網(wǎng)上有很多關(guān)于有關(guān)pos機(jī)通信連接,使用DNS隧道進(jìn)行C&C通信的知識,也有很多人為大家解答關(guān)于有關(guān)pos機(jī)通信連接的問題,今天pos機(jī)之家(www.rcqwhg.com)為大家整理了關(guān)于這方面的知識,讓我們一起來看下吧!
本文目錄一覽:
有關(guān)pos機(jī)通信連接
原文:https://securelist.com/blog/research/78203/use-of-dns-tunneling-for-cc-communications/
Yunakovsky
– Say my name.
– 127.0.0.1!
– You are goddamn right.
網(wǎng)絡(luò)通信是任何惡意程序的關(guān)鍵功能。是的,有例外,如cryptors和ransomware木馬,可以做他們的工作,沒有使用互聯(lián)網(wǎng)。然而,他們也要求他們的受害者與威脅演員建立聯(lián)系,以便他們可以發(fā)送贖金并恢復(fù)他們的加密數(shù)據(jù)。如果我們省略這兩個,并且看看與C&C和/或威脅演員沒有任何溝通的惡意軟件的類型,所有這些都是一些過時的或滅絕的惡意軟件家族(如Trojan-ArcBomb)或不相關(guān)的,粗暴制作的惡作劇通常只是用尖叫或切換鼠標(biāo)按鈕嚇倒用戶。
惡意軟件自Morris蠕蟲以來已經(jīng)走了很長的路,作者從不停止尋找新的方式來保持與他們的創(chuàng)作交流。一些創(chuàng)建復(fù)雜的多層認(rèn)證和管理協(xié)議,可能需要數(shù)周甚至數(shù)月的時間才能使分析人員進(jìn)行破譯。其他人回到基礎(chǔ),并使用IRC服務(wù)器作為管理主機(jī) - 正如我們在最近的未來的例子中看到的,它的眾多克隆。
通常,病毒編寫者甚至不打擾運行加密或掩蓋他們的通信:指令和相關(guān)信息以純文本發(fā)送,這對于分析機(jī)器人的研究人員來說非常方便。這種方法是無能的網(wǎng)絡(luò)犯罪分子的典型代表,甚至是經(jīng)驗豐富的程序員,他們沒有太多開發(fā)惡意軟件的經(jīng)驗。
但是,您會得到不屬于上述類別的偶爾的墻外方法。例如,卡巴斯基實驗室研究人員在3月中旬發(fā)現(xiàn)了一個特洛伊木馬案例,并建立了與C&C服務(wù)器進(jìn)行通信的DNS隧道。
卡巴斯基實驗室產(chǎn)品被惡意程序檢測為Backdoor.Win32.Denis。該木馬允許入侵者操縱文件系統(tǒng),運行任意命令并運行可加載的模塊。
加密就像許多其他木馬一樣,Backdoor.Win32.Denis從加載的DLL中提取需要操作的功能的地址。但是,該木馬程序不是計算導(dǎo)出表中的名稱的校驗和(通常發(fā)生的情況),而是簡單地將API調(diào)用的名稱與列表進(jìn)行比較。通過從功能名稱的每個符號中減去128來加密API名稱列表。
應(yīng)該注意的是,機(jī)器人使用兩個版本的加密:對于API調(diào)用名稱及其操作所需的字符串,它從每個字節(jié)減法;對于DLL,它從每隔一個字節(jié)減去。要使用其名稱加載DLL,使用LoadLibraryW,意味著需要寬字符串。
使用DNS隧道進(jìn)行C&C通信
“解密”木馬中的字符串
使用DNS隧道進(jìn)行C&C通信
加密格式的API函數(shù)和庫的名稱
還應(yīng)該注意的是,只有一些功能被這樣解密。在木馬身體中,對提取的功能的引用與對從加載程序接收到的功能的引用交替。
C&C CommunicationDNS隧道運營的原理可以歸結(jié)為:“如果你不知道,請問別人”。當(dāng)DNS服務(wù)器收到要解析的地址的DNS請求時,服務(wù)器開始在其數(shù)據(jù)庫中查找。如果沒有找到記錄,則服務(wù)器向數(shù)據(jù)庫中指定的域發(fā)送請求。
當(dāng)請求到達(dá)時,讓我們看看如何工作,并將URL解析為Y3VyaW9zaXR5.example.com。 DNS服務(wù)器收到此請求,首先嘗試找到域擴(kuò)展名“.com”,然后找到“example.com”,但是在其數(shù)據(jù)庫中找不到“Y3VyaW9zaXR5.example.com”。然后它將請求轉(zhuǎn)發(fā)到example.com,并詢問它是否知道這樣的名稱。作為回應(yīng),example.com預(yù)計將返回相應(yīng)的IP;然而,它可以返回任意字符串,包括C&C指令。
使用DNS隧道進(jìn)行C&C通信
后門的轉(zhuǎn)儲.Win32.Denis交通
這就是Backdoor.Win32.Denis所做的。 DNS請求首先發(fā)送到8.8.8.8,然后轉(zhuǎn)發(fā)到z.teriava [。] com。在此地址之前的所有內(nèi)容都是發(fā)送到C&C的請求的文本。
這是響應(yīng):
使用DNS隧道進(jìn)行C&C通信
響應(yīng)第一個請求收到的DNS數(shù)據(jù)包
顯然,發(fā)送給C&C的請求使用Base64加密。原始請求是一個零序列,最后是GetTickCount的結(jié)果。機(jī)器人隨后收到其唯一的ID,并在數(shù)據(jù)包的開頭使用它進(jìn)行識別。
在第五個DWORD中發(fā)送指令編號,如果從上圖中突出顯示為綠色的部分開始計數(shù)。接下來是從C&C收到的數(shù)據(jù)的大小。使用zlib打包的數(shù)據(jù)在此之后立即開始。
使用DNS隧道進(jìn)行C&C通信
解壓縮的C&C響應(yīng)
前四個字節(jié)是數(shù)據(jù)大小。接下來的所有內(nèi)容都是數(shù)據(jù),這可能會根據(jù)指令的類型而有所不同。在這種情況下,它是機(jī)器人的唯一ID,如前所述。我們應(yīng)該指出,數(shù)據(jù)包中的數(shù)據(jù)是大端格式的。
使用DNS隧道進(jìn)行C&C通信
在發(fā)送到C&C的每個請求的開始,說明了bot ID(突出顯示)
C&C說明總共有16條指令,特洛伊木馬可以處理,盡管最后一條指令的編號是20.大多數(shù)指令涉及與被攻擊的計算機(jī)的文件系統(tǒng)的交互。此外,還有能力獲取有關(guān)打開窗口的信息,調(diào)用任意API或獲取有關(guān)系統(tǒng)的簡要信息。讓我們更詳細(xì)地研究一下這些,因為這個指令是先執(zhí)行的。
使用DNS隧道進(jìn)行C&C通信
完整的C&C指示清單
使用DNS隧道進(jìn)行C&C通信
有關(guān)受感染計算機(jī)的信息,發(fā)送到C&C
從上面的截圖可以看出,漫游器將計算機(jī)名稱和用戶名發(fā)送到C&C,以及存儲在注冊表分支中的信息Software \\ INSUFFICIENT \\ INSUFFICIENT.INI:
最后一次執(zhí)行該指令的時間。 (如果第一次執(zhí)行,返回“GetSystemTimeAsFileTime”,并且設(shè)置變量BounceTime,其中寫入結(jié)果);
UsageCount來自同一個注冊表分支。
還會發(fā)送有關(guān)操作系統(tǒng)和環(huán)境的信息。該信息是在NetWkstaGetInfo的幫助下獲得的。
數(shù)據(jù)使用zlib打包。
使用DNS隧道進(jìn)行C&C通信
Base64加密之前的DNS響應(yīng)
響應(yīng)中的字段如下(只有紅色突出顯示的部分,數(shù)據(jù)和大小根據(jù)指令而有所不同):
Bot ID;
以前的C&C響應(yīng)的大小;
C&C回應(yīng)中的第三個DWORD;
總是等于1作為回應(yīng);
GetTickCount();
指定字段后的數(shù)據(jù)大小;
響應(yīng)大小;
實際回應(yīng)
注冊階段完成后,木馬開始以無限循環(huán)查詢C&C。當(dāng)沒有發(fā)送指令時,通信看起來像一系列空的查詢和響應(yīng)。
使用DNS隧道進(jìn)行C&C通信
發(fā)送到C&C的空查詢的順序
結(jié)論由Backdoor.Win32.Denis使用的DNS隧道用于通信是非常罕見的,盡管不是唯一的。以前在某些POS木馬程序和某些APT中使用了類似的技術(shù)(例如PlugX系列中的Backdoor.Win32.Gulpix)。然而,這種DNS協(xié)議的使用在PC上是新的。我們假設(shè)這種方法可能會變得越來越受惡意軟件作者的歡迎。我們將密切關(guān)注今后如何在惡意程序中實施該方法。
以上就是關(guān)于有關(guān)pos機(jī)通信連接,使用DNS隧道進(jìn)行C&C通信的知識,后面我們會繼續(xù)為大家整理關(guān)于有關(guān)pos機(jī)通信連接的知識,希望能夠幫助到大家!