远控里面的肉鸡怎么那么多管家和360的用户？牧马人是怎么抓鸡的？

王国之心00

  看到几乎所有的主流带被控端杀毒软件显示的远控界面里肉鸡都是腾讯和360安全卫士的用户，他们是怎么抓鸡的？现在中木马的方式有网页挂马，外{过}{滤}挂捆绑，端口入侵，带毒邮件，局域网蠕虫和u盘传播等5种主流手段。
1.网页挂马 ：现在的浏览器都带沙箱和云安全，就算网页挂马免杀后关闭网页也会自动倒沙，和10年前挂马后ie6通过浏览器漏洞入侵方式已经很难行得通。
2.破解软件或外{过}{滤}挂捆绑 ：用户被骗下载捆绑木马的外{过}{滤}挂后关闭杀毒软件或加白中远控木马估计是唯一有可能的中毒手段，但很难大范围抓鸡。
3.端口入侵 : 首先要扫描IP段找开放高危端口的主机，然后扫描弱口令利用字典爆破后传马。或者利用0day和nday漏洞入侵。现在管家和360都有防入侵模块，况且会自动升级病毒库和自动打补丁，一键体检优化加速杀毒等。但和远控配套的其他黑客软件都提供抓鸡工具，那么多的360和管家肉鸡靠欺骗运行带毒外{过}{滤}挂显然不可能，只有端口入侵抓鸡才说得通。况且那么多肉鸡服务器也不会运行带毒外{过}{滤}挂。
4 .带毒邮件 ：这早过时了，通过QQ传带毒exe或邮件发带毒exe，小学生看后缀名也知道是病毒。也不可用大范围抓鸡。
5.局域网蠕虫和U盘：局域网和u盘大范围传播不太现实。

tg123321

合法的远控软件，360和腾讯会显示信任

360主动防御

远控木马惯用的手段是在各大下载站、网盘分享“XX vip不限速网盘”“xx外{过}{滤}挂”“xx免积分下载器”“xx加速器无限试用”这种非常具有诱惑性的破解软件，在运行时也会主动提示退出安全软件或添加信任使用，而且具有潜伏性，不一定是立即作案，等发现财产损失时为时已晚，建议下载软件还是从正规渠道下载。我们接触到的第二类是最多的，其中大都还有白利用情况。

这是此前卫士发布的一篇真实案例分析报告，可以参考下：
http://www.freebuf.com/articles/system/135081.html

不甜不要钱

感觉AVG才是亮点

王国之心00

tg123321 发表于 2018-2-8 21:24
合法的远控软件，360和腾讯会显示信任

肯定不是合法远控，合法远控不可能界面上有ddos攻击等功能。网盘不限速，外{过}{滤}挂，破解网游加速器这些捆绑病毒来抓鸡效率太低，再说服务器不用这些东西，用带毒外{过}{滤}挂只能骗骗家庭电脑，没法去骗服务器网管。截图里扫描3306端口利用字典爆破，然后sql注入。记得360安全卫士可以防止sql注入的，看来被绕过了。还有445传马，远控界面肉鸡里面印度和俄罗斯肯定不是下载中文的外{过}{滤}挂或破解软件中木马的。远控界面显示肉鸡已经上线，又标出肉鸡使用的杀毒软件，说明木马肯定做过免杀，否则不可能上线成功。再者免杀过的木马已经不需要欺骗用户关闭杀毒软件了。

王国之心00

不甜不要钱 发表于 2018-2-8 23:29
感觉AVG才是亮点

下图还有阿三的趋势。。。。

uu005

楼主你截图上不是有么，“咖啡 3306”。
Script Kid，Script Kid，充其量就是脚本小子而已。

王国之心00

uu005 发表于 2018-2-9 00:22
楼主你截图上不是有么，“咖啡 3306”。
Script Kid，Script Kid，充其量就是脚本小子而已。

连脚本小子都能用傻瓜式的工具批量端口入侵装了杀软的个人电脑和服务器，那国内的网络安全就相当严峻了。、‘、靠QQ客户端强推的管家和首家免费杀毒的360已经覆盖了国内百分之90的杀软份额，，，况且国内的管家和360会一键杀毒，一键打补丁，自动升级，一键体检，一键修复安全风险。。。。。。按理来说个人用户不会把windows防火墙关闭的，在一台开着防火墙，打了补丁，装有杀软的win7，win10电脑的情况下即便是空密码也不应该那么容易被远程入侵。。。

PanzerVIIIMaus

我先前发现一些装机佬手中的GHOST系统自带的360是关闭自动更新的，这种360基本上过期那么个一两年妥妥的，即便被搞也完全不奇怪（云主防也得结合不太旧版本的本地模块对吧），结合GHOST系统在各种装机佬都可能潜在使用，有成吨的的用户被搞是正常的事情。
我不知道管家能否关掉更新，所以我不能确定能否与上同理。

通过GHOST系统潜在的问题引发受感染和传播也是一种常见的手段吧，这种情况下根本不需要过多的免杀，恶意软件传播成本低廉，“小子”也能玩得起。

但毋庸置疑，大多数被搞的用户都是缺乏安全管理意识的。

cloud01

现在的杀毒软件都是防的住破坏系统的 ，防不住不破坏系统的，就是正常软件一样的动作，很难搞。只不过360份额大而已。防火墙不开手动模式都是虚的。