SSL通信和域前置
??域前置是服務(wù)器支持的一種技術(shù),大家可以把它看成是轉(zhuǎn)發(fā)的技術(shù)。這種技術(shù)和SSL組合到一起檢測(cè)的難度直接變高,惡意程序真正連接的C&C很難辨別。
惡意程序可以向一個(gè)高可信的域名發(fā)送請(qǐng)求,使用https協(xié)議向它發(fā)送請(qǐng)求,發(fā)送請(qǐng)求的時(shí)候把真正要訪(fǎng)問(wèn)的地址寫(xiě)到hosts里。
當(dāng)惡意程序把這個(gè)數(shù)據(jù)發(fā)到了支持前置域名轉(zhuǎn)發(fā)的域前置服務(wù)器上以后,這個(gè)服務(wù)器會(huì)根據(jù)hosts里填寫(xiě)的地址將請(qǐng)求進(jìn)行轉(zhuǎn)發(fā)。C&C的IP只有轉(zhuǎn)發(fā)它的服務(wù)器才知道,這種技術(shù)給我們帶來(lái)的最大困難就是沒(méi)有辦法檢測(cè)。
上圖程序向可信域名發(fā)起DNS請(qǐng)求
加密數(shù)據(jù)傳輸
樣本分析過(guò)程
想知道C&C是什么我們?cè)陉P(guān)鍵函數(shù)下一個(gè)斷點(diǎn),在堆棧里能看到它的hosts,紅框是它真正的主機(jī),這就是一個(gè)域前置。
要想發(fā)起一個(gè)網(wǎng)絡(luò)的數(shù)據(jù),可以不依賴(lài)任何的系統(tǒng)API(WindowsAPI實(shí)際上分兩部分,一是應(yīng)用層,二是內(nèi)核層) 。
應(yīng)用層API相當(dāng)于是內(nèi)核層這些函數(shù)的一個(gè)接口,它僅僅是一個(gè)接口做一些域處理,然后他通過(guò)sysenter中斷指令直接調(diào)用內(nèi)核函數(shù)。
通信實(shí)現(xiàn)方式總結(jié)
惡意程序使用這些流量層面的這些實(shí)踐方法,它也是隨著協(xié)議的發(fā)展而逐步演進(jìn)。
????
總結(jié)
- 上一篇: PAT甲级1033
- 下一篇: 东晋琴家、雕塑家、画家、哲学家戴逵