IT学习网 - 爱学习 - 最具影响力综合资讯网站 -- 中国IT界的领航者!
热门关键字:      88888  as  xxx
站外
广告
站外
广告

逆天而行:我们如何在云中发掘僵尸网络

发布时间:2017-10-10 17:27文章来源:互联网文章作者: 互联网点击次数:
1 前言 远控(RAT)的历史源远流长,文能提笔安天下,武能马上定乾坤。远控既能用于正规用途比如远程协作软件 teamviewer 等,亦能用于非法活动比如 CC 攻击。今天我们要谈的就是用于非(黑)法(产)活动的远控。 国内远控命名五花八门,既有养鸡场、大灰狼等接地气

1 前言

远控(RAT)的历史源远流长,”文能提笔安天下,武能马上定乾坤”。远控既能用于正规用途比如远程协作软件 teamviewer 等,亦能用于非法活动比如 C&C 攻击。今天我们要谈的就是用于非(黑)法(产)活动的远控。 国内远控命名五花八门,既有”养鸡场”、”大灰狼”等接地气的名字,也有”假面骑士”、”金戈铁马”等颇具武侠风的名字。在我们的样本库中,”刑天”、”天羽”、”天罚”、”天劫”等几款远控用名独树一帜,因为包含了中国传统文化推崇的”天”字,故统一命名为”天字号”。

2 远控介绍

科普,犹如剥洋葱般需要由浅入深由易到难,我们在这一节对远控进行表层的介绍。

2.1 远控家族

“野火烧不尽,春风吹又生”,这句诗形容远控家族正合适。安全的博弈与对抗经久不息,远控在各种杀软厂商的合力围剿下仍然能够存活甚至繁衍生息,说明黑色产业链对黑产从业者诱惑之大。为了躲避围剿,远控程序也一直在升级换代,并逐步扩大战场。肉鸡程序利用白利用躲避杀软主动防御查杀, 远控由PC发展到安卓平台,都是远控在逐步发展的印证。 出于不同的原因,不同的主控可能在通信协议、Server端运行机制等方面极其相似,我们将这些相似的主控划作一个家族,方便分析和统计。同家族的主控大多是其中一个主控程序的变种,为了躲避检测会采取修改指令结构、变化指令ID、更换加密方法等手段。由于远控作者的编码水平参差不齐,有的新手会简单修改他人写好的远控代码,这样也会造成不同远控隶属同一家族的情况。

2.2 横向对比

我们对每个天字号远控均做了分析,从通信加密、是否包含系统监控模块、是否包含DDos攻击模块、DDos攻击类型的多样性等四个纬度进行横向对比,详情如下表所示: 我们如何在云中发掘僵尸网络 分析时我们发现一件有意思的事情,”天劫”的通信协议与”刑天”完全相同隶属于同一家族并且操作界面高度相似,这着实令人尴尬。”天劫”增加了注册登录充值等模块用于售卖, 在山寨的道路上越走越远,无法想象”刑天”的开发者会是怎样的心情。 由于”刑天”的通信协议没有加密便于抓包分析并且攻击类型比较丰富,比较适合进行常规的科普,所以本文选择”刑天”作为天字号的典型拿出来分析。

2.3 测试环境部署

分析”刑天”的通信协议方法比较简单,我们使用虚拟机搭建测试环境进行抓包分析,这种未加密通信协议的情况对于对不擅长逆向的同学来说是种福音。 我们在内网中使用2台windows 7 、1台Centos虚拟机为基础部署了简单的测试环境。一台Windows 7虚拟机A用作主控端, 一台Windows 7虚拟机B用作肉鸡,而Centos虚拟机C架设TCP、UDP服务用作测试靶机。部署结构如下图所示: 我们如何在云中发掘僵尸网络 我们以”刑天”为例给出部署过程。首先在A中使用刑天生成肉鸡程序: 我们如何在云中发掘僵尸网络 然后在B中运行肉鸡程序,并开启wireshark抓取数据包。之后我们在A中会看到B上线: 我们如何在云中发掘僵尸网络 通过主控界面下方的功能区设定攻击信息: 我们如何在云中发掘僵尸网络 在C中我们可以简单的使用Python的SimpleHTTPServer启动一个Web服务作为TCP攻击的目标,这样做的好处是可以在bash shell中看到TCP攻击的攻击载荷并使用>&等重定向攻击载荷。当然我们完全可以写一个UDP服务来捕获攻击数据。
逆天而行:我们如何在云中发掘僵尸网络
本文由 IT学习网 整理,转载请注明“转自IT学习网”,并附上链接。
原文链接:http://www.ourlove520.com/Article/netsafe/Website/1074309.html

标签分类:

上一篇:上一篇:Discuz!X 前台任意文件删除漏洞的复现实验
下一篇: 下一篇:没有了
无觅关联推荐,快速提升流量