36、EarlyCrow：检测基于HTTP(S)的APT恶意软件C&C通信

EarlyCrow：检测基于HTTP(S)的APT恶意软件C&C通信

1. APT检测基础

1.1 检测思路

要检测高级持续性威胁（APT），调查人员可收集已知APT的静态“受损指标”（IoCs），或分析网络数据包序列，评估流量行为所体现的特定战术、技术和程序（TTPs）的可能性。安全供应商会公布已发现APT的IoCs。当观察到可疑的TTPs时，例如在HTTP请求和响应行为中，就可能发现新的攻击。

1.2 IoC类数据

• FQDN使用 ：APT活动会指定一个或多个完全限定域名（FQDN）来定位命令与控制（C&C）服务器。它们可能模仿目标组织的兴趣，或使用动态解析技术，这是另一种用于与C&C服务器通信的TTP。解析后的FQDN至少包含一个A资源记录，有些APT会提供多个A资源记录，为后续连接提供备用通道。
• URL作为IoC ：URL常被用作IoCs，用于基于HTTP的恶意软件检测。一些APT恶意软件会在后续请求的URL参数中下载可执行文件，或传递其他恶意FQDN、IP地址或配置命令。典型的URL结构包括FQDN、嵌套文件夹（深度）、文件名、参数和值，参数和值之间用分隔符（&）分隔，用等号（=）赋值，还可能包含百分号编码的字符串。

1.3 流量数据

• HTTP请求和响应 ：HTTP请求和响应上下文涉及由多个请求和响应组成的连续HTTP事务。请求主要由URL、方法类型（如GET、POST）和用户代理（UA）表征