SSL通信和域前置
域前置是服务器支持的一种技术,大家可以把它看成是转发的技术。这种技术和SSL组合到一起检测的难度直接变高,恶意程序真正连接的C&C很难辨别。
恶意程序可以向一个高可信的域名发送请求,使用https协议向它发送请求,发送请求的时候把真正要访问的地址写到hosts里。
当恶意程序把这个数据发到了支持前置域名转发的域前置服务器上以后,这个服务器会根据hosts里填写的地址将请求进行转发。C&C的IP只有转发它的服务器才知道,这种技术给我们带来的最大困难就是没有办法检测。
上图程序向可信域名发起DNS请求
加密数据传输
样本分析过程
想知道C&C是什么我们在关键函数下一个断点,在堆栈里能看到它的hosts,红框是它真正的主机,这就是一个域前置。
要想发起一个网络的数据,可以不依赖任何的系统API(WindowsAPI实际上分两部分,一是应用层,二是内核层) 。
应用层API相当于是内核层这些函数的一个接口,它仅仅是一个接口做一些域处理,然后他通过sysenter中断指令直接调用内核函数。
通信实现方式总结
恶意程序使用这些流量层面的这些实践方法,它也是随着协议的发展而逐步演进。