99在线视频免费观看_欧美老妇变态按摩_国产 首页 综合_一本加勒比HEZYO熟女_亞洲成av人片在線觀看無_国产av无码专区亚洲版综合_伊人久久大线蕉色首页_91尤物在线精品无码中文_青青草大伊人大_最好看的2018中文字幕高清

網(wǎng)絡(luò)安全的核心本質(zhì)是攻防對(duì)抗。當(dāng)防病毒技術(shù)在不斷完善的同時(shí)，病毒也在不斷設(shè)法予以對(duì)抗，夾縫求生。Gh0st 后門病毒就是其中之一。Gh0st 是一種遠(yuǎn)程訪問工具（RAT），最早出現(xiàn)在 2001 年左右，通過遠(yuǎn)程控制受感染計(jì)算機(jī)來(lái)執(zhí)行各種惡意活動(dòng)。其發(fā)展歷史與網(wǎng)絡(luò)攻擊、滲透測(cè)試和間諜活動(dòng)緊密相連，并且相關(guān)代碼已經(jīng)開源，致使對(duì)應(yīng)變種層出不窮，對(duì)用戶造成了較大的威脅。據(jù)“火絨威脅情報(bào)系統(tǒng)”顯示， Gh0st 在國(guó)內(nèi)常見的后門病毒中占比最大，超過50%。

傳統(tǒng)的 Gh0st 由控制器和服務(wù)器組成，其功能模塊多以插件形式下發(fā)，包含如下功能：
1.鍵盤記錄
2.遠(yuǎn)程終端訪問
3.遠(yuǎn)程音頻和視頻訪問
4.文件管理
5.遠(yuǎn)程文件下載和執(zhí)行
6.進(jìn)程資源管理器和其他系統(tǒng)枚舉功能
7.圖形用戶界面交互（遠(yuǎn)程控制）
8.自我更新
9.重置 SSDT 以刪除現(xiàn)有掛鉤

火絨工程師在分析該病毒的對(duì)抗歷程和變化特征時(shí)發(fā)現(xiàn)，該病毒不僅持續(xù)更新免殺對(duì)抗手段，而且傳播途徑花樣百出，前后發(fā)生至少五次主要變種：

第一次變種

黑客通過攻擊用戶 SQL Server 服務(wù)器的方式，利用數(shù)據(jù)庫(kù)相關(guān)進(jìn)程下載并執(zhí)行 Gh0st 后門病毒的早期變種—— “神農(nóng)遠(yuǎn)控” ，火絨安全產(chǎn)品及時(shí)感知并攔截了該變種。
不同于原始 Gh0st 的單一執(zhí)行方式和注冊(cè)表的簡(jiǎn)單利用，該變種除了會(huì)在不同的操作系統(tǒng)（InstallTime、WOW64 等）中執(zhí)行不同的病毒邏輯外，還用于感染后的信息交互。
在前期信息收集的過程中，該變種除了原有的硬件信息外，還添加了對(duì)各種殺軟和敏感軟件的檢測(cè)，以供控制端調(diào)整執(zhí)行策略。軟件遍歷在通信方面，一改傳統(tǒng) 5 字節(jié) "Gh0st" 默認(rèn)開頭和13 字節(jié)特征數(shù)據(jù)頭，通過添加固定的 "HTTPWWW.NCBUG.COM" 繞開 Gh0st 的流量端的關(guān)鍵字匹配。對(duì)于回傳的數(shù)據(jù)部分，更是直接自定義了要執(zhí)行的 shellcode 代碼，用于指定各種自定義操作。

第二次變種

在供應(yīng)鏈污染問題上，“火絨威脅情報(bào)系統(tǒng)”同樣發(fā)現(xiàn)了 Gh0st 變種的利用蹤跡。一款名為 HellohaoOCR_V3.1 的圖像識(shí)別程序經(jīng)分析攜帶著后門病毒 Scvhost.exe（Gh0st 的變種），該程序作者由于利用了第三方的易語(yǔ)言導(dǎo)致編譯環(huán)境被感染，從而導(dǎo)致病毒被不斷擴(kuò)散。

Scvhost.exe 作為 Gh0st 的一個(gè)變種，除了通過傳統(tǒng)的 C&C 服務(wù)器接收上線消息通知外，還添加了可以通過 QQ 上線的方式。其原理是通過 QQ 一個(gè)公開接口來(lái)獲取加密之后的其他 C&C 服務(wù)器地址和端口，以此變換服務(wù)器地址并繞過殺軟 IP 封禁。
該變種在執(zhí)行層面上，繼承了前面已提到過的殺軟對(duì)抗，shellcode 代碼執(zhí)行等特點(diǎn)。但在通信操作上，除了前面提到的 QQ 上線外，該變種會(huì)通過第三方網(wǎng)站 “ip.cn” 來(lái)獲取真實(shí)的 C&C 服務(wù)器地址，確保獲取到的 C&C 服務(wù)器地址不會(huì)受到當(dāng)前網(wǎng)絡(luò)環(huán)境影響（比如 DNS 劫持）。

第三次變種

黑灰產(chǎn)軟件往往是病毒聚集的重災(zāi)區(qū)，Gh0st 變種也將目光瞄準(zhǔn)了此處?；鸾q安全工程師根據(jù)用戶反饋和“火絨威脅情報(bào)系統(tǒng)”監(jiān)測(cè)，發(fā)現(xiàn) Gh0st 的變種通過 “穿越火線” 等多款游戲外掛傳播，并通過 QQ 群、網(wǎng)盤等渠道持續(xù)擴(kuò)散。
在本次事件中 Gh0st 變種的執(zhí)行依托于父文件 “白加黑” 的攻擊組合，經(jīng)過多層 PE 流調(diào)用和內(nèi)層解密邏輯，最終通過動(dòng)態(tài)庫(kù)的導(dǎo)出函數(shù)調(diào)用內(nèi)存中注入的 Gh0st 變種：
與上面例子中提到的后續(xù)操作中不同的是，該變種直接下發(fā)勒索病毒進(jìn)行全盤文件加密，還會(huì)在遍歷檢測(cè)殺毒軟件的過程中，通過控制端消息彈窗功能對(duì)中毒用戶進(jìn)行恐嚇 “別殺毒了，木有用”：

第四次變種

Gh0st 變種不斷在免殺對(duì)抗方面加強(qiáng)?；鸾q安全工程師在用戶感染的電腦中發(fā)現(xiàn)了蠕蟲病毒，根據(jù)相關(guān)威脅信息展開溯源分析，最終發(fā)現(xiàn)是以 Gh0st 變種后門為 "主"，蠕蟲為 "輔" 的惡意控制行為。 Gh0st 的變種在注冊(cè)修改，殺軟遍歷以及自定義的后門控制功能上，與第一個(gè)例子 《火絨5.0公測(cè)階段就立功 有效防御某一類常見黑客攻擊 》 文章中分析的變種相差無(wú)幾，根據(jù)連接的域名的同源性以及 DDOS 模塊的移除（DDOS 網(wǎng)站已過期），可以判斷是同一樣本的不斷改進(jìn)。
值得注意的是其最終落地的方式，作為嵌入最深，解密最多，最后釋放的 “本體” ，其所依附的父文件經(jīng)過多層嵌套。使用了包括多層 PE 流調(diào)用、VMProtect 和 Safengine Shielden 加殼保護(hù)、DLL 內(nèi)存加載、異常反調(diào)試、流程混淆在內(nèi)的多種免殺技術(shù)。被捆綁的其它家族的感染型病毒用于掩護(hù)后門執(zhí)行并加大破壞性，影響惡劣。

第五次變種

近期火絨安全工程師在追蹤 "Xidu" 組織的過程中，捕獲到的多個(gè)“Xidu”變種樣本， "Xidu" 團(tuán)伙所使用的后門病毒實(shí)質(zhì)為 Gh0st 的新型變種。
其在邏輯上改動(dòng)很大，對(duì)代理和激活命令的設(shè)置，以及上線間隔，數(shù)據(jù)包標(biāo)志等大量代碼都進(jìn)行刪改，但主體框架依舊可辨。
對(duì)于一些邊緣的功能函數(shù)，則沒有發(fā)現(xiàn)太大的改動(dòng)，由此更加確信其基于 Gh0st 開發(fā)的判斷。
在對(duì)該變種的追蹤過程中，其使用的免殺技術(shù)經(jīng)過多次迭代：多層 “白加黑” ——>多層 PE 調(diào)用流——>加殼混淆——>DDR 繞過等，改進(jìn)十分頻繁。
除了上述中提到過的手法外，該變種利用壓縮包嵌套釋放出大量落地文件，對(duì)于 C2 等配置也會(huì)存放到單獨(dú)文件中，期望減少自身威脅特征值并干擾分析流程。除此之外，其還通過快捷方式來(lái)將自身添加到注冊(cè)表進(jìn)行持久化，一改原始服務(wù)寫入的方式。
對(duì)于以上變種，火絨安全工程師在深入了解其攻擊原理和手法特征后，將防御策略應(yīng)用到產(chǎn)品中，可進(jìn)行攔截、查殺。該病毒團(tuán)伙預(yù)計(jì)后續(xù)還會(huì)持續(xù)更新其變種，火絨安全實(shí)驗(yàn)室會(huì)持續(xù)跟進(jìn)，保障用戶的終端安全。