17、恶意软件命令与控制通信解密分析

最新推荐文章于 2025-08-28 12:24:36 发布
最新推荐文章于 2025-08-28 12:24:36 发布
阅读量30 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: 解密安卓恶意软件 文章标签: 恶意软件分析 命令与控制通信 加密解密
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/oo7890/article/details/151298809

恶意软件命令与控制通信解密分析

1. 恶意软件通信分析概述

在对恶意软件进行逆向工程时,其与命令与控制服务器的加密通信是非常重要的研究点。破解加密有助于我们更好地理解它所支持的命令。这里我们采用动态分析方法,使用到的工具包括 tcpdump logcat Frida

通过 tcpdump Wireshark 分析可知,恶意软件的首次连接是向 http://simpleyo5.tk/ping 发送 HTTP POST 请求,请求中包含一个有四个条目的 JSON 对象: 

{
    "hash": "c9KjsZ9C7He6VRmwPMY9YpRrW8H9UFIITKB7umfOUyo=",
    "id": "9hbTqZU/XYXD8Z1hftmY0N63NltNY2+ihQOnUHrg9T1B/C...",
    "iv": "M0KcSRwOMvKnbNd4TE719Q==",
    "type": "request_verify"
}

目前还不清楚这些值的具体含义。其中 "type": "request_verify" 表明此次连接的目的是请求验证恶意软件客户端。 id 原本长度超过 7000 字节,可能是消息的主要负载。 hash iv 的值目前未知,

订阅专栏 解锁全文 会员秒杀 ¥9.9 重磅福利 超级会员免费看
[系统安全] 三十一.恶意代码检测(1)恶意代码攻击检测及恶意样本分析
杨秀璋的专栏
06-21 1万+
前文分享了逆向知识,利用Cheat Engine工具逆向分析游戏CS1.6,并实现无限子弹功能。这篇文章将结合作者的《系统安全前沿》作业,论文及绿盟李东宏老师的博客及宋老师的论文,从产业界和学术界分别详细讲解恶意代码攻击溯源的相关知识。在学术界方面,用类似于综述来介绍攻击追踪溯源的不同方法;在产业界方面,主要参考李东宏老师从企业恶意样本分析的角度介绍溯源工作。关于攻击溯源的博客和论文都比较少,希望这篇文章对您有所帮助,如果文章中存在错误、理解不到位或侵权的地方,还请告知作者海涵。且看且珍惜,加油~
JavaScript 到命令控制 (C2) 服务器恶意软件分析
技术超强的网络安全平台
05-08 1054
不断发展的网络威胁形势见证了复杂的恶意软件攻击活动激增,这些活动利用多阶段执行、混淆和隐蔽通信渠道来逃避检测。本研究报告研究了一个高度混淆的攻击链,该攻击链始于一个 JavaScript 文件,该文件从开源服务中检索编码命令以执行 PowerShell 脚本。然后,该脚本从 IP 地址和 URL 缩短器下载 JPG 图像和文本文件,这两个 IP 地址和 URL 缩短器都通过先进的隐写技术隐藏恶意的 MZ DOS 可执行文件。
基于AI的恶意软件分析技术(3)
山楂的博客
05-05 8308
2020年一篇综述:基于AI的恶意软件检测和分类研究的发展、趋势和挑战
JavaScript 到命令控制 (C2) 服务器恶意软件分析及防御
技术超强的网络安全平台
05-06 881
不断发展的网络威胁形势见证了复杂的恶意软件攻击活动激增,这些活动利用多阶段执行、混淆和隐蔽通信渠道来逃避检测。本研究报告研究了一个高度混淆的攻击链,该攻击链始于一个 JavaScript 文件,该文件从开源服务中检索编码命令以执行 PowerShell 脚本。然后,该脚本从 IP 地址和 URL 缩短器下载 JPG 图像和文本文件,这两个 IP 地址和 URL 缩短器都通过先进的隐写技术隐藏恶意的 MZ DOS 可执行文件。
[译] APT分析报告:07.拉撒路(Lazarus)使用的两款恶意软件分析
杨秀璋的专栏
11-19 6302
这是作者新开的一个专栏,主要翻译国外知名安全厂商的APT报告,了解它们的安全技术,学习它们溯源APT组织的方法,希望对您有所帮助。前文分享了Rampant Kitten攻击活动,包括Windows信息窃取程序、Android后门和电报网络钓鱼页面。这篇文章将介绍APT组织拉撒路(Lazarus)使用的两款恶意软件,并进行详细分析。个人感觉这篇文章应该是韩国或日本安全人员撰写,整体分析的深度距安全大厂(FireEye、卡巴斯基、360)的APT分析报告还有差距,但文章内容也值得我们学习。
Malware-Library: 恶意软件源代码跨平台分析项目
weixin_35752233的博客
10-14 1110
本文还有配套的精品资源,点击获取 简介:Malware-Library 旨在为安全研究人员、逆向工程师和学生提供一个独特的资源集合,其中包含多语言编写的恶意软件源代码。这个库的目的是促进对恶意软件行为和机制的深入理解,以及教育用户如何保护自己免受这些威胁。该资源库包含了病毒、木马、蠕虫等多种类型的恶意软件,涉及C、C++、Python等编程语言,并通过其源代码展示了恶意软件...
恶意软件加密流量检测研究分享
王二的博客
11-08 1416
目前使用加密通信恶意软件家族超过200种,使用加密通信恶意软件占比超过40%,使用加密通信恶意软件几乎覆盖了所有常见类型,如:特洛伊木马、勒索软件、感染式、蠕虫病毒、下载器等,其中特洛伊木马和下载器类的恶意软件家族占比较高。HTTPS协议也称为SSL上的HTTP安全或超文本传输协议,是以安全为目标的 HTTP 通道,通过传输加密和身份认证保证了传输过程的安全性。如果没有加密,任何设法查看客户端和服务器之间的数据包的人都可以读取通信
3.27大灰狼:最新免杀恶意软件版本分析
weixin_42430341的博客
05-16 1217
域名拦截,亦称作DNS过滤,是一种通过阻止用户访问恶意域名来阻止恶意软件传播的防御技术。此技术主要是基于域名系统(Domain Name System, DNS)来进行的,DNS是将域名和IP地址相互映射的分布式数据库系统。通过域名拦截技术,当用户尝试连接到被标记为恶意的域名时,网络设备或服务会拦截这些请求,并可能将用户重定向到一个警告页面,从而防止恶意软件的潜在攻击。域名拦截的关键在于一个实时更新的域名黑名单,它由安全研究机构、杀毒软件公司或网络服务提供商维护。
详解Windows(二十)——恶意软件清除
m0_73552988的博客
08-13 2407
如果你的电脑突然变得很慢,经常弹出奇怪的广告,或者浏览器主页被莫名其妙地改了,那么你的电脑很可能感染了恶意软件
系统分析17:系统安全分析设计
10-13 1434
本文主要介绍了软考高级系统分析师中系统安全分析设计章节的内容。供个人学习使用。
18、恶意软件分析:深入探究命令控制无障碍 API 滥用
oo7890的博客
08-26 81
本文深入分析了一种利用命令控制服务器和无障碍 API 滥用的 Android 恶意软件。通过动态分析日志、Frida 跟踪和静态代码审查,揭示了恶意软件如何通过加密通信命令控制服务器交互、自动获取敏感权限、模拟用户点击权限对话框、防御卸载机制等行为。文章还探讨了恶意软件的主执行循环、命令处理机制以及对无障碍 API 的滥用方式,并提出了相应的防范措施。
38、EarlyCrow:检测基于HTTP(S)的高级持续性威胁(APT)恶意软件命令控制通信
nft7creator的博客
08-28 38
EarlyCrow是一种用于检测基于HTTP(S)的高级持续性威胁(APT)恶意软件命令控制通信的创新工具。通过设计多用途网络流格式PairFlow,它对PCAP数据进行跟踪、聚合、封装和变体提取,全面整合协议行为、域名信息、URL特征及统计指标,具备上下文感知能力和强可扩展性。该工具弥补了传统防御机制在非信标类APT攻击检测中的不足,适合作为SIEM、HIDS等系统的补充防御层,并支持多种外部分类器集成,有效提升复杂网络环境下的威胁发现能力。
37、EarlyCrow:检测基于HTTP(S)的高级持续性威胁(APT)恶意软件命令控制(C&C)
nft7creator的博客
08-27 18
EarlyCrow是一种用于检测基于HTTP(S)的高级持续性威胁(APT)恶意软件命令控制(C&C)的系统。通过丰富的特征体系和上下文摘要机制,结合分类器对恶意流量进行识别,EarlyCrow在多个数据集和模式下表现出色,尤其在宏平均F1分数上具有显著优势。该系统在面对已知和未知恶意软件时均展现了良好的泛化能力,并通过多样化的特征设计提升了对抗逃避攻击的鲁棒性。尽管在执行效率和APT活动区分方面仍存在改进空间,EarlyCrow为应对复杂的网络安全威胁提供了一种有效解决方案。
国家自然科学基金项目数据分析可视化工具_国家自然科学基金项目数据科研项目分析资助趋势统计学科领域分布项目负责人信息经费使用情况成果产出评估国际合作研究青年科学基金.zip
12-01
国家自然科学基金项目数据分析可视化工具_国家自然科学基金项目数据科研项目分析资助趋势统计学科领域分布项目负责人信息经费使用情况成果产出评估国际合作研究青年科学基金.zip
JouChin_TurbineMarineProject_44300_1764554191333.zip
最新发布
12-01
JouChin_TurbineMarineProject_44300_1764554191333.zip
【太阳能电池系统逆变器】太阳能电池的电压输出被储存在电池中,同时直流电压通过五级逆变器转换为交流电(Simulink仿真实现)
12-01
【太阳能电池系统逆变器】太阳能电池的电压输出被储存在电池中,同时直流电压通过五级逆变器转换为交流电(Simulink仿真实现)内容概要:本文档围绕太阳能电池系统逆变器展开,重点介绍了一个基于Simulink的仿真模型,其中太阳能电池产生的直流电压被储存于电池中,并通过五级逆变器转换为交流电。该系统仿真涵盖了光伏发电、储能管理和电力电子变换的核心环节,突出了多级逆变器在提升电能质量和转换效率方面的优势。文中详细描述了系统结构、工作原理及Simulink建模过程,有助于理解可再生能源系统的能量转换控制策略。; 适合人群:具备一定电力电子、自动控制或新能源系统基础知识的高校学生、研究人员及工程技术人员。; 使用场景及目标:①用于教学演示太阳能发电系统的能量流动转换过程;②支持科研中对多级逆变器拓扑结构的性能分析优化设计;③为微电网、分布式能源系统中的储能并网控制提供仿真基础。; 阅读建议:建议结合Simulink软件实际操作,深入理解模型各模块的功能参数设置,并可通过修改逆变器级数或控制策略进行拓展性实验,以增强对系统动态响应和稳定性的认识。
【智能车竞赛】多模态感知控制技术融合:基于全国大学生智能汽车竞赛的工程实践产业落地应用研究
12-01
内容概要:本文全面解析了全国大学生智能汽车竞赛的赛事定位、赛制安排竞赛类别,并通过武汉大学、成都理工大学等高校的经典参赛案例,深入剖析了智能车在视觉识别、机械结构设计、算法优化等方面的创新实践。文章进一步梳理了智能车开发的核心技术体系,涵盖感知层的多传感器融合视觉AI部署、决策控制中的路径规划运动控制策略,以及软硬件平台的协同架构。最后,基于竞赛技术延伸出智能物流分拣车、越野巡检机器人、多模态智能识别平台等实际应用项目,展示了从赛事到产业落地的技术转化路径。; 适合人群:具备一定电子、控制、计算机或机械基础的高校学生及指导教师,尤其适合参智能车竞赛或工程实践项目的1-3年经验研发人员; 使用场景及目标:①了解智能车竞赛的整体架构备赛策略;②掌握视觉识别、多传感器融合、运动控制等关键技术的设计实现方法;③探索竞赛成果向智能物流、无人巡检、安防识别等领域的产业化应用; 阅读建议:建议结合具体案例技术模块进行系统学习,重点关注技术突破背后的创新思维跨学科整合方法,同时可参考文中项目实践开展原型开发成果转化。
基于Java和Vue技术构建的现代化自助点餐系统_包含餐厅员工管理员和客人三种身份角色支持点餐前台和后台管理功能涵盖首页个人中心用户数据修改用户管理商家管理菜品分类菜品信息管理餐桌.zip
12-01
基于Java和Vue技术构建的现代化自助点餐系统_包含餐厅员工管理员和客人三种身份角色支持点餐前台和后台管理功能涵盖首页个人中心用户数据修改用户管理商家管理菜品分类菜品信息管理餐桌.zip
Arcgispro适用的PPTools工具箱
12-01
工具力求完善,减少bug,如有问题联系我 包含工具: txt转shp 面要素转txt 点要素写入界址点成果表 面要素生成界址点 界址点两连 查找尖锐角_仅查找以作参考 尖锐角分割_仅分割以做参考 尖锐角分割合并 (距离) 尖锐角分割合并 (面积) 小面积按属性合并 (终极版) 表格自动转GDB1.3 分组编号 1.1 更新bsm及ysdm1.0 更新一级类 数据比对 (第五版) 数据更新 数据库要素清空 制作举证图斑信息表 字段比对 字段重复值清理
CommView: 全方位IP数据包分析解密软件
CommView是一款功能强大的网络监控和分析软件,专为网络安全和网络管理员设计,其核心功能是对网络数据包进行捕获和分析。以下是对CommView软件的详细知识点介绍。 ### 标题知识点:CommView IP数据包窃听软件 ###...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值