木马连接技术初探(原创)
fooying(H.U.C)
个人blog:
http://hi.baidu.com/fooyingQQ413673800
木马可以算使一种特殊的远程控制软件,需要基于网络才能实现,而远程控制技术,始于DOS时代,只是出于种种原因而没有引起人们的重视。而随着网络的不断改进,该技术越来越受到重视,越来越普及,于是防范木马成了安全中不可少的课题,各种层出不穷的方法来防范。而木马作者为了木马的生存,也不断改进,连接技术就是木马技术中必不可少的。今天就和大家来初步探索下。
1、主动连接
这种连接方式的木马以冰河为代表。冰河是一款功能强大的远程控制木马,基于TCP/IP,可以基本黑客都认识。这种木马的连接技术就是主动连接,即服务端在运行后监听指定端口,而在连接时,客户端会主动发送连接命令给服务端进行连接。这种方法有个很大的弊处,那就是在连接的时可以轻易的被防火墙所拦截。如图。
2、反弹连接
在“冰河”木马停止开发后,后来出现了一款大名鼎鼎的木马-灰鸽子。相必没有人不认识吧?其连接方式就有采用反弹连接。
防火墙能阻止外部连接,但是却阻挡不了内部向外连接。反弹连接即使利用这原理。反弹连接分为FTP反弹连接和域名反弹连接。目前仍是木马连接的主流技术之一。
FTP反弹连接原理如图。客户端首先登陆FTP空间,在相关网页上写入客户端电脑目前IP及开放端口。而服务端会定时读取FTP空间网页内容,当发现客户端信息就会主动连接远程服务端。
域名反弹连接技术可能是平常在配置木马中最常遇见的,我们用希网等动态域名作为连接地址,其实就是采用域名反弹连接方式。原理同FTP反弹连接类似。首先我们更新域名信息,服务端通过域名读取客户端信息,然后主动连接客户端。
采用反弹连接也有个缺点,它只能访问拨号上网和NAT代理上网的服务端。
3、HTTP隧道技术
使用HTTP隧道技术可以访问到局域网里通过HTTP、SOCKS4/5代理上网的服务端。其代表木马有红狼(Gh0st RAT)。
简单的说,HTTP隧道技术就是将传送的数据封装在HTTP协议里进行传送。因此可以访问到局域网里通过HTTP、SOCKS4/5代理上网的服务端。其几乎支持所有上网方式。这种连接方式同样可以避免防火墙及用户的发现,会被误以为是正常的使用浏览器上网。
4、其他连接方式
冰河、灰鸽子、红狼都属于C/S型木马,而这里不得不介绍下B/S型木马。
C/S型木马就是通过客户端(Client)对服务端(Server)进行控制操作;而B/S型木马就是通过浏览器(Browser)对服务端(Server)进行控制操作。
最早的B/S型木马是1998年第七届"DEF CON“黑客大会,由”死牛崇拜(CDC)“组织拿出的BO2000.国内也有个网络精灵,其实是把BO2000进行汉化精简后重新用VC++进行编译封装。
还有些其他的不常见或不常用木马连接技术这里就不多加介绍,大家有兴趣的可以去查资料。
用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)