主动激活木马加密流量分析

这篇具有很好参考价值的文章主要介绍了主动激活木马加密流量分析。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

概述

    在网络攻击中,木马病毒通常会使用监听某个端口的方式,或者直接连接C2地址、域名的方式来建立通信,完成命令与控制。而APT攻击中,攻击者为了更高级的潜伏隐蔽需求,其部署的木马或后门,会采用对网卡流量进行过滤的方式,获得一定的通信信令才会触发执行实际的攻击,这一部分的活动称为流量激活。本文以一个正常的端口敲击应用Knock和ATT&CK中“Traffic Signaling”章节提到的几类家族来了解流量激活的几种常见方式。

正常应用的激活流量

    Knock是一个用于端口激活的敲门工具。为了保护SSH端口不暴露在攻击者面前,系统管理会使用Knock配合防火墙来执行SSH服务的开放策略。Knock在平常的时候关闭ssh服务和端口,外部无法扫描到端口开放。在运维人员需要访问SSH服务的时候,通过端口敲击序列,Knock在特定时间内,连续收到设置的端口序列流量,则会触发开启SSH服务,从而使得外部可以访问。如下方截图例子中,对TCP和UDP分别发送目的端口7000、8000、9000的敲击流量,目的IP接收到这三个端口序列则会开启SSH服务。这部分的流量就是SSH服务的激活流量。

主动激活木马加密流量分析,网络,威胁分析,安全威胁分析

图 1 knock激活触发

主动激活木马加密流量分析,网络,威胁分析,安全威胁分析

图 2 TCP的端口激活流量


主动激活木马加密流量分析,网络,威胁分析,安全威胁分析

图 3 UDP的端口激活流量

APT中的流量激活

    ATT&CK中“Traffic Signaling”章节中提到了提到了8个家族的流量激活,分别是Chaos、Kobalos、Pandora、Penquin、Ryuk、SYNful Knock、Umbreon、Winnti for Linux。

chaos木马

Chaos是一个linux后门木马。木马运行后,会创建一个TCP的Socket,读取过滤网卡数据,校验数据包内容是否与特定字符串一致。一旦传入的数据存在特定字符串,则会向对方的8338端口发起通信请求,进行下一步的密钥协商和执行后续动作。本次样例中的特定字符串值为“j0DtFt1LTvbIU”。可以看到Chaos木马是通过检查TCP的传入数据,是否包含特定字符串完成的流量激活。

主动激活木马加密流量分析,网络,威胁分析,安全威胁分析

图 4 Chaos木马的激活

主动激活木马加密流量分析,网络,威胁分析,安全威胁分析

图 5 TCP激活

Kobalos木马

Kobalos是一个SSH后门。该后门在运行后,开启流量监听,等待来自源端口55201的流量,只有符合源端口为55201的SSH连接才会触发下一阶段建立与C2通信的TCP通道。

主动激活木马加密流量分析,网络,威胁分析,安全威胁分析

图 6 监听源端口55201

主动激活木马加密流量分析,网络,威胁分析,安全威胁分析

图 7 来自55201端口的激活

Panora木马

根据TrendMicro的分析报告,Panora的每个样本都有Token值,并存放到注册表中,样本执行流量捕获,只有当接收到HTTP 协议格式的数据,且数据与注册表中Token值一致的时候才会执行命令。该木马在样本中解析HTTP格式使用了开源的HTTP解析组件(hxxps://github.com/nodejs/http-parser)。

主动激活木马加密流量分析,网络,威胁分析,安全威胁分析

图 8 Trendmicro报告提供的Token值

主动激活木马加密流量分析,网络,威胁分析,安全威胁分析

图 9 HTTP激活模拟

Penquin木马

Penquin,属于Tular组织的木马。在木马启动运行后,开启网卡监听,检查网卡接收到的数据包TCP 包头中的 ACK 编号,或者 UDP 协议数据包载荷中的第二个字节。

如果收到这样的数据包并且匹配成功,则视为成功激活,执行流程将跳转到数据包有效负载内容,执行后续操作。示例如下:

Filter = (tcp[8:4] & 0xe007ffff = 0xe003bebe) or (udp[12:4] & 0xe007ffff = 0xe003bebe)

主动激活木马加密流量分析,网络,威胁分析,安全威胁分析

图 10 对TCP协议ACK值的检查

主动激活木马加密流量分析,网络,威胁分析,安全威胁分析

图 11 对UDP协议载荷部分的检查

 Ryuk木马

Ryuk,勒索软件家族。该样本具备正规的数字签名,样本运行后为了扩大勒索访问,会访问系统的ARP表。如果ARP表中存在局域网段列表,则Ryuk 将向ARP列表中设备的 MAC 地址发送一个网络唤醒 (WoL) 数据包以启动设备。此 WoL 请求以包含“FF FF FF FF FF FF FF FF FF”的特定数据的形式出现。

    网络唤醒(Wol)是一种系统支持的唤醒功能,属于正常的应用,在此处勒索软件使用了这种唤醒来获得更多的失陷主机,扩大勒索范围。

主动激活木马加密流量分析,网络,威胁分析,安全威胁分析

图 12 网卡支持唤醒功能

主动激活木马加密流量分析,网络,威胁分析,安全威胁分析

图 13 Wol数据包

SYNful Knock木马

SYNful Knock 是路由器固件木马,木马运行后接收特定的数据完成激活。该数据包为TCP SYN握手包。数据包发送到感染的路由器的端口 80上。SYN包需要满足几个条件:

  1. 序列号和ACK之间的差值必须设置为0xC123D。
  2. ACK 号不为0。
  3. TCP 选项:“02 04 05 b4 01 01 04 02 01 03 03 05”
  4. 紧急指针设置为0x0001。

主动激活木马加密流量分析,网络,威胁分析,安全威胁分析

图 14 SYN校验

Umbreon木马

    反向shell连接木马,该木马存在一个同名的开源项目,以该开源项目为例子进行说明。木马接收TCP协议流量,检查流量中的ACK和序列号,是否符合程序中硬编码的值,下图示例代码SEQ=0x00C4、ACK=0xC500。只有满足的情况下,才会开启反向shell连接。这种验证激活与上述提到的SYNful Knock有点类似,不过显然SYNful Knock的条件更苛刻,需要进行运算,且有一定变化。


主动激活木马加密流量分析,网络,威胁分析,安全威胁分析

图 15 项目中的MAGIC定义

主动激活木马加密流量分析,网络,威胁分析,安全威胁分析

图 16 TCP检查

Winnti for Linux木马

Winnti木马的激活,国外安全研究员Thyssenkrupp提供了探测脚本,对其进行分析可以看到,初始的请求TCP协议载荷由四个 DWORD 组成,前三个由 Rand() 函数生成,第四个是根据第一个和第三个计算的。当受 Winnti 感染的主机收到时,它将验证接收到的数据包并侦听包含任务的第二个入站请求。

第二个请求(获取系统信息请求),该协议使用四字节 XOR 编码。Winnti 将在执行任务之前验证第三个 DWORD 是否包含特征字 0xABC18CBA。

主动激活木马加密流量分析,网络,威胁分析,安全威胁分析

图 17 国外安全研究员Thyssenkrupp提供的探测包示例

总结

从以上几个示例可以看到木马病毒的激活具有多种方式。总结各类激活方式的特点如下:

  1. 影响多个平台:包含windows、linux及各类路由器操作系统等。
  2. 激活协议多样:包含TCP、UDP、HTTP等,除了以上举例,在实际的分析中,也有ICMP、伪造TLS协议等。
  3. 激活位置多变:如协议格式、协议头部、端口、载荷都可以是激活流量。
  4. 激活方法复杂:校验方法逐渐从简单字段匹配发展到标志位运算匹配,且激活流量可以使用各类加密算法加密,使基于特征串匹配的检测方法逐渐失效。

    观成科技通过异常加密流量检测引擎,在协议格式异常,通信端口、通信行为等方面检测,可以有效的发现此类用于激活的异常流量。文章来源地址https://www.toymoban.com/news/detail-738281.html

到了这里,关于主动激活木马加密流量分析的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 网络流量安全分析-工作组异常

    在网络中,工作组异常分析具有重要意义。以下是网络中工作组异常分析的几个关键点: Ø 检测网络攻击:网络中的工作组异常可能是由恶意活动引起的,如网络攻击、病毒感染、黑客入侵等。通过对工作组异常的监控和分析,可以快速检测到这些网络攻击,并采取相应的防

    2024年02月03日
    浏览(46)
  • wireshark网络安全流量分析基础

    网络安全流量分析领域中,wireshark和csnas是取证、安全分析的好工具,包括很多研究安全规则、APT及木马流量特征的小伙伴,也会常用到两个工具。这两款流量嗅探、分析软件,今天先介绍wireshark作为安全分析工具的基本使用。  Wireshark对pcap包分析过程中常用的功能基本上包

    2024年02月12日
    浏览(43)
  • 国科大网络协议安全大作业——分析流量并使用Snort规则进行检测

    SHA256(Secure Hash Algorithm 256-bit)是一种密码学哈希函数,用于计算数据的哈希值。每个文件使用一个哈希算法只会有一个确定的哈希值。 被感染主机设置为ubuntu22.04,虚拟机IP地址为192.168.88.142 原因:避免wireshark奇怪报错  2.2.1在终端执行 file命令查看文件类型 2.2.2计算该文件

    2024年02月04日
    浏览(53)
  • 高项(3)信息化和信息系统基础知识2-移动互联网-安全属性-安全层次-安全保护等级-加密技术-防火墙-入侵检测-DDN-蜜罐技术-无线网络安全-Web威胁防护技术-运行维护信息系统生命周期-软件测试V

    27.在大数据研究中,数据之间的关联关系比因果关系更重要 28.移动互联网的核心是互联网,移动互联网是桌面互联网的补充和延伸,应用和内容仍是移动互联网的根本。 29.安全属性 秘密性:信息不被未授权者知晓的属性; 完整性:信息是正确的、真实的、未被篡改的、完整

    2024年04月14日
    浏览(61)
  • [JAVA安全webshell]冰蝎jsp木马分析

    只是分享一下对冰蝎webshell分析的一个学习过程,冰蝎webshell使用了加载字节码的方式执行恶意代码。 首先打开webshell 这么一行实在不好看,先把他分行吧。 分完行之后,就很清晰明了了。 导入了三个依赖,一个是标准库,两个估计用于加密。 然后定义了一个类U,继承自

    2024年02月09日
    浏览(43)
  • 网络安全-一句话木马

    遵纪守法 请严格遵守网络安全法相关条例! 此分享主要用于交流学习,请勿用于非法用途,一切后果自付。 一切未经授权的网络攻击均为违法行为,互联网非法外之地。 大家在知道了常规一句话的木马之后,就可以通过或者更高级的方式来查看服务器是否存在木马。

    2024年02月20日
    浏览(48)
  • 网络安全之认识挖矿木马

    比特币是以区块链技术为基础的虚拟加密货币,比特币具有匿名性和难以追踪的特点,经过十余年的发展,已成为网络黑产最爱使用的交易媒介。大多数勒索病毒在加密受害者数据后,会勒索代价高昂的比特币。比特币在2021年曾达到1枚6.4万美元的天价,比特币的获得需要高

    2024年01月24日
    浏览(52)
  • 【网络安全】渗透测试之木马免杀

    博主昵称:跳楼梯企鹅 博主主页面链接: 博主主页传送门 博主专栏页面连接:

    2024年02月02日
    浏览(50)
  • 哥斯拉Godzilla使用中基于PHP的加密流量分析

    哥斯拉Godzilla简介 据说是护网期间,各大厂商的waf不断在静态查杀、流量通信等方面对webshell进行拦截,众红队急需一款优秀的权限管理工具 , 虽说冰蝎3.0也不错 , 但是还是多多少少有一点bug的。于是@BeichenDream决定公开他所开发的一款shell权限管理工具,名为“哥斯拉”Godz

    2024年02月10日
    浏览(41)
  • 网络安全:通过445端口暴力破解植入木马。

    网络安全:通过445端口暴力破解植入木马。 木马制作工具,如:灰鸽子等等 445端口是文件共享端口。可以进入对方文件硬盘进行植入木马: 使用文件共享进入对方磁盘: 在cmd输入net use \\\\x.x.x.xipc$ 之后会让你输入账号和密码: ipc$中$代表共享 $之前代表的是共享什么文件夹

    2024年02月02日
    浏览(73)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包