tdi驱动加载的木马,
winhttp
URL。dowdlownfile
后面的成熟的数据命令: 无窗口的基本为恶意的,服务的基本为
恶意的,命令,临时目录下,downloader,new 命令,install命令,
getdata,固定字符串比如前段时间的kap远控,获取客户端信息,
更新自身命令(添加,删除)。
wsastupup,bind(自己做服务器,listen监听),
gethostbyname,
cmd,up---数据中含有固定的命令,格式。 irc命令。
远控: 网络行为。????-------
shellcode,metasploit,?????
iis版本,apache,tomcat的远程溢出漏洞。?????
常用远控:
1.远程桌面,radmin,vnc,网络人,Mikogo ,QuickIP,向日葵,pcAnywhere,TeamViewer
2.灰鸽子,网络神偷,终结者,远控王,白金远控,gh0st,大白鲨,
1.常规的对端口的打开,gethostbyname,wsastartup系列函数的监控,对于局域网等的远程扫描的欺骗。
2.主要对bind绑定本地端口,后面调用listen的监控,主要适用于本地作为服务端,接受远程的主动连接.
对于远程telnet等获取远程shell的过滤。
未知程序联网,异步
3.对http系列函数的监控,比如木马客户端会连接外网服务器,访问某个url,用于刷流量,增加网站访问量。在指定URL注入伪造的html页面内容。禁用某些URL
4.恶意软件的download行为,对于下载者木马,下载文件释放到temp,application data等目录执行。----》多点
5.对于拦截到的数据部分,主要针对IRC等bot类恶意软件,数据部分主要是命令。比如
Update,get data,update data,install等命令,用于更新bot客户端,下载文件,获取客户端信息,删除客户端文件,接受IRC服务端的指令执行ddos攻击等。
这部分数据可由分析组那边提供常用bot的命令格式,字串,作为数据过滤的特征码。
6.对于常用的远控的行为进行过滤,行为如上面所说。
7.对常用的软件的,比如apache,tomcat,windows系统 (典型的如ms08-067漏洞),IIS软件的漏洞进行提取远程攻击的shellcode,将这些shellcode提取为数据
部分过滤的特征码。此部分可在metasploit中提取特征码。
数据分析。特征码。简单行为
关于协议和小端口驱动的区别,寒江独钓 12.5节
--成文于2013-9-16
2595
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
