如何評價黑暗幽靈木馬？

01-06

http://t.cn/RqJtIW3 月光博客的文章，簡直可怕到了極點，這個能量，感覺不是我國就是美人希乾的。。

看了下文章，

如果真如文章所寫，那這個木馬簡直是...

屌炸天啊！

首先說傳播方式，

劫持更新包，和偽基站釣魚有異曲同工之妙，

想法超前，效果想必也是極佳，

殺人於無形，防不勝防吶（范老師語氣

難點在於，如何讓人處於「不安全的網路」之中。

木馬本身，

自提權，win系統幾乎版本通殺，先進的免殺方式，完善的信息收集，

單說這些方面，幾乎就是黑客夢寐以求的神器了。

一個版本通殺、殺軟通殺、還具備一切遠控功能的木馬（的源碼），

黑客們這是要跪舔求馬的節奏...

連接方式，

該木馬沒有CC伺服器，所有的數據均偽裝成DNS包發送到http://www.baidu.com、http://www.sina.com、http://www.163.com域名所在伺服器的53埠或者8000埠。黑客要想獲取這些數據包，必須在數據包從本地計算機到這些網站伺服器的必經之路上進行劫持嗅探。

這是什麼鬼？？沒有箱子、沒有主控端、沒有自己的域名、沒有中轉，

直接就扔在互聯網上，

先進，太先進了。

但特么，這到底是要幹嘛？我沒看懂啊...

如何保證能截到包，我不懂啊...

怎麼看都像是定點打擊的工具，或者是小範圍作戰的工具。

不過這木馬，如果被其他黑客研究多了，搞不好會被黑吃黑吧...

SS探針，Tor探針，DNS劫持，以及這個木馬。

第三世界國家中從此不存在加密流量。

已重置

答案大家其實心裡都知道，只是沒法說而已。

這個是國家隊乾的是肯定的啦，而且肯定是中國隊了。如何評價呢，這個木馬為了我國國家安全以及互聯網秩序帶來了新的曙光（逃）

幾個像樣的分析都是就事論事，只說了這個木馬有多厲害，別的都沒說。

一般說來，如果你是業內人士而且稍微資深一點兒，略略看上幾眼就該知道，能作出非常牛B東西的，一隻手就數得過來，也就那幾伙人，那幾個公司。反正在本人所在的行業，如果出了一個很牛B的產品，不用說大家基本上都能知道大概是誰做的。

儘管知乎也可以匿名，那也只是懵讀者和用戶的。所以這裡的答案基本上也都是空對空，不知道的在裝明白，知道的誰也不來乾貨。

按說的出了這麼厲害的木馬，各種不著調的TV、時報早就出來抓眼球了，可他們都裝聾作啞；關於木馬的解析，即使用Google搜索也都是那兩篇轉來轉去，不是搜不到，而是真沒有。

這個木馬，就算是頂級黑客，你編出來，也很難用得了，你沒有那麼多的資源。按投入和產出來算計，其目標一定價值很高才值得。

有些閑人在一些非主流的地方陰陽怪氣地說幾句天朝壞話，就覺得自己很危險，動不動就要匿名什麼的。其實絕大多數人都太把自己當回事兒了，連雙規得夠資格都不知道，你求著人家搞你人家都嫌你礙事。即使要動你，你住羅布泊也分分鐘查你水表，還用費這般笨功夫？你的銀行卡支付寶微信錢包密碼？還是別說出來讓人笑話了，就你的那點兒錢，還沒有人家戶頭上的0多，還好意思麻煩人家惦記？

當初不可一世的紅十字會被郭美美幾個帖子就鬧跨了，而這妹子居然還能上CCV找名人洗地，而且公然說有多少G直接叫板，一直挺了三年才被找個不相干的由頭弄進去。再看青基會，這麼多年多少風浪依然順風順水，對比起來，高下立判。

這馬不僅厲害，還很有來頭，別瞎猜了。猜不到還好，萬一被你懵著了，沒人當你是懵的。

最讓人疑惑的是企鵝兄這次為什麼這麼賣力地出頭，真是新常態，莫非被冒名頂替了？

細思極恐……

這要不是國家隊

那就更可怕了

這個木馬木有isp協助很難起作用誒

另："能夠調用安全軟體自身的介面將木馬加入白名單"----&>這麼大的漏洞，廠家會不知道？ca又是誰的？

細思極恐啊......

不過幸好窩用ArchLinux XD

額…吐槽一句…這個東西玩爛了好么…而且嚇唬人的成分多

另外不是給360打廣告，我不用360，只是經常懟他……

首先劫持更新下載，要麼把運營商搞定，要麼中間人，360要報

能開攝像頭還能過數字的主動？十有八九有簽名～

還能偽裝DNS包？不好意思這個是內網滲透的常用手段…

還lsp注入？360分分鐘教他做人…插apc注都會被幹掉

還用cve-2011-1249？這個最高影響到win7 x64，目前已知的提權最高兼容win7-win10 rs2

注explorer？隨便一個hips都會報，包括360

總的來說，思路應該已經是幾年前的了，有些樣本比他高明了不知道多少(笑

他說的免殺應該指靜態的，全局hips + r3 inline hook足夠搞定了…

獲得的數據再多，也要通過劫持特定網關，嗅探目標發出去的數據。。。

於是我想起了。。。

所以，你的網關在你家裡，我們怎麼可能跑到你家去劫持你家的網關呢？對吧？

這裡我不得不點名批評一下騰訊管家，國家的馬你也敢分析，你也敢攔截？

剛剛看了某個不存在網站的一篇分析，從這木馬運行的方式，收集信息的手段，得出的結論應該是不可描述組織乾的。

下面就大概的轉述下那文章的內容……大略說說，大家將就看看吧。

因為一般的木馬收集到的信息都會有落腳的地方如製作人的郵箱，而這個木馬木有，只是經過從你的電腦到國外層層網路「關卡」（寬頻撥號設備，運營商的局端設備，城域網出口，骨幹網省級出口，骨幹網國際出口）發送到微軟的伺服器，但是微軟不背這鍋。而能輕鬆從「關卡」獲得信息的電信運營商可能會搞，但是他們沒幹這事的動力呀，畢竟他們不差錢，當然不除非有人把刀架運營商的脖子上，他們可能會幹，那麼……誰能對運營商指手劃腳呢？電信詐騙的騙子嗎？？

是g0v幹得，幾年前就有了。

高度機密：「黑暗幽靈」（別名 DCM）木馬的前世今生

暫時轉一個吧，這類小眾定向木馬應該不會大範圍傳播，更多的是內鬥專用利器

You are being watched.

斬斷髮送詐騙簡訊的「黑手」

前兩年盜號的還很猖狂怎麼到現在消失的乾乾淨淨了怎麼回事啊

只會掃雷的圍觀群眾認為，早有qq和360有偷偷上傳用戶信息的傳聞，現在出這個消息算不算洗地？

既然攔截到了，可以公布代碼的吧？

既然數據是上傳到新浪163的網址，他們應該會出來表一下態的吧？

西方反病毒組織對這事一句話都不說，也不好吧？

總之，我覺得繼續圍觀即可，沒下文就是假新聞。

標準商業木馬

沒有什麼特色

高潮個毛。

你看到那個木馬把自己IP寫在裡面，或是用動態域名那。那反編譯下，或者截取個數據包就知道對方ip。

就算有IP那也是肉雞的。

還有DNS數據包那麼小，能傳多少，基本收取用戶信息盜取錢財的。這一點就可以排除國家隊了。

還有木馬居然不注入QQ，起碼也在QQ目錄下面寫個dll劫持把。文件然後用QQ來傳輸數據，這個數據傳輸大。而且不容易發現。許可權又多。那邊只要登陸一個QQ號即可。

你把裡面那些所謂的新技術，不要谷歌，百度搜索都能搜索到。還國家隊。

國家隊從來不需要這樣大面積放馬的，人家就像特種部隊，精準攻擊。完事就刪。不留痕迹。

最主要的國家隊要你的聊天文件，直接打個電話給騰訊，連你下一次搖一搖出現的人都知道。還放馬。

看評論。不知道還以為進了網易呢。

應該不是c國的，畢竟幾大殺軟和分析那個木馬的是c國的好臣民。對木馬和反病毒軟體研究的如此深，不是一般人。