关于我们
4SecNet 团队专注于网络安全攻防研究,目前团队成员分布在国内多家顶级安全厂商的核心部门,包括安全研究领域、攻防实验室等,汇聚了行业内的顶尖技术力量。团队在病毒木马逆向分析、APT 追踪、破解技术、漏洞分析、红队工具开发等多个领域积累了深厚经验,并持续在复杂威胁对抗和攻防技术创新方面不断探索与突破。4SecNet 致力于通过技术共享与实践推动网络安全生态的持续进步。
项目获取
微信搜索4SecNet,关注公众号,回复 4SecNet_进程断网 即可获取项目详细信息
背景介绍
在日常工作中,我们深入分析了一起银狐木马的攻击事件,发现该木马套件具备通过特定技术手段中断指定进程网络连接的能力,从而导致防病毒软件云查杀引擎无法正常发挥作用。为进一步了解其实现原理,我们对这一技术进行了全面而细致的研究与解剖,深入挖掘其运行机制和潜在威胁。
最终效果
该工具的代码本身仅用于定位并阻断指定进程的网络连接,不包含任何恶意功能,因此并未被安全软件识别为病毒或木马程序。
然而,黑客团伙利用此代码的特性,将其用于阻断防病毒软件的云查杀功能。这一手段显著削弱了防病毒软件的云查杀能力,造成了严重的安全隐患,也为攻击行为的成功率提供了便利。
详细信息
该代码主要通过调用 Windows 系统相关的 API 实现其功能。具体而言,它通过 API 获取当前网络连接信息,并逐一遍历这些连接。在遍历过程中,当检测到某个网络连接所属的进程与目标进程匹配时,代码立即执行操作,强制断开该网络连接。这种技术手段利用了操作系统提供的调用接口,以精准、快速地实现对目标进程网络活动的拦截。
视频效果
利用进程断网技术巧妙绕过360云查杀,窥探其APT化演进之路
扫一扫
1633
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
