僵尸網(wǎng)絡(luò)是一種由攻擊者通過在大量互聯(lián)網(wǎng)主機上植入特定控制程序而秘密建立的,可遠程、間接控制的,用于發(fā)起網(wǎng)絡(luò)與信息安全攻擊的計算機群,除了竊取用戶信息外,它還可以被用來發(fā)送海量垃圾郵件,甚至發(fā)動大規(guī)模網(wǎng)絡(luò)攻擊(如DDOS攻擊等),是目前威脅主機安全的一個重要因素。僵尸網(wǎng)絡(luò)因為有遠程連接，建立通道，所以必然存在受控者與主控端的通訊行為，我們稱這種行為為CC通訊。對cc通訊的發(fā)現(xiàn)有幾種方法，分享下，歡迎交流。

1、流量監(jiān)測

流量監(jiān)測中使用最多的就是蜜罐系統(tǒng)和IDS系統(tǒng)。蜜罐系統(tǒng)可以對攻擊者訪問的日志信息進行網(wǎng)絡(luò)行為分析，從僵尸網(wǎng)絡(luò)的流量中找到某一家族的行為特征。（例如通過什么方式進入系統(tǒng)中，是郵件還是應(yīng)用層漏洞或者是協(xié)議漏洞，）對該家族的僵尸網(wǎng)絡(luò)進行攻擊手法剖析，并持續(xù)進行監(jiān)測分析，發(fā)現(xiàn)僵尸網(wǎng)絡(luò)通過更新后特征的變化，發(fā)現(xiàn)僵尸網(wǎng)絡(luò)家族的變化規(guī)律。當使用蜜罐發(fā)現(xiàn)僵尸網(wǎng)絡(luò)的變化規(guī)律后其實就可以進一步預測該僵尸網(wǎng)絡(luò)的行為特征的變化規(guī)律。把該僵尸網(wǎng)絡(luò)的攻擊手法、特征變化規(guī)律加入到現(xiàn)網(wǎng)的IDS中，在出口對整網(wǎng)絡(luò)的僵尸網(wǎng)絡(luò)進行監(jiān)測，發(fā)現(xiàn)該僵尸網(wǎng)絡(luò)在網(wǎng)絡(luò)中的規(guī)模，評估該僵尸網(wǎng)絡(luò)的影響和損失比。

2、逆向分析

在攻擊追蹤定位過程中，樣本的逆向分析是非常重要的一部分。通過網(wǎng)絡(luò)部署沙箱設(shè)備，對進出的文件進行還原，通過靜態(tài)啟發(fā)式檢測判斷樣本文件是黑白灰文件，黑、灰文件丟到虛擬機環(huán)境，把樣本放入模擬的主機進行行為分析，對樣本進行打分。并對可疑度非常高的樣本（打分高表示嚴重）進行人工逆向分析，確定木馬屬于哪個家族、連接的隱匿CC、惡意行為等。對樣本的逆向分析是非常準確的方法，可以評估僵尸網(wǎng)絡(luò)的目的和維護程度。

3、受害主機取證分析

?在發(fā)現(xiàn)僵尸網(wǎng)絡(luò)cc中，計算機主機取證，是監(jiān)測cc的重要方面。隨著信息安全技術(shù)的發(fā)展，通過網(wǎng)絡(luò)炫耀技術(shù)已經(jīng)不再是黑客制作木馬的目的，更多考慮的是如何讓自己的惡意軟件在受害主機中長期潛伏。以獲取更大的經(jīng)濟利益為目的。惡意軟件為了不被發(fā)現(xiàn)，利用各種方式隱藏自己，例如rookit操作系統(tǒng)內(nèi)核、Powershell無文件落地等。不管使用多磨牛逼的技術(shù)，僵尸網(wǎng)絡(luò)總會和主控端通訊，在主機層監(jiān)測主機通訊的網(wǎng)絡(luò)，再結(jié)合系統(tǒng)日志，進行上機取證。發(fā)現(xiàn)隱匿的cc鏈接。

4、機器學習

在發(fā)現(xiàn)僵尸網(wǎng)絡(luò)cc的網(wǎng)絡(luò)攻擊檢測中 , 機器學習可看作是為了通過監(jiān)督或者無監(jiān)督的學習，從樣本中提取輸入?yún)?shù)，使用大量樣本進行訓練，并反復調(diào)整參數(shù)和迭代。提高檢測僵尸網(wǎng)絡(luò)cc的能力 。把機器學習技術(shù)應(yīng)用于僵尸網(wǎng)絡(luò)的檢測中 , 對網(wǎng)絡(luò)中產(chǎn)生的大量數(shù)據(jù)流進行分析 , 并通過學習算法自動產(chǎn)生規(guī)則 , 把這些規(guī)則編譯進專家系統(tǒng) , 對僵尸網(wǎng)絡(luò)cc進行安全檢測 , 從而自動化的識別僵尸網(wǎng)絡(luò)攻擊能力。

微信公眾號：透霧

轉(zhuǎn)載于:https://www.cnblogs.com/bravexz/p/9664989.html

與50位技術(shù)專家面對面20年技術(shù)見證，附贈技術(shù)全景圖

總結(jié)

以上是生活随笔為你收集整理的apt的通讯信道是如何发现的？的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。