網(wǎng)上有很多關(guān)于有關(guān)pos機(jī)通信連接,使用DNS隧道進(jìn)行C&C通信的知識(shí)，也有很多人為大家解答關(guān)于有關(guān)pos機(jī)通信連接的問(wèn)題，今天pos機(jī)之家(m.afbey.com)為大家整理了關(guān)于這方面的知識(shí)，讓我們一起來(lái)看下吧!

本文目錄一覽：

1、有關(guān)pos機(jī)通信連接

有關(guān)pos機(jī)通信連接

原文:https://securelist.com/blog/research/78203/use-of-dns-tunneling-for-cc-communications/

Yunakovsky

– Say my name.

– 127.0.0.1!

– You are goddamn right.

網(wǎng)絡(luò)通信是任何惡意程序的關(guān)鍵功能。是的，有例外，如cryptors和ransomware木馬，可以做他們的工作，沒(méi)有使用互聯(lián)網(wǎng)。然而，他們也要求他們的受害者與威脅演員建立聯(lián)系，以便他們可以發(fā)送贖金并恢復(fù)他們的加密數(shù)據(jù)。如果我們省略這兩個(gè)，并且看看與C＆C和/或威脅演員沒(méi)有任何溝通的惡意軟件的類型，所有這些都是一些過(guò)時(shí)的或滅絕的惡意軟件家族（如Trojan-ArcBomb）或不相關(guān)的，粗暴制作的惡作劇通常只是用尖叫或切換鼠標(biāo)按鈕嚇倒用戶。

惡意軟件自Morris蠕蟲以來(lái)已經(jīng)走了很長(zhǎng)的路，作者從不停止尋找新的方式來(lái)保持與他們的創(chuàng)作交流。一些創(chuàng)建復(fù)雜的多層認(rèn)證和管理協(xié)議，可能需要數(shù)周甚至數(shù)月的時(shí)間才能使分析人員進(jìn)行破譯。其他人回到基礎(chǔ)，并使用IRC服務(wù)器作為管理主機(jī) - 正如我們?cè)谧罱奈磥?lái)的例子中看到的，它的眾多克隆。

通常，病毒編寫者甚至不打擾運(yùn)行加密或掩蓋他們的通信：指令和相關(guān)信息以純文本發(fā)送，這對(duì)于分析機(jī)器人的研究人員來(lái)說(shuō)非常方便。這種方法是無(wú)能的網(wǎng)絡(luò)犯罪分子的典型代表，甚至是經(jīng)驗(yàn)豐富的程序員，他們沒(méi)有太多開(kāi)發(fā)惡意軟件的經(jīng)驗(yàn)。

但是，您會(huì)得到不屬于上述類別的偶爾的墻外方法。例如，卡巴斯基實(shí)驗(yàn)室研究人員在3月中旬發(fā)現(xiàn)了一個(gè)特洛伊木馬案例，并建立了與C＆C服務(wù)器進(jìn)行通信的DNS隧道。

卡巴斯基實(shí)驗(yàn)室產(chǎn)品被惡意程序檢測(cè)為Backdoor.Win32.Denis。該木馬允許入侵者操縱文件系統(tǒng)，運(yùn)行任意命令并運(yùn)行可加載的模塊。

就像許多其他木馬一樣，Backdoor.Win32.Denis從加載的DLL中提取需要操作的功能的地址。但是，該木馬程序不是計(jì)算導(dǎo)出表中的名稱的校驗(yàn)和（通常發(fā)生的情況），而是簡(jiǎn)單地將API調(diào)用的名稱與列表進(jìn)行比較。通過(guò)從功能名稱的每個(gè)符號(hào)中減去128來(lái)加密API名稱列表。

應(yīng)該注意的是，機(jī)器人使用兩個(gè)版本的加密：對(duì)于API調(diào)用名稱及其操作所需的字符串，它從每個(gè)字節(jié)減法;對(duì)于DLL，它從每隔一個(gè)字節(jié)減去。要使用其名稱加載DLL，使用LoadLibraryW，意味著需要寬字符串。

使用DNS隧道進(jìn)行C＆C通信

“解密”木馬中的字符串

使用DNS隧道進(jìn)行C＆C通信

加密格式的API函數(shù)和庫(kù)的名稱

還應(yīng)該注意的是，只有一些功能被這樣解密。在木馬身體中，對(duì)提取的功能的引用與對(duì)從加載程序接收到的功能的引用交替。

DNS隧道運(yùn)營(yíng)的原理可以歸結(jié)為：“如果你不知道，請(qǐng)問(wèn)別人”。當(dāng)DNS服務(wù)器收到要解析的地址的DNS請(qǐng)求時(shí)，服務(wù)器開(kāi)始在其數(shù)據(jù)庫(kù)中查找。如果沒(méi)有找到記錄，則服務(wù)器向數(shù)據(jù)庫(kù)中指定的域發(fā)送請(qǐng)求。

當(dāng)請(qǐng)求到達(dá)時(shí)，讓我們看看如何工作，并將URL解析為Y3VyaW9zaXR5.example.com。 DNS服務(wù)器收到此請(qǐng)求，首先嘗試找到域擴(kuò)展名“.com”，然后找到“example.com”，但是在其數(shù)據(jù)庫(kù)中找不到“Y3VyaW9zaXR5.example.com”。然后它將請(qǐng)求轉(zhuǎn)發(fā)到example.com，并詢問(wèn)它是否知道這樣的名稱。作為回應(yīng)，example.com預(yù)計(jì)將返回相應(yīng)的IP;然而，它可以返回任意字符串，包括C＆C指令。

使用DNS隧道進(jìn)行C＆C通信

后門的轉(zhuǎn)儲(chǔ).Win32.Denis交通

這就是Backdoor.Win32.Denis所做的。 DNS請(qǐng)求首先發(fā)送到8.8.8.8，然后轉(zhuǎn)發(fā)到z.teriava [。] com。在此地址之前的所有內(nèi)容都是發(fā)送到C＆C的請(qǐng)求的文本。

這是響應(yīng)：

使用DNS隧道進(jìn)行C＆C通信

響應(yīng)第一個(gè)請(qǐng)求收到的DNS數(shù)據(jù)包

顯然，發(fā)送給C＆C的請(qǐng)求使用Base64加密。原始請(qǐng)求是一個(gè)零序列，最后是GetTickCount的結(jié)果。機(jī)器人隨后收到其唯一的ID，并在數(shù)據(jù)包的開(kāi)頭使用它進(jìn)行識(shí)別。

在第五個(gè)DWORD中發(fā)送指令編號(hào)，如果從上圖中突出顯示為綠色的部分開(kāi)始計(jì)數(shù)。接下來(lái)是從C＆C收到的數(shù)據(jù)的大小。使用zlib打包的數(shù)據(jù)在此之后立即開(kāi)始。

使用DNS隧道進(jìn)行C＆C通信

解壓縮的C＆C響應(yīng)

前四個(gè)字節(jié)是數(shù)據(jù)大小。接下來(lái)的所有內(nèi)容都是數(shù)據(jù)，這可能會(huì)根據(jù)指令的類型而有所不同。在這種情況下，它是機(jī)器人的唯一ID，如前所述。我們應(yīng)該指出，數(shù)據(jù)包中的數(shù)據(jù)是大端格式的。

使用DNS隧道進(jìn)行C＆C通信

在發(fā)送到C＆C的每個(gè)請(qǐng)求的開(kāi)始，說(shuō)明了bot ID（突出顯示）

總共有16條指令，特洛伊木馬可以處理，盡管最后一條指令的編號(hào)是20.大多數(shù)指令涉及與被攻擊的計(jì)算機(jī)的文件系統(tǒng)的交互。此外，還有能力獲取有關(guān)打開(kāi)窗口的信息，調(diào)用任意API或獲取有關(guān)系統(tǒng)的簡(jiǎn)要信息。讓我們更詳細(xì)地研究一下這些，因?yàn)檫@個(gè)指令是先執(zhí)行的。

使用DNS隧道進(jìn)行C＆C通信

完整的C＆C指示清單

使用DNS隧道進(jìn)行C＆C通信

有關(guān)受感染計(jì)算機(jī)的信息，發(fā)送到C＆C

從上面的截圖可以看出，漫游器將計(jì)算機(jī)名稱和用戶名發(fā)送到C＆C，以及存儲(chǔ)在注冊(cè)表分支中的信息Software \\ INSUFFICIENT \\ INSUFFICIENT.INI：

最后一次執(zhí)行該指令的時(shí)間。 （如果第一次執(zhí)行，返回“GetSystemTimeAsFileTime”，并且設(shè)置變量BounceTime，其中寫入結(jié)果）;

UsageCount來(lái)自同一個(gè)注冊(cè)表分支。

還會(huì)發(fā)送有關(guān)操作系統(tǒng)和環(huán)境的信息。該信息是在NetWkstaGetInfo的幫助下獲得的。

數(shù)據(jù)使用zlib打包。

使用DNS隧道進(jìn)行C＆C通信

Base64加密之前的DNS響應(yīng)

響應(yīng)中的字段如下（只有紅色突出顯示的部分，數(shù)據(jù)和大小根據(jù)指令而有所不同）：

Bot ID;

以前的C＆C響應(yīng)的大小;

C＆C回應(yīng)中的第三個(gè)DWORD;

總是等于1作為回應(yīng);

GetTickCount（）;

指定字段后的數(shù)據(jù)大小;

響應(yīng)大小;

實(shí)際回應(yīng)

注冊(cè)階段完成后，木馬開(kāi)始以無(wú)限循環(huán)查詢C＆C。當(dāng)沒(méi)有發(fā)送指令時(shí)，通信看起來(lái)像一系列空的查詢和響應(yīng)。

使用DNS隧道進(jìn)行C＆C通信

發(fā)送到C＆C的空查詢的順序

由Backdoor.Win32.Denis使用的DNS隧道用于通信是非常罕見(jiàn)的，盡管不是唯一的。以前在某些POS木馬程序和某些APT中使用了類似的技術(shù)（例如PlugX系列中的Backdoor.Win32.Gulpix）。然而，這種DNS協(xié)議的使用在PC上是新的。我們假設(shè)這種方法可能會(huì)變得越來(lái)越受惡意軟件作者的歡迎。我們將密切關(guān)注今后如何在惡意程序中實(shí)施該方法。

以上就是關(guān)于有關(guān)pos機(jī)通信連接,使用DNS隧道進(jìn)行C&C通信的知識(shí)，后面我們會(huì)繼續(xù)為大家整理關(guān)于有關(guān)pos機(jī)通信連接的知識(shí)，希望能夠幫助到大家！