远程控制(commandcontrol,C2)---代理,⾃定义协议,数据加密与混淆,域 前。。。
代理
代理帮助系统之间进⾏⽹络通信,作为⽹络通信之间的媒介。现有许多代理都能够⽀持重定向,包括HTRAN,ZXProxy和ZXProtMap。代理的定义还可以拓展为P2P⽹络之间的信任关系,定期通信主机或系统中的可信连接。
⽹络内可能有⼀个或多个互相信任的组织。攻击者可以利⽤这些关系来管理远程控制通信,减少同时出站的连接数,在连接失败时能够弹性处理,避免在受控主机之间直接通信⽽被怀疑。 ⾃定义远控通信协议
使⽤⾃定义的通信协议⽽不是现有的标准应⽤层协议中封装的命令/协议。⾃定义协议在著名的TCP/IP或其他⽹络堆栈标准协议的基础上进⾏模仿构建。
⾃定义加密协议
金属接线盒
攻击者可以使⽤⾃定义的加密协议或算法来隐藏远控通信流量。例如简单地使⽤固定密钥对铭⽂进⾏异或运算,这将产⽣⼀个⾮常弱的密⽂。⾃定义加密⽅案的复杂度各有不同。对恶意样本进⾏逆向分析可能能够发现加密密钥和算法。⼀些攻击者就尝试⾃⼰实现⼀个众所周知加密算法的⾃有版本,⽽不是基于现有的库函数实现加密算法。
数据加密
远控数据使⽤基础数据加密系统进⾏加密。数据加密算法遵循现有的规范,包括使⽤ASCII, Unicode, Base64, MIME, UTF-8或其他⼆进制转⽂本,字符加密算法。⼀些数据加密的算法也可能导致数据压缩,例如gzip。
数据混淆
远控流量不⼀定被加密但⼀定是被隐藏的,攻击者试图使通信内容难以被发现并且通信⾏为与命令看起来不那么可疑、显眼。这包括许多⽅法,包括向协议流量中加⼊垃圾数据,使⽤隐写术,将C2通信流量与合法流量混合,使⽤⾮标准数据编码系统(例如,针对HTTP请求的消息体修改的Base64编码)。
调浆桶域前端
域前端利⽤内容交付⽹络(Content Delivery Networks, CDNs)的路由⽅案和管理多个域的其他服务来混淆HTTP流量或通过HTTPS传输的隧道流量的通信⽬的。
使⽤的技术包括在TLS头部的SNI以及HTTP头部的Host使⽤不同域名。如果两个域由同⼀CDN提供服务,在解开TLS包头部信息之
后,CDN可能会路由到HTTP包头中指定的地址。该技术的⼀种变体,叫做“结构域”前端,该技术将SNI设为空⽩,即使CDN尝试验证SNI和HTTP的HOST字段是否匹配,在忽略空⽩SNI的前提下,前端仍旧可以⼯作。
例如,域x和域y是同⼀CDN中的客户端,可能在TLS头部信息中设置域x,在HTTP头部信息中设置域y,原本发往域x的流量可能会被CDN 路由⾄域y。
域名⽣成算法
高纯球形硅微粉攻击者利⽤域名⽣成算法(Domain Generation Algorithms, DGAs)来动态定义远控通信的地址,⽽不是固定地从⼀个IP池或域名池中取⽤。这使得检测⽅难以拦截、追踪和接管远控通信,因为域名⽣成算法会为攻击者提供数千个地址。
描图纸
域名⽣成算法⽣成的域名为明显随机或乱码的字符串,或者,有的域名⽣成算法随机选择完整的单词
作为随机单位,⽽不是随机字母。⼤多数的域名⽣成算法是基于时间的,不同的时间⽣成不同的域名;有的算法会选取⼀个种⼦⽤于随机算法,以防⽌检测⽅预测出未来可能会使⽤的域名。
攻击者也可能使⽤域名⽣成算法构建备⽤通道,当与最初的远控服务器连接丢失时,可以使⽤DGA⽅法重建远控连接。mica martinez
备⽤通道金属槽筒
当主要通信通道被控制或⽆法连接时,为了维持远控可⽤性,避免数据传输达到阈值,攻击者可能会准备⼀个备⽤的通信通道。
