有關(guān)pos機通信連接,使用DNS隧道進(jìn)行C&C通信

網(wǎng)上有很多關(guān)于有關(guān)pos機通信連接,使用DNS隧道進(jìn)行C&C通信的知識，也有很多人為大家解答關(guān)于有關(guān)pos機通信連接的問(wèn)題，今天pos機之家(m.xjcwpx.cn)為大家整理了關(guān)于這方面的知識，讓我們一起來(lái)看下吧!

本文目錄一覽：

1、有關(guān)pos機通信連接

有關(guān)pos機通信連接

原文:https://securelist.com/blog/research/78203/use-of-dns-tunneling-for-cc-communications/

Yunakovsky

– Say my name.

– 127.0.0.1!

– You are goddamn right.

網(wǎng)絡(luò )通信是任何惡意程序的關(guān)鍵功能。是的，有例外，如cryptors和ransomware木馬，可以做他們的工作，沒(méi)有使用互聯(lián)網(wǎng)。然而，他們也要求他們的受害者與威脅演員建立聯(lián)系，以便他們可以發(fā)送贖金并恢復他們的加密數據。如果我們省略這兩個(gè)，并且看看與C＆C和/或威脅演員沒(méi)有任何溝通的惡意軟件的類(lèi)型，所有這些都是一些過(guò)時(shí)的或滅絕的惡意軟件家族（如Trojan-ArcBomb）或不相關(guān)的，粗暴制作的惡作劇通常只是用尖叫或切換鼠標按鈕嚇倒用戶(hù)。

惡意軟件自Morris蠕蟲(chóng)以來(lái)已經(jīng)走了很長(cháng)的路，作者從不停止尋找新的方式來(lái)保持與他們的創(chuàng )作交流。一些創(chuàng )建復雜的多層認證和管理協(xié)議，可能需要數周甚至數月的時(shí)間才能使分析人員進(jìn)行破譯。其他人回到基礎，并使用IRC服務(wù)器作為管理主機 - 正如我們在最近的未來(lái)的例子中看到的，它的眾多克隆。

通常，病毒編寫(xiě)者甚至不打擾運行加密或掩蓋他們的通信：指令和相關(guān)信息以純文本發(fā)送，這對于分析機器人的研究人員來(lái)說(shuō)非常方便。這種方法是無(wú)能的網(wǎng)絡(luò )犯罪分子的典型代表，甚至是經(jīng)驗豐富的程序員，他們沒(méi)有太多開(kāi)發(fā)惡意軟件的經(jīng)驗。

但是，您會(huì )得到不屬于上述類(lèi)別的偶爾的墻外方法。例如，卡巴斯基實(shí)驗室研究人員在3月中旬發(fā)現了一個(gè)特洛伊木馬案例，并建立了與C＆C服務(wù)器進(jìn)行通信的DNS隧道。

卡巴斯基實(shí)驗室產(chǎn)品被惡意程序檢測為Backdoor.Win32.Denis。該木馬允許入侵者操縱文件系統，運行任意命令并運行可加載的模塊。

就像許多其他木馬一樣，Backdoor.Win32.Denis從加載的DLL中提取需要操作的功能的地址。但是，該木馬程序不是計算導出表中的名稱(chēng)的校驗和（通常發(fā)生的情況），而是簡(jiǎn)單地將API調用的名稱(chēng)與列表進(jìn)行比較。通過(guò)從功能名稱(chēng)的每個(gè)符號中減去128來(lái)加密API名稱(chēng)列表。

應該注意的是，機器人使用兩個(gè)版本的加密：對于A(yíng)PI調用名稱(chēng)及其操作所需的字符串，它從每個(gè)字節減法;對于DLL，它從每隔一個(gè)字節減去。要使用其名稱(chēng)加載DLL，使用LoadLibraryW，意味著(zhù)需要寬字符串。

使用DNS隧道進(jìn)行C＆C通信

“解密”木馬中的字符串

使用DNS隧道進(jìn)行C＆C通信

加密格式的API函數和庫的名稱(chēng)

還應該注意的是，只有一些功能被這樣解密。在木馬身體中，對提取的功能的引用與對從加載程序接收到的功能的引用交替。

DNS隧道運營(yíng)的原理可以歸結為：“如果你不知道，請問(wèn)別人”。當DNS服務(wù)器收到要解析的地址的DNS請求時(shí)，服務(wù)器開(kāi)始在其數據庫中查找。如果沒(méi)有找到記錄，則服務(wù)器向數據庫中指定的域發(fā)送請求。

當請求到達時(shí)，讓我們看看如何工作，并將URL解析為Y3VyaW9zaXR5.example.com。 DNS服務(wù)器收到此請求，首先嘗試找到域擴展名“.com”，然后找到“example.com”，但是在其數據庫中找不到“Y3VyaW9zaXR5.example.com”。然后它將請求轉發(fā)到example.com，并詢(xún)問(wèn)它是否知道這樣的名稱(chēng)。作為回應，example.com預計將返回相應的IP;然而，它可以返回任意字符串，包括C＆C指令。

使用DNS隧道進(jìn)行C＆C通信

后門(mén)的轉儲.Win32.Denis交通

這就是Backdoor.Win32.Denis所做的。 DNS請求首先發(fā)送到8.8.8.8，然后轉發(fā)到z.teriava [。] com。在此地址之前的所有內容都是發(fā)送到C＆C的請求的文本。

這是響應：

使用DNS隧道進(jìn)行C＆C通信

響應第一個(gè)請求收到的DNS數據包

顯然，發(fā)送給C＆C的請求使用Base64加密。原始請求是一個(gè)零序列，最后是GetTickCount的結果。機器人隨后收到其唯一的ID，并在數據包的開(kāi)頭使用它進(jìn)行識別。

在第五個(gè)DWORD中發(fā)送指令編號，如果從上圖中突出顯示為綠色的部分開(kāi)始計數。接下來(lái)是從C＆C收到的數據的大小。使用zlib打包的數據在此之后立即開(kāi)始。

使用DNS隧道進(jìn)行C＆C通信

解壓縮的C＆C響應

前四個(gè)字節是數據大小。接下來(lái)的所有內容都是數據，這可能會(huì )根據指令的類(lèi)型而有所不同。在這種情況下，它是機器人的唯一ID，如前所述。我們應該指出，數據包中的數據是大端格式的。

使用DNS隧道進(jìn)行C＆C通信

在發(fā)送到C＆C的每個(gè)請求的開(kāi)始，說(shuō)明了bot ID（突出顯示）

總共有16條指令，特洛伊木馬可以處理，盡管最后一條指令的編號是20.大多數指令涉及與被攻擊的計算機的文件系統的交互。此外，還有能力獲取有關(guān)打開(kāi)窗口的信息，調用任意API或獲取有關(guān)系統的簡(jiǎn)要信息。讓我們更詳細地研究一下這些，因為這個(gè)指令是先執行的。

使用DNS隧道進(jìn)行C＆C通信

完整的C＆C指示清單

使用DNS隧道進(jìn)行C＆C通信

有關(guān)受感染計算機的信息，發(fā)送到C＆C

從上面的截圖可以看出，漫游器將計算機名稱(chēng)和用戶(hù)名發(fā)送到C＆C，以及存儲在注冊表分支中的信息Software \\ INSUFFICIENT \\ INSUFFICIENT.INI：

最后一次執行該指令的時(shí)間。 （如果第一次執行，返回“GetSystemTimeAsFileTime”，并且設置變量BounceTime，其中寫(xiě)入結果）;

UsageCount來(lái)自同一個(gè)注冊表分支。

還會(huì )發(fā)送有關(guān)操作系統和環(huán)境的信息。該信息是在NetWkstaGetInfo的幫助下獲得的。

數據使用zlib打包。

使用DNS隧道進(jìn)行C＆C通信

Base64加密之前的DNS響應

響應中的字段如下（只有紅色突出顯示的部分，數據和大小根據指令而有所不同）：

Bot ID;

以前的C＆C響應的大小;

C＆C回應中的第三個(gè)DWORD;

總是等于1作為回應;

GetTickCount（）;

指定字段后的數據大小;

響應大小;

實(shí)際回應

注冊階段完成后，木馬開(kāi)始以無(wú)限循環(huán)查詢(xún)C＆C。當沒(méi)有發(fā)送指令時(shí)，通信看起來(lái)像一系列空的查詢(xún)和響應。

使用DNS隧道進(jìn)行C＆C通信

發(fā)送到C＆C的空查詢(xún)的順序

由Backdoor.Win32.Denis使用的DNS隧道用于通信是非常罕見(jiàn)的，盡管不是唯一的。以前在某些POS木馬程序和某些APT中使用了類(lèi)似的技術(shù)（例如PlugX系列中的Backdoor.Win32.Gulpix）。然而，這種DNS協(xié)議的使用在PC上是新的。我們假設這種方法可能會(huì )變得越來(lái)越受惡意軟件作者的歡迎。我們將密切關(guān)注今后如何在惡意程序中實(shí)施該方法。

以上就是關(guān)于有關(guān)pos機通信連接,使用DNS隧道進(jìn)行C&C通信的知識，后面我們會(huì )繼續為大家整理關(guān)于有關(guān)pos機通信連接的知識，希望能夠幫助到大家！