特洛伊木马能否从 TCPView 隐藏其活动?

信息安全 木马
2021-08-18 04:59:28

特洛伊木马能否从TCPView隐藏其活动?

在问之前我做了一些研究,但我仍然找不到答案。

我知道木马可以通过各种方法从 Windows任务管理器中隐藏。此外,不太频繁地,它可以对命令隐藏其活动netstat(主要是用他们自己的版本替换程序)。我猜不太频繁,因为(我希望)任何不妥协的防病毒保护和系统文件更改警报(不确定我是否天真)。尽管如此,如果特洛伊木马使用 Windows 进程(不是它自己的名称)连接到 Internet,很多时候您可以识别出与某个随机 IP 地址的非预期连接。

许多网站建议使用 TCPView 来检查异常连接,我想知道木马是否可以从 TCPView 隐藏其活动。我不确定 TCPView 是否只是使用 netstat 程序的图形界面。在这种情况下,如果有任何方法可以隐藏netstat,它当然会从 TCPView 隐藏。

我不认为特洛伊木马会被专门编码以隐藏 TCPView(或者它是 TCPView 如此受欢迎以至于发生这种情况?),但也许有一种方法可以隐藏它的活动对任何试图检查当前 Internet 连接的程序(甚至Wireshark)并隐藏svchost正在建立这些连接的程序或 Windows 进程(甚至或系统)。

如果您知道用于隐藏 TCPView 的特定方法,您能否提及它们?

我想知道这一点,因为我不确定使用 TCPView 或 Wireshark 检查异常连接是否是确认该活动的防弹测试。

4个回答

我不认为特洛伊木马会被专门编码以隐藏 TCPview(或者 TCPview 如此受欢迎以至于发生这种情况?)但也许有一种方法可以隐藏它的活动形式任何试图检查当前互联网连接的程序(甚至wireshark)以及哪些程序或 Windows 进程(甚至 svhost 或系统)正在建立这些连接。

如果您知道用于隐藏 TCPview 的特定方法,您能否提及它们?

内核级 rootkit 可以对系统上的任何用户级程序隐藏自己,包括 TCPview。这是因为所有用户级程序都向内核发出请求以获取信息,例如访问网络连接表、接口和数据包。攻击者“挂钩”内核接口以拦截这些请求,因此用户级程序可能会说“显示所有数据包”并接收除 rootkit 数据包之外的所有数据。

这里有一篇很好的论文,名为Countering Persistent Kernel Rootkits Through Systematic Hook Discovery,它非常简洁地描述了 rootkit 执行此操作的方法。去引用:

...a rootkit by nature is programmed to hide itself especially from various
security programs including those widely-used system utility programs such
as ps, ls, and netstat. As such for an infected OS kernel, the provided
kernel service (e.g., handling a particular system call) to any request
from these security software is likely manipulated. The manipulation
typically comes from the installation of kernel hooks at strategic
locations somewhere within the corresponding kernel-side execution path
of these security software.

我想知道这一点的原因是我不确定使用 TCPview 或 Wireshark 检查异常连接是否是确认该活动的防弹测试

如果您认为一个系统可能受到损害,您就不能相信它告诉您的任何事情。 所以外部检查方法,例如不同机器上的wireshark (通过集线器,跨端口,你有什么)是获得网络流量的客观视图所必需的。

外部和信息的结合也非常非常有用。如果您看到大量从远程:3456 到可疑:8080 的数据包,但您的可疑机器说它没有在侦听 8080,这是一个好兆头,您有一个内核 rootkit 隐藏了它对网络的使用。

我相信其他人将能够准确说明如何做到这一点,但我想指出,您应该始终假设它可以并且已经完成。当然,大多数特洛伊木马感染可能不太可能,但尽职调查要求您表现得好像您不能相信受感染机器告诉您的任何内容。

在实践中,这意味着您将在机器上游某处弹出一个网络集线器,并使用它来监控流量以查看您的可疑机器在做什么,以及为什么通常从轨道上对其进行核对是唯一确定的方法。

我想这取决于情况。如果您在大使馆的网络上有一台可疑机器,您可能想戴上您的超级偏执帽子并使用集线器/交换机镜像端口来监控流量,同时最大限度地减少泄露您的敌意的机会。对于小型企业或个人计算机;一定要先看看机器上的 tcpview 和 wireshark,看看是否有什么东西跳出来。即使那样,如果您仍然有疑问,我个人还是希望看到来自电线的流量,可以这么说,看看发生了什么。

编辑

正如 KonradGajewski 在下面的评论中指出的那样,您可以使用任意数量的不同方法来拦截来自机器的流量,具体取决于您的网络布局的具体情况。这可能就像在机器和网络的其余部分之间放置一个集线器或笔记本电脑一样简单,或者通过使用交换机镜像端口、监控无线流量等等。

绝对有可能有人正在开发能够从嗅探器隐藏数据包的恶意软件。由于 Windows 系统上的大多数嗅探器都依赖于WinPCAP捕获驱动程序,因此可以操纵驱动程序以隐藏正在传输的特定数据包。

这就是为什么我使用笔记本电脑作为网桥来捕获潜在受损系统的数据包的原因。bridge-utils您可以在大多数 linux 系统上使用该软件包轻松完成此操作。

任何东西都可以通过熟练的逆向工程在 Windows 中进行操作。从 Wireshark 隐藏 TCP的通用RAT极不可能,但这是可能的。不要仅仅依赖您的防病毒软件 (AV),因为它们非常不可靠,并且在我看来没有很好的启发式技术。

您可以自己编写一些恶意程序并将其上传到https://www.virustotal.com/,我敢打赌,大多数 AV 不会检测到您编写的内容。并非所有 AV 都记录文件系统更改,这将是一项耗时的初始任务,因为它必须散列已知的系统文件。

如果您想要对网络进行防弹检查,您需要记录路由器上的流量,但在进行网络记录之前确保您的路由器没有受到损害。

其它你可能感兴趣的问题
上一篇在密码管理器中存储两因素身份验证种子是否安全? 下一篇为什么 Google Chrome 认为我的 Positive SSL 证书不安全?