网络威胁如何掩饰自己的流量

网络威胁已经进化到会尝试去预先绕过分析和侦测。安全厂商每天所做出的进步，都会有网络犯罪分子加以反击。拿Stuxnet做例子，为其他威胁开创使用 LNK漏洞的方法。Conficker蠕虫/DOWNAD让网域生成算法（DGA）变成流行。现在也被其他恶意软件家族所使用，包括ZeroAccess 和TDSS。

这些闪躲技术的目标很简单：避免早期侦测和让攻击者可以建立目标计算机上的立足点，比如连线到Google和微软更新，还有流行实时通所产生的流量，像是Yahoo实时通。

下面是一些我们所看到的，会用这种方法来防止被侦测的远端存取木马（RAT）：

§  FAKEM。这个远端存取木马通常出现在鱼叉式网络钓鱼邮件，被发现会将自己的网络通讯伪装成Windows Live Messenger、Yahoo实时通和HTML等网络流量。

§  Mutator。或Rodecap，据称和Stealrat殭尸网络有关。它会下载Stealrat模块或元件，并且在某些情况下，会假造自己的HTTP标头，利用「google.com」来和正常流量混合在一起。

虽然名单并不是特别长，而且方法很简单，网络犯罪分子也会适应并提升自己的技术能力。他们不断地改进自己的方法和策略，企图绕过网络安全，企图去接管系统，并且在安全研究人员前隐藏自己。

转载请注明：jinglingshu的博客 » 网络威胁如何掩饰自己的流量