通訊隱蔽化

為了更好地逃避目標主機上的安全軟體、防火牆的攔截，越來越多的木馬採用更底層的通訊協議，甚至實現不同於 TCP/IP 協議的私有協議，以達到更好的通訊過程隱蔽化

基於 Tor 的通訊

Tor 提供了一個頂級域 .onion，使用者只能通過 Tor 訪問網路中的服務和主機，有效地保護了提供服務的主機位置和所有者的身份標識

卡巴斯基發現了多種使用 Tor 進行通訊的木馬，如 64 位的 Zeus、Chewbacca 等

基於公共服務的中轉通訊

Makadocs 使用 Google Docs 作為中轉代理，Google Docs 提供了一個被稱為 viewer 的功能，可以接受資源的 URL 並顯示，該功能允許使用者在瀏覽器中瀏覽多種型別的檔案

LOWBALL 木馬利用 Dropbox 雲端服務充當控制伺服器，利用 Dropbox 的官方標準介面進行存取，並且具備上傳、下載以及執行指令碼或者可執行檔案的能力

基於核心的網路通訊

基於主機的安全軟體通過在 Windows 系統的網路協議棧上掛鉤，或者附加過濾驅 動，可以監控目標機器的通訊過程，阻止可疑的網路連線，提供流量統計功能。

為對抗防火牆、網路審計軟體、抓包工具等分析與查殺，木馬正傾向於將通訊過程 遷移到系統更底層進行。具體方法是，基於網路棧的 NDIS 層實現木馬自己的網路協議棧，在網路上傳送不同於 TCP/IP 的資料幀

Windows 網路元件主要包含服務、介面、協議驅動和網路介面卡驅動四個基本部分， 由上到下組成了系統的網路棧，網路棧中的元件分為使用者模式和核心模式兩部分。其中，網路介面卡驅動遵循 NDIS（Network Driver Interface SpecificMion）規範。因此，網路介面卡驅動也稱為 NDIS 驅動或者 NDIS miniport 驅動

Windows 系統中所有的網路通訊都需要通過 NDIS 介面來完成。NDIS 網路驅動有 NDIS 協議驅動、NDIS 中間層（過濾）驅動和 NDIS 小埠驅動 三種，這三種類型的驅動分別位於三層。其中，小埠驅動直接針對網絡卡，給協議驅動提供接收和傳送資料包的介面

一般情況下，安全軟體和抓包工具的核心模組，是在 NDIS 協議驅動、NDIS 過濾驅動或者 NDIS 中間層驅動等層面做相應的攔截

木馬可以通過 NDIS 小埠驅動實現核心級的網路通訊，從而繞過安全軟體和抓包工具的監控。Win32/Gapz 木馬通過獲取描述 NDIS 小埠驅動的結構體指標，得到一組 MiniportXxx 回撥函式，在這組回撥中過濾網路資料是否是木馬的控制和傳輸資料，並交給木馬上層應用處理。同時，利用 NDIS 小埠驅動介面將資料傳送出去

實現呈現硬體化

硬體化木馬是指被植入電子系統中的特殊模組或設計者無意留下的缺陷模組，在特殊條件觸發下，該模組能夠被攻擊者利用以實現破壞性功能。硬體木馬可以獨立完成攻擊功能，如洩露資訊給攻擊者、改變電路功能，甚至直接破壞電路，也可以在上層惡意軟體的協同下完成類似功能

硬體木馬的種類很多。有些硬體木馬會改變電路的功能，進而影響電路的正常工作。有些硬體木馬不會對電路的工作產生影響，只會改變硬體韌體，為軟體木馬提供支援或者幫助，協助軟體木馬對系統進行攻擊。利用硬體韌體實現攻擊的方式，是當前木馬重要的實現方式

硬體裝置的韌體可更新機制，是軟硬體系統發展的必然趨勢，但這種機制存在被木馬利用的可能。近年來，出現了不少硬體攻擊的理論研究和驗證性實現報告，安全廠商和研究機構也發現了基於硬體的攻擊案例。在一些已經披露的APT攻擊中，都使用了一些超底層的和複雜的木馬程式，這些木馬利用硬體韌體的可改寫機制實現了在目標機器長期駐留、Boot啟動以及跨系統感染等高階功能

木馬利用硬體攻擊，最著名的例子是BadUSB。在 Equation Group Attacks 的 APT 攻擊中，使用的木馬可以改寫硬碟和固態硬碟的韌體程式，在系統重灌、驅動器格式化後，木馬仍然可以駐留在硬碟上。UEFI Rootkit 是被發現的第一例商業性質的硬體化木馬，它針對支援UEFI啟動的 系統進行攻擊，與基於 MBR 或者 VBR 的木馬一樣，它可以使得木馬早於系統啟動， 控制系統的啟動過程，進而載入和執行木馬的底層驅動程式

植入平臺多樣化

智慧裝置的木馬可由無線網路 ARP 欺騙、二維碼掃描、簡訊連結和開發工具掛馬等方式植入