欧美一区激情在线观看_午夜亚洲中文电影_老人看护网站av_青青草成人影视_自拍小视频在线看男人日韩_国产很爽的超薄丝袜脚交视频_久久影院亚洲理论_熟妇高潮一区二区高潮_国产清纯91在线系列_国产精品www嫩草桃花岛

網絡安全的核心本質是攻防對抗。當防病毒技術在不斷完善的同時，病毒也在不斷設法予以對抗，夾縫求生。Gh0st 后門病毒就是其中之一。Gh0st 是一種遠程訪問工具（RAT），最早出現(xiàn)在 2001 年左右，通過遠程控制受感染計算機來執(zhí)行各種惡意活動。其發(fā)展歷史與網絡攻擊、滲透測試和間諜活動緊密相連，并且相關代碼已經開源，致使對應變種層出不窮，對用戶造成了較大的威脅。據“火絨威脅情報系統(tǒng)”顯示， Gh0st 在國內常見的后門病毒中占比最大，超過50%。

傳統(tǒng)的 Gh0st 由控制器和服務器組成，其功能模塊多以插件形式下發(fā)，包含如下功能：
1.鍵盤記錄
2.遠程終端訪問
3.遠程音頻和視頻訪問
4.文件管理
5.遠程文件下載和執(zhí)行
6.進程資源管理器和其他系統(tǒng)枚舉功能
7.圖形用戶界面交互（遠程控制）
8.自我更新
9.重置 SSDT 以刪除現(xiàn)有掛鉤

火絨工程師在分析該病毒的對抗歷程和變化特征時發(fā)現(xiàn)，該病毒不僅持續(xù)更新免殺對抗手段，而且傳播途徑花樣百出，前后發(fā)生至少五次主要變種：

第一次變種

黑客通過攻擊用戶 SQL Server 服務器的方式，利用數據庫相關進程下載并執(zhí)行 Gh0st 后門病毒的早期變種—— “神農遠控” ，火絨安全產品及時感知并攔截了該變種。
不同于原始 Gh0st 的單一執(zhí)行方式和注冊表的簡單利用，該變種除了會在不同的操作系統(tǒng)（InstallTime、WOW64 等）中執(zhí)行不同的病毒邏輯外，還用于感染后的信息交互。
在前期信息收集的過程中，該變種除了原有的硬件信息外，還添加了對各種殺軟和敏感軟件的檢測，以供控制端調整執(zhí)行策略。軟件遍歷在通信方面，一改傳統(tǒng) 5 字節(jié) "Gh0st" 默認開頭和13 字節(jié)特征數據頭，通過添加固定的 "HTTPWWW.NCBUG.COM" 繞開 Gh0st 的流量端的關鍵字匹配。對于回傳的數據部分，更是直接自定義了要執(zhí)行的 shellcode 代碼，用于指定各種自定義操作。

第二次變種

在供應鏈污染問題上，“火絨威脅情報系統(tǒng)”同樣發(fā)現(xiàn)了 Gh0st 變種的利用蹤跡。一款名為 HellohaoOCR_V3.1 的圖像識別程序經分析攜帶著后門病毒 Scvhost.exe（Gh0st 的變種），該程序作者由于利用了第三方的易語言導致編譯環(huán)境被感染，從而導致病毒被不斷擴散。

Scvhost.exe 作為 Gh0st 的一個變種，除了通過傳統(tǒng)的 C&C 服務器接收上線消息通知外，還添加了可以通過 QQ 上線的方式。其原理是通過 QQ 一個公開接口來獲取加密之后的其他 C&C 服務器地址和端口，以此變換服務器地址并繞過殺軟 IP 封禁。
該變種在執(zhí)行層面上，繼承了前面已提到過的殺軟對抗，shellcode 代碼執(zhí)行等特點。但在通信操作上，除了前面提到的 QQ 上線外，該變種會通過第三方網站 “ip.cn” 來獲取真實的 C&C 服務器地址，確保獲取到的 C&C 服務器地址不會受到當前網絡環(huán)境影響（比如 DNS 劫持）。

第三次變種

黑灰產軟件往往是病毒聚集的重災區(qū)，Gh0st 變種也將目光瞄準了此處?；鸾q安全工程師根據用戶反饋和“火絨威脅情報系統(tǒng)”監(jiān)測，發(fā)現(xiàn) Gh0st 的變種通過 “穿越火線” 等多款游戲外掛傳播，并通過 QQ 群、網盤等渠道持續(xù)擴散。
在本次事件中 Gh0st 變種的執(zhí)行依托于父文件 “白加黑” 的攻擊組合，經過多層 PE 流調用和內層解密邏輯，最終通過動態(tài)庫的導出函數調用內存中注入的 Gh0st 變種：
與上面例子中提到的后續(xù)操作中不同的是，該變種直接下發(fā)勒索病毒進行全盤文件加密，還會在遍歷檢測殺毒軟件的過程中，通過控制端消息彈窗功能對中毒用戶進行恐嚇 “別殺毒了，木有用”：

第四次變種

Gh0st 變種不斷在免殺對抗方面加強?；鸾q安全工程師在用戶感染的電腦中發(fā)現(xiàn)了蠕蟲病毒，根據相關威脅信息展開溯源分析，最終發(fā)現(xiàn)是以 Gh0st 變種后門為 "主"，蠕蟲為 "輔" 的惡意控制行為。 Gh0st 的變種在注冊修改，殺軟遍歷以及自定義的后門控制功能上，與第一個例子 《火絨5.0公測階段就立功 有效防御某一類常見黑客攻擊 》 文章中分析的變種相差無幾，根據連接的域名的同源性以及 DDOS 模塊的移除（DDOS 網站已過期），可以判斷是同一樣本的不斷改進。
值得注意的是其最終落地的方式，作為嵌入最深，解密最多，最后釋放的 “本體” ，其所依附的父文件經過多層嵌套。使用了包括多層 PE 流調用、VMProtect 和 Safengine Shielden 加殼保護、DLL 內存加載、異常反調試、流程混淆在內的多種免殺技術。被捆綁的其它家族的感染型病毒用于掩護后門執(zhí)行并加大破壞性，影響惡劣。

第五次變種

近期火絨安全工程師在追蹤 "Xidu" 組織的過程中，捕獲到的多個“Xidu”變種樣本， "Xidu" 團伙所使用的后門病毒實質為 Gh0st 的新型變種。
其在邏輯上改動很大，對代理和激活命令的設置，以及上線間隔，數據包標志等大量代碼都進行刪改，但主體框架依舊可辨。
對于一些邊緣的功能函數，則沒有發(fā)現(xiàn)太大的改動，由此更加確信其基于 Gh0st 開發(fā)的判斷。
在對該變種的追蹤過程中，其使用的免殺技術經過多次迭代：多層 “白加黑” ——>多層 PE 調用流——>加殼混淆——>DDR 繞過等，改進十分頻繁。
除了上述中提到過的手法外，該變種利用壓縮包嵌套釋放出大量落地文件，對于 C2 等配置也會存放到單獨文件中，期望減少自身威脅特征值并干擾分析流程。除此之外，其還通過快捷方式來將自身添加到注冊表進行持久化，一改原始服務寫入的方式。
對于以上變種，火絨安全工程師在深入了解其攻擊原理和手法特征后，將防御策略應用到產品中，可進行攔截、查殺。該病毒團伙預計后續(xù)還會持續(xù)更新其變種，火絨安全實驗室會持續(xù)跟進，保障用戶的終端安全。