一次溯源之旅:从异常心跳到黑客主机
作者:星期三, 五月 11, 20160

0x00 前言

常见的流量分析方法是针对IP、DNS、URL、payload等内容信息,通过黑名单或者snort的规则进行检测,或者针对还原后的文件进行逆向分析,其中可以利用的资源有VirusTotal,杀毒软件,虚拟执行等,这些传统的检测方式有它的不可替代性,但换汤不换药终将导致重复性的生产劳动,甚至徒劳。设想如果流量中的源和目的在VirusTotal或其他IOC中没有可参考的记录,payload加密或者完全没有payload,那么如何诊断流量中是否存在异常连接?我们将一些可用来检测流量异常的切入点称作“线索”。这里我们分享一个由一个线索引发的真实案例,由异常心跳开始的一次反查。

0x01 异常心跳

我们将内网主机规律的向外网主机进行请求的网络行为称为心跳,例如腾讯管家、百度云盘等等,如果安装了这些软件,它们会规律的向远程服务器作一些请求的动作。熟悉后门的同学应该知道,绝大多数后门也有类似的动作,下图是DarkComet的配置项,可以配置间隔时间。我们将非常用软件发起的规律性网络行为动作定义为异常心跳,将它作为流量分析的一个线索,也是切入点。(这里不讨论实现方式和线索事件的数量级)

640.webp

0x02 真实案例

在某信息中心实际现网检测中,东巽科技发现有两个内网IP连续24小时都在规律请求一个位于香港的服务器IP,由此开始一次反查。

640.webp (5)

两个内网IP的心跳事件,除了请求的外网端口不一致外(9088,9091),其他均一样,请求间隔为一分钟,而且从设备部署开始就已经采集到。

640.webp (6)
接下来通过被动DNS查看下118.193.215.39这个IP的信息,

640.webp (7)

IP上有两个域名可以作为接下来反查的入口。

bestexam.net是一个证券后续培训网,但目前解析到的已经不是要查的那个IP地址。

640.webp (8)

继续看dazongclub.com,

640.webp (9)

确认绑定了这个域名。

域名注册信息查询

640.webp (10)扫描该站目的端口发现http服务

640.webp (11)

发现tools目录

640.webp (12)

工具目录中的backdoor(后门)、exploit(漏洞利用)、pentest(渗透)三个比较醒目的文件夹证实了这台服务器的主人是个“黑客技术爱好者”。

对目录中的部分文件做一些分析:

1) 文件backdoor/12309.php,code.php,是PHP后门。主要功能包括文件的管理、系统命令的执行、端口转发、数据库连接等模块;

2) AFKit,Rootkit后门。

640.webp (13)

“黑客技术爱好者”信息

640.webp (14)

0x03 结束语

这里我们通过异常心跳作为流量分析的切入点,结合渗透的方法对黑客主机进行了一次反查,在只有流量的情况下,也基本可以确认内网的三台主机被某“黑客技术爱好者”植入了后门。

流量分析的切入点,即线索,还有很多,在没有黑名单信息,没有样本信息可利用的情况下,我们将这些线索称之为无特征网络行为检测

作者:东巽科技 吴建兵

 

关键词:

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章

没有相关文章!