欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

逆天之行:咱们怎样在云中发现僵尸网络呢

来源:本站整理 作者:佚名 时间:2017-10-10 TAG: 我要投稿

1 媒介
远控(RAT)的汗青积厚流光,”文能提笔安世界,武能顿时定乾坤”。远控既能用于正轨用处好比长途合作软件 teamviewer 等,亦能用于不法运动好比 C&C 进击。本日咱们要谈的便是用于非(黑)法(产)运动的远控。
海内远控定名八门五花,既有”养鸡场”、”大灰狼”等接地气的名字,也有”假面骑士”、”雄姿英才”等颇具武侠风的名字。在咱们的样本库中,”刑天”、”天羽”、”天罚”、”天劫”等几款远控用名自成一家,由于包含了中国传统文化推重的”天”字,故同一定名为”天字号”。
2 远控先容
科普,如同剥洋葱般需要由浅入深由易到难,咱们在这一节对远控停止表层的先容。
2.1 远控家属
“野火烧不尽,春风吹又生”,这句诗描述远控家属正合适。平安的博弈与反抗经年累月,远控在各类杀软厂商的协力围歼下仍旧可以或许存活乃至繁殖生息,阐明玄色产业链对黑产从业者引诱之大。为了回避围歼,远控法式也不停在升级换代,并慢慢扩展疆场。肉鸡法式应用白应用回避杀软自动进攻查杀, 远控由PC成长到安卓平台,都是远控在慢慢成长的印证。
出于分歧的缘故原由,分歧的主控可能在通讯协定、Server端运转机制等方面极端类似,咱们将这些类似的主控划作一个家属,便利阐发和统计。同家属的主控大多是此中一个主控法式的变种,为了回避检测会采用改动指令布局、变更指令ID、调换加密办法等手腕。由于远控作者的编码程度良莠不齐,有的老手会简略改动别人写好的远控代码,如许也会形成分歧远控附属同一家属的环境。
2.2 横向比较
咱们对每一个天字号远控均做了阐发,从通讯加密、能否包含体系监控模块、能否包含DDos进击模块、DDos进击范例的多样性等四个纬度停止横向比较,概况如下表所示:

 阐发时咱们发明一件有意思的工作,”天劫”的通讯协定与”刑天”完整雷同附属于同一家属而且操纵界面高度类似,这实在使人为难。”天劫”增加了注册登录充值等模块用于售卖, 在盗窟的道路上越走越远,无奈设想”刑天”的开发者会是如何的心境。
由于”刑天”的通讯协定没有加密便于抓包阐发而且进击范例比拟丰硕,比拟得当停止惯例的科普,以是本文抉择”刑天”作为天字号的典范拿出来阐发。
2.3 测试环境安排
阐发”刑天”的通讯协定办法比拟简略,咱们应用虚构机搭建测试环境停止抓包阐发,这类未加密通讯协定的环境对付对不长于逆向的同学来讲是种福音。
咱们在内网中应用2台windows 7 、1台Centos虚构机为基础安排了简略的测试环境。一台Windows 7虚构机A用作主控端, 一台Windows 7虚构机B用作肉鸡,而Centos虚构机C架设TCP、UDP办事用作测试靶机。安排布局如下图所示:

咱们以”刑天”为例给出安排进程。起首在A中应用刑天天生肉鸡法式:

 
而后在B中运转肉鸡法式,并开启wireshark抓取数据包。以后咱们在A中会看到B上线:

经由进程主控界面下方的功效区设定进击信息:

 
在C中咱们可以或许简略的应用Python的SimpleHTTPServer启动一个Web办事作为TCP进击的目标,如许做的利益是可以或许在bash shell中看到TCP进击的进击载荷并应用>&等重定向进击载荷。虽然咱们完整可以或许写一个UDP办事来捕捉进击数据。
3 通讯协定
有人质疑说很多文章在阐发远控时紧张针对远控天生的server端的运转机制,没见过写通讯协定的,你这属于耍流氓。不得不承认,阐发server的运转机制虽然紧张,然则我的概念从来是不分场景的操纵都是耍流氓。咱们对远控阐发的应用场景是在全流量中发明C2 信道和检出歹意主机,丰硕威逼谍报,从而对云的平安态势做到了然于胸、知己知彼。是以,控制各类远控家属的通讯协定对付上面的场景来讲至(jing)关(shuo)重(fei)要(hua)。
为了阐发的有理有占有节,上面分离从首包与C&C指令两方面来阐发。
3.1  首包
首包即上线包,指肉鸡第一次衔接主控时发送的数据包,可以或许懂得为肉鸡向主控注解本身存在并请求注册的一道凭证。主控在收到首包后会觉得新的 BOT 上线并请求注册。”刑天”远控会在首包附带操纵体系范例、内存巨细、CPU 核心数及主频、网络带宽等信息。如许的信息便利”牧马人”在停止义务下发时对机械前提的考量(好比sync flood进击需要windows server体系而不克不及是win xp等小我pc)。在测试中抓取肉鸡上线的首包如下图所示:

[1] [2] [3]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载