频道栏目
首页 > 安全 > 网络安全 > 正文

僵尸网络:用户怎样在云中发现僵尸网络呢

2017-10-12 09:26:00      个评论    来源:[db:作者]  
收藏   我要投稿

1 媒介
远控(RAT)的汗青积厚流光,”文能提笔安世界,武能顿时定乾坤”。远控既能用于正轨用处好比长途合作软件 teamviewer 等,亦能用于不法运动好比 C&C 进击。本日咱们要谈的便是用于非(黑)法(产)运动的远控。
海内远控定名八门五花,既有”养鸡场”、”大灰狼”等接地气的名字,也有”假面骑士”、”雄姿英才”等颇具武侠风的名字。在咱们的样本库中,”刑天”、”天羽”、”天罚”、”天劫”等几款远控用名自成一家,由于包含了中国传统文化推重的”天”字,故同一定名为”天字号”。
2 远控先容
科普,如同剥洋葱般需要由浅入深由易到难,咱们在这一节对远控停止表层的先容。
2.1 远控家属
“野火烧不尽,春风吹又生”,这句诗描述远控家属正合适。平安的博弈与反抗经年累月,远控在各类杀软厂商的协力围歼下仍旧可以或许存活乃至繁殖生息,阐明玄色产业链对黑产从业者引诱之大。为了回避围歼,远控法式也不停在升级换代,并慢慢扩展疆场。肉鸡法式应用白应用回避杀软自动进攻查杀, 远控由PC成长到安卓平台,都是远控在慢慢成长的印证。
出于分歧的缘故原由,分歧的主控可能在通讯协定、Server端运转机制等方面极端类似,咱们将这些类似的主控划作一个家属,便利阐发和统计。同家属的主控大多是此中一个主控法式的变种,为了回避检测会采用改动指令布局、变更指令ID、调换加密办法等手腕。由于远控作者的编码程度良莠不齐,有的老手会简略改动别人写好的远控代码,如许也会形成分歧远控附属同一家属的环境。
2.2 横向比较
咱们对每一个天字号远控均做了阐发,从通讯加密、能否包含体系监控模块、能否包含DDos进击模块、DDos进击范例的多样性等四个纬度停止横向比较,概况如下表所示:

 阐发时咱们发明一件有意思的工作,”天劫”的通讯协定与”刑天”完整雷同附属于同一家属而且操纵界面高度类似,这实在使人为难。”天劫”增加了注册登录充值等模块用于售卖, 在盗窟的道路上越走越远,无奈设想”刑天”的开发者会是如何的心境。
由于”刑天”的通讯协定没有加密便于抓包阐发而且进击范例比拟丰硕,比拟得当停止惯例的科普,以是本文抉择”刑天”作为天字号的典范拿出来阐发。
2.3 测试环境安排
阐发”刑天”的通讯协定办法比拟简略,咱们应用虚构机搭建测试环境停止抓包阐发,这类未加密通讯协定的环境对付对不长于逆向的同学来讲是种福音。
咱们在内网中应用2台windows 7 、1台Centos虚构机为基础安排了简略的测试环境。一台Windows 7虚构机A用作主控端, 一台Windows 7虚构机B用作肉鸡,而Centos虚构机C架设TCP、UDP办事用作测试靶机。安排布局如下图所示:

咱们以”刑天”为例给出安排进程。起首在A中应用刑天天生肉鸡法式:

 
而后在B中运转肉鸡法式,并开启wireshark抓取数据包。以后咱们在A中会看到B上线:

经由进程主控界面下方的功效区设定进击信息:

 
在C中咱们可以或许简略的应用Python的SimpleHTTPServer启动一个Web办事作为TCP进击的目标,如许做的利益是可以或许在bash shell中看到TCP进击的进击载荷并应用>&等重定向进击载荷。虽然咱们完整可以或许写一个UDP办事来捕捉进击数据。
3 通讯协定
有人质疑说很多文章在阐发远控时紧张针对远控天生的server端的运转机制,没见过写通讯协定的,你这属于耍流氓。不得不承认,阐发server的运转机制虽然紧张,然则我的概念从来是不分场景的操纵都是耍流氓。咱们对远控阐发的应用场景是在全流量中发明C2 信道和检出歹意主机,丰硕威逼谍报,从而对云的平安态势做到了然于胸、知己知彼。是以,控制各类远控家属的通讯协定对付上面的场景来讲至(jing)关(shuo)重(fei)要(hua)。
为了阐发的有理有占有节,上面分离从首包与C&C指令两方面来阐发。
3.1  首包
首包即上线包,指肉鸡第一次衔接主控时发送的数据包,可以或许懂得为肉鸡向主控注解本身存在并请求注册的一道凭证。主控在收到首包后会觉得新的 BOT 上线并请求注册。”刑天”远控会在首包附带操纵体系范例、内存巨细、CPU 核心数及主频、网络带宽等信息。如许的信息便利”牧马人”在停止义务下发时对机械前提的考量(好比sync flood进击需要windows server体系而不克不及是win xp等小我pc)。在测试中抓取肉鸡上线的首包如下图所示:


  
 ”刑天”远控的首包长度为184Bytes, 在windows 7与window xp环境测试中首包的认证标识为b00000007700000004080000,首包布局如下表所示:

3.2 进击分类
“刑天”DDoS功效分为5大类,每一个大类分为多少细分功效,分类细节如下表所示:

 
3.3 C&C指令
3.3.1 进击参数
在肉鸡上线以后,咱们关怀的是主控若何给肉鸡下发进击敕令。设定进击参数是DDoS型主控需要的功效。经由进程阐发多款DDoS主控,进击参数紧张包含如下字段:进击目标、目标端口、连续时间、线程数目、进击方法等。
3.3.2 指令布局
刑天远控指令布局比拟简略,分为两个部门:指令标识 + 指令载荷。肉鸡法式提取指令标识肯定详细的义务范例,依据指令载荷添补义务载荷。
3.3.2.1 指令标识

指令参数长度标识与指令大类标识均为 4 字节整形,采纳小端形式而非网络字节序。
3.3.2.2 指令载荷
依据能否需要DDoS进击参数,咱们将指令载荷分为两类: DDoS进击指令载荷、非DDoS进击指令载荷。参照进击分类,批量操纵大类属于非 DDoS进击指令载荷,残剩大类均属于DDoS进击指令载荷。
需要留意的是,在网站测试大类中会呈现针对游戏方法、完整穿透方法、变参的肇端 ID等扩展细分指令,刑天远控为了同一指令载荷的布局参加了 8 字节的扩展字段以兼容分歧大类。经由进程阐发每一个细分指令,咱们总结DDoS进击指令载荷布局如下表所示:

“其它字节”包含了进击目标、自定义进击载荷之类的参数,其长度为指令载荷长度减去 24 字节。
非DDoS进击指令载荷布局绝对简略,分为两种环境。对付下载下载地点、弹窗地点、更新地点等3个指令,地点便是载荷。而对付关机、重启、卸载等3个不需要现实载荷的指令,用0×31字节添补。
经由进程进一步阐发每种细分进击的数据包,咱们总结了细分指令ID如下表:

 
3.3.3 C&C指令布局汇总
经由进程上述阐发,咱们汇总”刑天”C&C指令布局如下:

 
以上便是”刑天”远控的通讯协定,包含首包布局、C&C指令布局等。
在控制了主控通讯协定的环境下,咱们就可以或许用婚配的办法在全流量中抓取应用了明文通讯协定的C2信道流量,进而锁定肉鸡及主控并丰硕威逼谍报库。
4 进击行动阐发
如今咱们可以或许用已知通讯协定捕捉婚配流量,然则不克不及止步于此。通讯协定婚配的办法无奈办理感知未知主控通讯协定的成绩,是以咱们需要经由进程总结肉鸡在进击时的行动特征来检出进击流量。在进击流量阐发进程当中,咱们发明肉鸡法式的发包战略颇有特色,是一个很好的切入点。咱们阐发总结了”刑天”主控发包时的举措特色,如下所示:
4.1 TCP发包战略


 
从阐发成果可以或许发明此中的几种细分进击范例是一些变种进击,推想如许做的目标是为了顺应分歧的进击目标和对肉鸡设置装备摆设的斟酌。

 

4.2 UDP发包战略

 
4.3 ICMP发包战略
ICMP发包战略会连续发送载荷跨越4000字节的ICMP数据包。
4.4 行动阐发总结
有需要再联合咱们的场景阐明一下,阐发肉鸡法式的发包战略其实不是说咱们要做抗D, 咱们的目标是依据发包战略挑选进口流量中的可疑流量进而锁定云中的可疑主机。
认识主控的发包战略有助于咱们总结纪律、构成办法,从云主机的流量中实时发明可疑流量。这对咱们探测未知主控家属的通讯协定是一个很大的赞助。
5 总结
本文从科普的角度动身先容了在机房全流量中发掘僵尸网络的办法。咱们起首先容了一种典范的主控通讯协定,而后对主控的进击行动做了阐发总结。主控通讯协定与主控进击特色是咱们树立僵尸网络信道发明的基石。
在现实工作中,咱们将连续网络到的数百种主控家属的通讯协定,联合威逼谍报部门供给的歹意IP域名谍报,在云中检出受沾染主机及主控。从威逼谍报的角度来看,企业间远控家属谍报互换有助于扩展僵尸网络发掘的广度,对付保护网络平安有踊跃的意义。

 

 

上一篇:黑客是怎么入侵用户手机窃听的?用户该如何防范黑客入侵和手机窃听?
下一篇:影响几乎所有版本的Office 0day高危漏洞已被黑客用来攻击,快来看看如何防御
相关文章
图文推荐

关于我们 | 联系我们 | 广告服务 | 投资合作 | 版权申明 | 在线帮助 | 网站地图 | 作品发布 | Vip技术培训 | 举报中心

版权所有: 红黑联盟--致力于做实用的IT技术学习网站