IT学习网 - 爱学习 - 最具影响力综合资讯网站 -- 中国IT界的领航者!
热门关键字:      88888  as  xxx
站外
广告
站外
广告

【木马分析】XShell后门DNS Tunnel编码分析

发布时间:2017-08-16 00:08文章来源:安全客文章作者: 360天眼实验室点击次数:
XShellGhost通过DNS Tunnel把打点的数据传上去,分析了下编码算法,对数据进行了解密。 编码分析 DNS Tunnel的编码算法是先经过下图的算法1编码;如图: 待编码的数据单字节和一个每4次运算一次的DWORD常量的1,2,3,4字节进行单字节运算来编码,如下: 算法1编

http://p9.qhimg.com/t01c58ba5a203f438e4.png

XShellGhost通过DNS Tunnel把打点的数据传上去,分析了下编码算法,对数据进行了解密。


编码分析


DNS Tunnel的编码算法是先经过下图的算法1编码;如图:

http://p1.qhimg.com/t01ee236c856c9aa571.png

待编码的数据单字节和一个每4次运算一次的DWORD常量的1,2,3,4字节进行单字节运算来编码,如下:

http://p8.qhimg.com/t0127fdb7d8eb5fb2c5.png

算法1编码后的数据如下:

http://p2.qhimg.com/t01bbf6de6ea0ce8eb7.png

然后把结果转换成可见的字符转换方法是通过每个字节的高位加‘j’低位加‘a’,把1个字节拆分成2个字节的可见字符,这样就浪费了一个字节:

http://p4.qhimg.com/t012609c21ce00b6125.png

解密算法是加密算法的逆运算,解密算法流程如下图:

http://p6.qhimg.com/t01427907723d16f21e.png
【木马分析】XShell后门DNS Tunnel编码分析
本文由 IT学习网 整理,转载请注明“转自IT学习网”,并附上链接。
原文链接:http://www.ourlove520.com/Article/netsafe/xitong/1045414.html

标签分类:

上一篇:上一篇:【技术分享】如何利用HTA文件在IE/Edge浏览器中执行恶意代码
下一篇: 下一篇:没有了
无觅关联推荐,快速提升流量