正在阅读：落寞的“贵族” 盘点木马上线技术发展史落寞的“贵族” 盘点木马上线技术发展史

　　【PConline 杂谈】每当有热门影片上映时，木马就会乘虚而入，让影迷自投罗网。待成功种植木马后，黑客便可肆意的进行破坏、窃取，甚至是远程控制被种主机。遥想当年黑客技术发展的鼎盛时期，可谓高手辈出，但如今，曾经的技术流早已销声匿迹。那么，木马病毒究竟如何上线？其上线技术又经历了哪些发展历程呢？让我们通过今天的内容，一探究竟。

落寞的“贵族” 盘点木马上线技术发展史

　　正式步入主题之前，不妨先与笔者重温一下那段曾经辉煌的黑客年代，也就是2007到2009年间。在当时流行的众多黑客技术中，便包括了远程控制技术，并且形成一个各型木马满天飞的纷争态势。前有葛军编写的“灰鸽子”，后有各种RAT变体，例如上兴、PCShare、ByShell、黑洞、冰河、SRAT、维度等国产远控木马，不胜枚举。

使用Rrootkit技术的木马，通过注册表自启动

　　与此同时，一些C/S、B/S型的国外舶来品也流窜到了国内，相互比拼谁的功能多技术好，谁的免杀（反杀毒技术）强，因此，HOOK SSDT与Rootkit级别的木马层出不穷。但随着国家管控力度的加大，那些有关黑客的论坛、网站、杂志相继消失，而编写代码的技术流，也渐渐淡出网络这个虚拟舞台，成为无法见光的落寞一族。

木马查杀

　　好了，让我们言归正传，先说一说传统木马的上线方式。早期的远程控制木马均采用“主动连接”，就是说黑客想控制某台主机，需现在主机上执行木马，随后会开启一个提前配置好的端口，黑客要与该主机建立连接，在主控端上输入该主机的IP和端口，最后进行控制。

　　随着互联网的飞速发展，以及公网控制内网问题的浮现，成全了被动连接型的木马上线技术，与主动连接不同的是，被控端主动连接主控端，即主控端开启一个端口，被控端去连接主控配置好的IP地址。因此，也将被动连接称之为反弹连接。其中，FTP与DNS域名解析是最为经典的两种木马上线方式。

　　我们以灰鸽子FTP上线方式为例，在FTP服务器上写入“ip.txt”，内容为主控端监听的IP和端口，当IP地址改变后，只需要再次更新“ip.txt”的内容即可。配置木马时，按照FTP上线方式的格式配置上线地址便可。

　　实际上，DNS域名解析上线一直是木马上线最主要的方式，例如一度流行的3322和花生壳，一旦木马执行后便会解析提前配置好的域名，然后去连接对应的IP地址的端口进行通信。那么，新型木马又是如何上线的呢？

　　通过对大量APT攻击案例进行研究，现今的木马在运行隐蔽性、通信穿透性、功能多样性，以及跨平台性等方面上，有了重大突破。其中，部分的木马其上线方式开始采用第三方域名进行通信。

借第三方域名上线

　　通常采用第三方上线的木马都是使用了HTTP协议，由于HTTP协议无连接，因此也就不会牵扯到socket对象，只要被控端为控制端生成ID，就可区别于其他被控端。编写代码时，处理好接收数据、发送数据以及执行控制命令三个模块。

第三方域名上线工作原理

　　主控端在第三方网站上注册了两个帐号，一个用于主控端发出控制命令，一个用于被控端发送本机信息以及控制命令执行结果。主控端账号分别建立《木马上线测试》与《木马功能测试》两篇文章。被控端处理上线事务的顺序如上图所示。针对主机唯一的ID，如果是第一次上线则会生成此ID，不是则会读取已经生成的ID，如下图。

　　实际上，该上线方式采用的是HTTP协议通信，因此无法像TCP通信那样存在相关的SOCKET事件。正因如此，主控端还需要有一个处理主机是否在线的线程。这里，为防止文章有过多的评论，主控端在获取完评论信息后，添加了一个删除文章的评论。

处理主机在线机制

　　《木马功能测试》的通信流程与《木马上线测试》的设计相似，这里不再赘述。第三方网站的登录信息，被登录页面的js利用key进行加密并提交，并非原始明文密码；登录后，会有一个session或cookie，可直接当作发表评论的令牌使用，还可以延长控制时间。现阶段而言，使用第三方域名是隐藏木马上线最好的办法，保护主控端。