版權說明:本文檔由用戶提供并上傳,收益歸屬內容提供方,若內容存在侵權,請進行舉報或認領
文檔簡介
一概述在網絡攻擊中,木馬病毒通常會使用監(jiān)聽某個端口的方式,或者直接連接C2地址、域名的方式來建立通信,完成命令與控制。而APT攻擊中,攻擊者為了更高級的潛伏隱蔽需求,其部署的木馬或后門,會采用對網卡流量進行過濾的方式,獲得一定的通信信令才會觸發(fā)執(zhí)行實際的攻擊,這一部分的活動稱為流量激活。本文以一個正常的端口敲擊應用Knock和ATT&CK中“TrafficSignaling”章節(jié)提到的幾類家族來了解流量激活的幾種常見方式。二正常應用的激活流量Knock是一個用于端口激活的敲門工具。為了保護SSH端口不暴露在攻擊者面前,系統管理會使用Knock配合防火墻來執(zhí)行SSH服務的開放策略。Knock在平常的時候關閉ssh服務和端口,外部無法掃描到端口開放。在運維人員需要訪問SSH服務的時候,通過端口敲擊序列,Knock在特定時間內,連續(xù)收到設置的端口序列流量,則會觸發(fā)開啟SSH服務,從而使得外部可以訪問。如下方截圖例子中,對TCP和UDP分別發(fā)送目的端口7000、8000、9000的敲擊流量,目的IP接收到這三個端口序列則會開啟SSH服務。這部分的流量就是SSH服務的激活流量。圖1knock激活觸發(fā)
圖2TCP的端口激活流量圖3UDP的端口激活流量四APT中的流量激活ATT&CK中“TrafficSignaling”章節(jié)中提到了提到了8個家族的流量激活,分別是Chaos、Kobalos、Pandora、Penquin、Ryuk、SYNfulKnock、Umbreon、WinntiforLinux。chaos木馬
Chaos是一個linux后門木馬。木馬運行后,會創(chuàng)建一個TCP的Socket,讀取過濾網卡數據,校驗數據包內容是否與特定字符串一致。一旦傳入的數據存在特定字符串,則會向對方的8338端口發(fā)起通信請求,進行下一步的密鑰協商和執(zhí)行后續(xù)動作。本次樣例中的特定字符串值為“j0DtFt1LTvbIU”??梢钥吹紺haos木馬是通過檢查TCP的傳入數據,是否包含特定字符串完成的流量激活。
圖4Chaos木馬的激活圖5TCP激活Kobalos木馬
Kobalos是一個SSH后門。該后門在運行后,開啟流量監(jiān)聽,等待來自源端口55201的流量,只有符合源端口為55201的SSH連接才會觸發(fā)下一階段建立與C2通信的TCP通道。
圖6監(jiān)聽源端口55201圖7來自55201端口的激活Panora木馬
根據TrendMicro的分析報告,Panora的每個樣本都有Token值,并存放到注冊表中,樣本執(zhí)行流量捕獲,只有當接收到HTTP協議格式的數據,且數據與注冊表中Token值一致的時候才會執(zhí)行命令。該木馬在樣本中解析HTTP格式使用了開源的HTTP解析組件。
圖8Trendmicro報告提供的Token值圖9HTTP激活模擬Penquin木馬
Penquin,屬于Tular組織的木馬。在木馬啟動運行后,開啟網卡監(jiān)聽,檢查網卡接收到的數據包TCP包頭中的ACK編號,或者UDP協議數據包載荷中的第二個字節(jié)。如果收到這樣的數據包并且匹配成功,則視為成功激活,執(zhí)行流程將跳轉到數據包有效負載內容,執(zhí)行后續(xù)操作。示例如下:Filter=(tcp[8:4]&0xe007ffff=0xe003bebe)or(udp[12:4]&0xe007ffff=0xe003bebe)
圖10對TCP協議ACK值的檢查圖11對UDP協議載荷部分的檢查
Ryuk木馬
Ryuk,勒索軟件家族。該樣本具備正規(guī)的數字簽名,樣本運行后為了擴大勒索訪問,會訪問系統的ARP表。如果ARP表中存在局域網段列表,則Ryuk將向ARP列表中設備的MAC地址發(fā)送一個網絡喚醒(WoL)數據包以啟動設備。此WoL請求以包含“FFFFFFFFFFFFFFFFFF”的特定數據的形式出現。網絡喚醒(Wol)是一種系統支持的喚醒功能,屬于正常的應用,在此處勒索軟件使用了這種喚醒來獲得更多的失陷主機,擴大勒索范圍。
圖12網卡支持喚醒功能圖13Wol數據包SYNfulKnock木馬
SYNfulKnock是路由器固件木馬,木馬運行后接收特定的數據完成激活。該數據包為TCPSYN握手包。數據包發(fā)送到感染的路由器的端口80上。SYN包需要滿足幾個條件:序列號和ACK之間的差值必須設置為0xC123D。ACK號不為0。TCP選項:“020405b40101040201030305”緊急指針設置為0x0001。
圖14SYN校驗Umbreon木馬
反向shell連接木馬,該木馬存在一個同名的開源項目,以該開源項目為例子進行說明。木馬接收TCP協議流量,檢查流量中的ACK和序列號,是否符合程序中硬編碼的值,下圖示例代碼SEQ=0x00C4、ACK=0xC500。只有滿足的情況下,才會開啟反向shell連接。這種驗證激活與上述提到的SYNfulKnock有點類似,不過顯然SYNfulKnock的條件更苛刻,需要進行運算,且有一定變化。圖15項目中的MAGIC定義
圖16TCP檢查WinntiforLinux木馬
Winnti木馬的激活,國外安全研究員Thyssenkrupp提供了探測腳本,對其進行分析可以看到,初始的請求TCP協議載荷由四個DWORD組成,前三個由Rand()函數生成,第四個是根據第一個和第三個計算的。當受Winnti感染的主機收到時,它將驗證接收到的數據包并偵聽包含任務的第二個入站請求。第二個請求(獲取系統信息請求),該協議使用四字節(jié)XOR編碼。Winnti將在執(zhí)行任務之前驗證第三個DWORD是否包含特征字0xABC18CBA。
圖17國外安全研究員Thyssenkrupp提供的探測包示例四總結從以上幾個示例可以看到木馬病毒的激活具有多種方式。總結各類激活方式的特點如下:影響多個平臺:包含windows、linux及各類路由器操作系統等。激活協議多樣:包含TCP、UDP、HTTP等,除了以上舉例,在實際的分析中,也有ICMP、偽造TLS協議等。激活位置多變:如協議格式、協議頭部、端口、載荷
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯系上傳者。文件的所有權益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網頁內容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
- 4. 未經權益所有人同意不得將文件中的內容挪作商業(yè)或盈利用途。
- 5. 人人文庫網僅提供信息存儲空間,僅對用戶上傳內容的表現方式做保護處理,對用戶上傳分享的文檔內容本身不做任何修改或編輯,并不能對任何下載內容負責。
- 6. 下載文件中如有侵權或不適當內容,請與我們聯系,我們立即糾正。
- 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 融資租賃抵押合同范例
- 東海工地合同范例
- 2024至2030年室內帶燈感應器項目投資價值分析報告
- 2024至2030年定影刮板項目投資價值分析報告
- 陜西藝術職業(yè)學院《機器人工程專業(yè)英語》2023-2024學年第一學期期末試卷
- 2024至2030年3、4-二氯硝基苯項目投資價值分析報告
- 陜西師范大學《機械控制工程基礎單材料力學雙》2023-2024學年第一學期期末試卷
- 貨到付款合同范例英文
- 更換電線合同范例
- 2024年電熱器零件項目可行性研究報告
- 2024-2025學年高二上學期期末數學試卷(基礎篇)(含答案)
- 2023-2024學年廣東省廣州市白云區(qū)九年級(上)期末語文試卷
- 2024年典型事故案例警示教育手冊15例
- 110kV變電站及110kV輸電線路運維投標技術方案(第二部分)
- DB37T 5127-2018 裝配式建筑評價標準
- 帶教老師評價模板
- 大數據與政務信息共享應用(PPT-58頁)課件
- GB∕T 2099.1-2021 家用和類似用途插頭插座 第1部分:通用要求
- 名中醫(yī)工作室跟師醫(yī)案記錄 (27)
- 中國古代文學史_袁行霈_隋唐五代文學
- 日標法蘭尺寸表
評論
0/150
提交評論