观天“远控木马”在客户端运行时会主动发起请求,连接远控平台,方向是从内网到外网(远控平台在互联网的情况下)。为什么当我们在客户端使用 netstat -ano或抓包,不一定能看到网络的连接呢?这是因为木马回连设置了间隔时间。需要长时间的抓包分析,才能判断木马的回连间隔时间。
搞清楚木马是主动请求远控平台,那么切断木马的连接防火墙策略就知道怎么写了。
1、主机防火墙或网络防火墙 建立“出站策略”阻断! 记住是出站方向的阻断。 入站策略无法阻断木马回连!!! 2、也可以添加双向阻断,例如防火墙的“黑名单功能”
