正在阅读：落寞的“贵族” 盘点木马上线技术发展史落寞的“贵族” 盘点木马上线技术发展史

　　通过对大量APT攻击案例进行研究，现今的木马在运行隐蔽性、通信穿透性、功能多样性，以及跨平台性等方面上，有了重大突破。其中，部分的木马其上线方式开始采用第三方域名进行通信。

借第三方域名上线

　　通常采用第三方上线的木马都是使用了HTTP协议，由于HTTP协议无连接，因此也就不会牵扯到socket对象，只要被控端为控制端生成ID，就可区别于其他被控端。编写代码时，处理好接收数据、发送数据以及执行控制命令三个模块。

第三方域名上线工作原理

　　主控端在第三方网站上注册了两个帐号，一个用于主控端发出控制命令，一个用于被控端发送本机信息以及控制命令执行结果。主控端账号分别建立《木马上线测试》与《木马功能测试》两篇文章。被控端处理上线事务的顺序如上图所示。针对主机唯一的ID，如果是第一次上线则会生成此ID，不是则会读取已经生成的ID，如下图。

　　实际上，该上线方式采用的是HTTP协议通信，因此无法像TCP通信那样存在相关的SOCKET事件。正因如此，主控端还需要有一个处理主机是否在线的线程。这里，为防止文章有过多的评论，主控端在获取完评论信息后，添加了一个删除文章的评论。

处理主机在线机制

　　《木马功能测试》的通信流程与《木马上线测试》的设计相似，这里不再赘述。第三方网站的登录信息，被登录页面的js利用key进行加密并提交，并非原始明文密码；登录后，会有一个session或cookie，可直接当作发表评论的令牌使用，还可以延长控制时间。现阶段而言，使用第三方域名是隐藏木马上线最好的办法，保护主控端。