玩出C&C服务器地址隐身的新花样,看看这个恶意软件怎么做的

最新推荐文章于 2024-07-02 12:06:30 发布
转载 最新推荐文章于 2024-07-02 12:06:30 发布 · 194 阅读 · 0 ·
CC 4.0 BY-SA版权
原文链接:https://yq.aliyun.com/articles/164714

一种名为CONFUCIUS的新型恶意软件通过查询合法网站如雅虎和Quora来隐藏其C&C服务器地址,以此绕过安全检测。该恶意软件分为A、B两个样本,分别采用了不同的方法从合法网站中提取IP地址。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

恶意软件作者们一直在凭借自己天马行空的想法,艰难地绕过安全研究人员的追踪和检测。

Palo Alto Network公司就曾在两个独立无关的网络间谍事件中,检测到这样的后门木马样本。研究人员表示,在这些样本中他们发现黑客使用了一种有意思的新方法,以隐藏恶意软件的C&C服务器地址。

CONFUCIUS恶意软件的定位解决方案

一些低端的恶意软件,可能会在源代码里将C&C服务器的IP地址进行硬编码。高级点的则会使用动态域名生成算法(DGA),来隐藏C&C服务器的真实IP地址。

然而,我们这次要讲的恶意软件叫做CONFUCIUS(孔夫子),它就没有使用以上这两种方法。研究人员表示,他们没有发现恶意软件源代码里存在异常的域名/IP地址,也没有在其中发现复杂的动态域名生成算法。

然而,他们很快意识到,恶意软件对应的C&C服务器地址可能是通过合法网站进行获取的。

事实证明他们的猜测是对的,这两个恶意软件会向知名的网站发起查询,比如发送请求给雅虎和Quora(某著名问答社区)。

恶意软件玩的密码表游戏

研究人员表示,这两个恶意样本采用了不同的获取方式。CONFUCIUS_A,也就是第一个样本,它会访问雅虎或者Quora特定的某些页面,然后试图寻找两个特定标记/关键词之间的内容,这些内容中会含有四个以上的单词。

同时,研究人员似乎在源代码里发现里一个密码映射表。通过这张涵盖了255个单词的表,如果让它们与1-255的数字对应的话,是可以直接将相应的单词组合翻译为IPV4地址的。

而第二个样本CONFUCIUS_B,则使用了一个相似的策略。它们会尝试用单词去表示1-9,比如“love”代表0,“hate”代表9等等,最后按IPV4地址的每一位数字进行翻译。

网络间谍活动中的恶意软件

Palo Alto的研究人员表示,这类用文字游戏去拼凑IP地址的法子,很可能是同一个或者同一批恶意软件作者撰写的后门。

CONFUCIUS_A的样本是由Rapid7在2013年巴基斯坦官员被攻击时发现的。这种攻击手法被称为SNEEPY,或者ByeByeShell,被攻击者的数量在2014年初开始下降。

而CONFUCIUS_B样本则是与Operation Patchwork和The Hangover Report有关,其针对的大多数是印度的邻国。

研究这些网络间谍事件的公司表示,这些攻击很可能来自于印度的某股势力。


本文转自d1net(转载)

恶意软件在电子商务服务器上隐藏为合法的 nginx 进程
学海无涯苦作舟的博客
12-03 1682
电子商务服务器正以远程访问恶意软件为目标,该恶意软件隐藏在 Nginx 服务器上,使其对安全解决方案几乎不可见。 该威胁被命名为 NginRAT,它结合了它所针对的应用程序和它提供的远程访问功能,并被用于服务器端攻击,以从在线商店窃取支付卡数据。 NginRAT 被发现在感染了CronRAT 的北美和欧洲的电子商务服务器上,CronRAT 是 一种远程访问木马 (RAT),将有效负载隐藏在计划在日历的无效日期执行的任务中。 NginRAT 已经感染了美国、德国和法国的服务器,在那里它注入了与合法进程无法区.
dga域名生成算法测试工具
11-07
dga域名生成算法测试工具
【转载】间谍新高度:间谍组织​Turla利用卫星通信隐藏C&C服务器
hardwork617s的博客
02-04 657
间谍新高度:间谍组织​Turla利用卫星通信隐藏C&C服务器 转载网址:https://blog.youkuaiyun.com/stonesharp/article/details/50232525 stonesharp2015-12-09 10:00:301721收藏 分类专栏:杂类 Turla APT组织,也被称为Snake或者Uroboros,是至今为止最为高级的威胁组织之一。该网络间谍组织已经存在长达8年的时间了,却很少被人知道。 卡巴斯基实验室也是去年才发现Turla AP...
DGA 域名生成算法攻防
诚邀网络通信领域商务合作
03-11 7042
文章目录简介作用 简介 DGA(Domain Generation Algorithm,域名生成算法)是一种利用 随机字符 来生成 C&C(Command and Control,命令与控制)域名,从而 逃避域名黑名单检测 的技术手段。 攻击者利用DGA产生恶意域名后,选择部分域名进行注册并指向C&C服务器。当受害者运行恶意程序后,主机将通过恶意域名连接至C&C服务器,攻击者即可远程操控主机。 作用 让C&C服务器更加隐蔽,降低攻击发现几率,增强僵尸网络的鲁棒性。 由于C&a
DGA:域名生成算法
u013617791的专栏
08-17 1810
概念 DGA(Domain Generation Algorithm,域名生成算法),是一种恶意软件使用的算法,可定期生成大量域名,即DGA域名。 作用 让C&C服务器更加隐蔽,降低攻击发现几率,增强僵尸网络的鲁棒性。 由于C&C服务器和受害机间通信运行同一套DGA算法,生成相同的备选域名列表,并且受害机会定时尝试连接C&C服务器。当需要发动攻击的时候,选择其中少量进行注册,配置为C&C服务器的域名,受害机中的恶意程序便可以和C&C服务器建立通信,受害机上的恶意程序
DGA域名检测
xifenglie123321的博客
04-03 1605
在互联网中,攻击者通过传播僵尸程序感染大量主机,这些被感染的主机通过一个信道被攻击者操控,进而形成僵尸网络。在这个过程中,攻击者常常会使用域名将恶意程序连接至C&C服务器,从而达到操控受害者机器的目的。其中攻击者通常采用DGA(域名生成算法),通过输入种子随机生成大量的恶意域名,以此逃避域名黑名单检测的技术手段。僵尸网络的攻击者一般采用fast-flux和domain-flux两种DNS技术以隐藏其真实的C&C服务器,而僵尸网络通过域名生成算法与C&C服务器建立连接。
代理服务器:网络通信的隐身斗篷
10-24
代理服务器是网络通信中的一种重要工具,它通过在客户端和目标服务器之间充当中介,提供了隐私保护、访问控制、数据缓存和内容过滤等功能。在R语言中,我们可以使用httr包来利用代理服务器发送HTTP请求。随着网络...
股票隐身软件,个股股价轮动显示
最新发布
10-28
其中,“股票隐身软件,个股股价轮动显示”作为一款专门设计的软件,其主要功能在于帮助用户实时监控股票价格的动态变化,并以轮动显示的方式,为用户展现出每个个股价格的即时信息。 这款软件的设计初衷,显然是...
HypervisorsDetection:这是第一个软件系统,即使在对抗措施下,它也可以检测隐身管理程序并计算多个嵌套管理程序
05-30
这是第一个软件系统,即使在对抗措施下,它也可以检测隐身管理程序并计算多个嵌套管理程序。 详细信息在我的论文中:Korkin, I.(2015 年,5 月 18-21 日)。 隐形管理程序检测的两大挑战:时间欺骗和数据波动。 在...
QQ隐身怎么看?.docx
09-27
当我们在QQ好友列表中浏览时,如果看到某个好友名字下方显示“离线请留言”,这个提示实际上透露出重要信息。在QQ系统的设计中,默认情况下会将隐身用户标记为“离线”。然而,为了不使隐身用户与好友的沟通完全中断...
技术 | 使用深度学习检测DGA(域名生成算法)
weixin_33812433的博客
07-24 2281
DGA(域名生成算法)是一种利用随机字符来生成C&C域名,从而逃避域名黑名单检测的技术手段。例如,一个由Cryptolocker创建的DGA生成域xeogrhxquuubt.com,如果我们的进程尝试其它建立连接,那么我们的机器就可能感染Cryptolocker勒索病毒。域名黑名单通常用于检测和阻断这些域的连接,但对于不断更新的DGA算法并不奏效...
恶意域名检测研究与应用综述
k__opp的博客
07-02 1842
它包含三级域名,在第三级域中,除字母“j”之外,从元音和辅音中随机交替的挑选字母,因此随后的字母总是来自其他字符类这样选取的字符组成的域名几乎是可读的。:王红凯等人提出了一种基于随机森林的随机域名检测方法,该方法通过人工提取的域名长度、域名字符信息熵分布、元音辅音比、有意义的字符比率等特征来构建随机森林模型进行训练和分类,实现对随机域名的检测。:随着僵尸网络变得更加复杂和智能化,现有的检测方法面临挑战,包括网络流的部分特征无法完全表征僵尸网络的异常行为,以及攻击者可能设计新的DGA算法来绕过某些固定特征。
dga (Domain Generation Algorithm) 域名 生成算法 简介
whatday的专栏
03-12 7967
目录 一、引言 二、背景 三、检测 四、发展 五、总结 一、引言 恶意软件如今已经发展为威胁网络安全的头号公敌,为了逃避安全设施的检测,其制作过程也越来越复杂,其中一个典型做法是在软件中集成DGA(Domain Generation Algorithm)算法,产生速变域名,该方式作为备用或者主要的与C2服务器通信的手段,可以构造更加鲁棒的僵尸网络,做到对感染肉鸡的持续性控制。对应地,针对DGA算法的研究现在也是安全圈讨论的热点话题,学术界和工业界也有大量DGA域名检测的工作,但是在实际使用中存
关于僵尸网络和C&C服务器
weixin_46661122的博客
11-29 8599
僵尸网络(简称“机器人网络”)是由感染的计算机网络的恶意软件在一个攻击方的控制之下,被称为“僵尸牧民”。每个在bot-herder控制下的个人机器被称为机器人。从一个中心点来看,攻击方可以命令其僵尸网络上的每台计算机同时执行协调的刑事诉讼。僵尸网络的规模(许多由数百万个僵尸程序组成)使攻击者能够执行以前不可能使用恶意软件的大规模操作。由于僵尸网络仍然受远程攻击者的控制,受感染的计算机可以动态接收更新并更改其行为。因此,僵尸牧民通常能够在黑市上租用他们的僵尸网络段,以获得巨大的经济收益。 DDoS攻击 - 利
僵尸网络(C&C服务器
WangYouJin321的博客
08-29 2977
那么对于固定的C&C服务器域名,安全人员一般来说很容易对其进行查杀,因此,基于DGA方法僵尸网络也就产生了,DGA全程随机域名生成算法,是指使用主控端和被控端协商好的一种基于随机算法的域...
C&C控制服务的设计和侦测方法综述——DDoS攻击,上传从宿主机偷窃的到的信息,定时给感染机文件加密勒索等。...
djph26741的博客
09-01 323
这篇文章总结了一些我在安全工作里见到过的千奇百怪的C&C控制服务器的设计方法以及对应的侦测方法,在每个C&C控制服务先介绍黑帽部分即针对不同目的的C&C服务器设计方法,再介绍白帽部分即相关侦测办法,大家来感受一下西方的那一套。这里的白帽部分有一部分侦测方法需要一些数据和统计知识,我也顺便从原理上简单讨论了一下用数据进行安全分析的方法,从数学和数据原理上思考为什么这...
c&c服务器域名信息,c-c.com服务器iP
weixin_39610188的博客
08-05 1128
2021-02-08-----2021-08-0447.52.158.1502020-12-28-----2021-01-2647.57.165.1082020-12-28-----2021-01-2640.83.101.322020-12-28-----2021-01-2647.57.93.1702021-01-26-----2021-01-26182.160.8.1882021-01-26--...
C&C服务器
热门推荐
老吴的私房菜
10-09 3万+
C&C服务器,其全称为command and control server。我们在诸多文章中曾看到过,C&C服务器不仅可以为攻击者提供便利的资源管理平台,也可以保障其个人隐私安全。今天,我们就通过一个几个C&C服务器的搭建实验教程让大家了解一下什么是C&C服务器,以了解如何应对利用C&C的攻击行为。 无C&C服务器通讯 故事 *本文中涉及的故事纯属虚构,如有雷同实数巧合 某
基于DNS数据分析的恶意域名检测
四个菜
10-22 2万+
导读:本文对基于DNS数据分析来进行恶意域名检测的研究进行简要的介绍。本文的目的,是让刚进入该领域的学者(或是一般的读者)能对该领域的情况有一个初步的了解,为之后的深入探究做准备。 本文主要参考的是Zhauniarovich Y, et al[1]的工作,发表在Acm Computer Surveys上的一篇较为系统地阐述了基于DNS数据分析来进行恶意域名检测的研究背景,研究过程和研究建议等内容的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值