大量主機感染的惡意程序。從而在控制者和被感染主機之間形成的一個可一對多的控制的網絡。

4、Downloader：通過用戶的計算機從其攻擊者指定的網絡地址下載一個或多個惡意程序并在本地運行。

5、PSW：密碼竊取

6、Clicker：木馬點擊器，它們侵入用戶電腦后，會根據(jù)攻擊者設定的網址去點擊網上的廣告等；

?

?

木馬傳播過程

xRAT是開源木馬，但是我們在一些APT的攻擊里邊見到了它的使用。

?

第一個步驟：生成

我們大家看一下如何生成一個客戶端。第二個框里邊就是當客戶端感染到用戶機器上的時候，我要存放到什么樣的位置？第三個框里邊就是你的惡意程序，在客戶端運行的時候要不要隱藏，要不要自己動？我們把這些信息配置好了以后就可以點擊生成。

這個時候左下角就會生成一個木馬的客戶端程序，一旦在客戶的計算機上運行以后，它本身是處于隱藏狀態(tài)的，它的名字它的存儲目錄都是我們剛才生成的時候指定的。

注冊表里的信息寫到注冊表里以后，當用戶的機器重啟的時候，它惡意程序會自動運行，從而達到一個持久化的目的。

?

?

這是我們說遠控木馬的第一步是生成客戶端。

第二步：傳播

很多APP最喜歡的傳播方式，一個是水坑，一個是魚叉。

水坑

比如說我如果想對某一類人進行攻擊的話，那么我要先分析這一類人最喜歡訪問的網站是什么，然后通過滲透等手段得到網站的權限，然后將他的惡意程序經過偽裝放到這個網站上，讓目標人群去點擊下載，從而運行惡意程序。

魚叉

針對特定人群去構造特定的郵件，比如說你是上班族，那我給你發(fā)一封郵件，我說你要漲工資了，給你發(fā)一個類似于這樣的一個郵件，然后把惡意程序精心構造一個附件放到你的文件里面。

所以在這里邊我要強調一下，很多魚叉攻擊通常都伴隨著應用程序的漏洞，比如說word文檔的漏洞，那么我給你發(fā)的確實是一個word文檔，當你打開這個文檔的時候，你也不需要什么允許運行等這些權限，你只要打開這個文檔就夠了，然后他就會利用這種應用軟件級別的漏洞來觸發(fā)惡意代碼的執(zhí)行。

第三步：信息竊取

在我們的控制者，在攻擊者的服務器端，他可以選擇監(jiān)聽的端口，然后開始進入監(jiān)聽的狀態(tài)。

?

監(jiān)聽的時候我們就能看到這樣一個列表，在這個列表里邊會詳細的列出所有客戶端的程序的信息，比如說你的IP、操作系統(tǒng)等等。除了可以得到這些信息以外，對客戶端的機器擁有完全的權限?？梢园涯氵@個程序關掉，也可以把你這個程序重啟，也可以查看感染者機器上的所有文件內容，對我感興趣的文件我可以進行下載，甚至我還可以截取感染者他的屏幕的信息。

?

常用協(xié)議介紹

?

?

抓包捕獲過濾器

?

?

主界面介紹

?

?修補時間格式

?

追蹤流

?

?

?

?

?