[发明专利]一种基于云函数免杀及防溯源的攻击方法

说明书

本发明涉及计算机网络安全技术领域，且公开了一种基于云函数免杀及防溯源的攻击方法，其特征在于：包括以下步骤：S1：建立落脚点；S2：劫持维持权限；S3：命令并控制服务器通信中隐藏真实的IP地址信息；S4：检查磁盘是否小于60G，内存是否小于4G和CPU核心数量是否小于4；S5：检查运行的进程名；S6：检查下是否存在以下虚拟机配置文件；S7：检查鼠标在程序运行的10秒内是否移动，键盘有无输入。本发明在渗透测试或者攻防演练中，无论是获取核心恶意代码还是连接命令与控制服务器，都通过云函数作为代理来隐藏服务器真实的IP地址，减少留下可供溯源的证据，给后续防守方的溯源带来极大挑战。

技术领域

本发明涉及计算机网络安全技术领域，具体为一种基于云函数免杀及防溯源的攻击方法。

背景技术

现有技术中通过加壳利用特殊的算法对对可执行文件与动态链接里的资源进行压缩与对文件的描述、版本号、创建日期、修改软件、系统执行需求等外层数据进行伪装。但是加壳后会有明显的特征，杀毒软件对于加壳的行为非常敏感，误报情况比较严重，正常的软件加壳后也经常被杀毒软件认为是病毒。程序在运行前会先运行壳，等到程序加载到内存里的时候已经恢复成原本未加壳的状态，因此对于保护恶意代码免于动态查杀无能为力。

为此，我们提出了一种基于云函数免杀及防溯源的攻击方法来解决问题。

发明内容

本发明的目的在于提供了一种基于云函数免杀及防溯源的攻击方法，解决了上述背景技术中所提出的问题。

为实现上述目的，本发明提供如下技术方案：一种基于云函数免杀及防溯源的攻击方法，包括以下步骤：

S1：建立落脚点；

S2：劫持维持权限；

S3：命令并控制服务器通信中隐藏真实的IP地址信息；

S4：检查磁盘是否小于60G，内存是否小于4G和CPU核心数量是否小于4；

S5：检查运行的进程名；

S6：检查下是否存在以下虚拟机配置文件：

C:\windows\System32\Drivers\Vmmouse.sys

C:\windows\System32\Drivers\vmtray.dll

C:\windows\System32\Drivers\VMToolsHook.dll

C:\windows\System32\Drivers\vmmousever.dll

C:\windows\System32\Drivers\vmhgfs.dll

C:\windows\System32\Drivers\vmGuestLib.dll

C:\windows\System32\Drivers\VBoxMouse.sys

C:\windows\System32\Drivers\VBoxGuest.sys

C:\windows\System32\Drivers\VBoxSF.sys

C:\windows\System32\Drivers\VBoxVideo.sys

C:\windows\System32\vboxdisp.dll

C:\windows\System32\vboxhook.dll

C:\windows\System32\vboxoglerrorspu.dll