ice 大家好!我是DCM,出生于2011年。大家为了方便称呼我,就给我取了一个小名“黑暗幽灵”。在没有被电脑管家发现之前,我可以通过网线或者WIFI,进入我想要进入的任何地方。但是随着被电脑管家发现,被大家所认识!今天,我们就仔细地给大家介绍一下我自己,方便大家更好地认识我!
我之所以可以混迹信息界这么多年而直到现在才被发现,原因是我具有以下几种强大的特性:
1)对抗性强,能够绕过几乎全部的安全软件主动防御,重点对抗国内安全软件,能够调用安全软件自身的接口将木马加入白名单,作者投入了大量的精力逆向研究安全软件。
2)感染方式特别,通过网络劫持进行感染,主要劫持主流软件的自动更新程序,当这些软件联网下载更新程序时在网络上用木马替换,导致用户无感中毒。
3)功能强大,主要以信息情报收集为主,能够监控监听大量的聊天软件,收集网络访问记录、监控Gmail、截取屏幕、监控麦克风和摄像头等。
4)攻击范围较小,针对性强,且持续时间长达数年,符合APT攻击的特性。
5)通讯方式特别,木马将数据封装成固定包头的DNS协议包,发送到大型网站来实现数据传输,此方法可以绕过几乎全部的防火墙,但是黑客要截取这些数据,必须在数据包的必经之路上进行嗅探拦截,结合木马的感染方式,可以推测出在受害者网络链路上存在劫持。
如果你们仅仅以为我是通过这些特性才可以长久的不被发现的话,就大错特错了!我之所以这样强大,就得详细的介绍我的另外一个特点,就是特别的感染方式!
我本身是不会主动传播的,我的设计者设计的就是潜伏并回传数据。我的传播是依赖另外几套系统来实现的(以下统称传播系统),而且这些传播方式也并不局限与传播 DCM 木马。此外,我仅用于特定目标人群的”定点打击“,并不会大量传播。
- 正规软件的自动更新
通过替换正常软件的自动更新网络数据,使这些软件下载我并执行。很多正规软件都直接运行在管理员模式下,还帮我省去了提权的麻烦。
- 下载可执行文件捆绑
被列入”定点打击“的电脑如果下载了不超过一个预设大小的 EXE 文件,则传播系统会将木马捆绑在这些正常的 EXE 文件上,而且并不会破坏原有可执行文件。用户一旦运行了下载的 EXE 文件就会被感染。
- 压缩文件感染
被列入”定点打击“的电脑如果下载了一个符合某些条件的压缩文件,则传播系统会根据配置将木马插入压缩文件中,替换掉压缩文件中的可执行文件,或者替换掉整个压缩文件,从而实现感染目标主机的目的。
- 浏览器劫持感染
这个感染方式比较极端,只有少量情况下会使用。当该感染方式启动时,用户电脑无法正常浏览部分甚至全部网站,浏览器会被重定向到一个钓鱼页面,要求用户安装”浏览器插件”或者“必要更新”一类的内容,从而诱导甚至强迫用户安装木马。
看了以上我的介绍,有没有感觉我很强大!但是很可惜,还是被人类发现了我的存在,不过我并不气馁,我的主人在我被发现后,应该还会有更多的我的家族的同胞被释放出来,只要人类通过这些渠道,我们仍旧可以正常占领他们的电脑的呢!
