Bulutta botnet'ler nasıl ortaya çıkar?
Editörün Lei Feng.com'dan notu: Uzaktan kumandanın (RAT) uzun bir geçmişi vardır. Uzaktan kontrol, yalnızca uzaktan işbirliği yazılımı ekip görüntüleyici vb. gibi resmi amaçlar için değil, aynı zamanda CC saldırıları gibi yasa dışı faaliyetler için de kullanılabilir. Bugün Lei Feng.com, Baidu güvenlik ekibini (siyah) yasal olmayan (üretim) faaliyetler için kullanılan uzaktan kumandayı paylaşmaya davet etti.
Popüler bilim perspektifinden bu makale, bilgisayar odasının tam akışında botnet madenciliği yöntemini tanıtıyor. İlk olarak, tipik bir ana iletişim protokolü tanıtılır ve ardından ana bilgisayarın saldırı davranışı analiz edilir ve özetlenir. Ana iletişim protokolü ve ana saldırı özellikleri, botnet kanalı keşfi oluşturmanın temel taşlarıdır.
Bu makalenin yazarı: Baidu Güvenlik
Yerli uzaktan kumanda için "Tavuk Çiftliği" ve "Büyük Kötü Kurt" gibi gerçekçi isimlerden "Kamen Binicisi", "Altın At ve Demir At" ve diğer dövüş sanatları tarzına kadar çeşitli isimler vardır. isimler. Örnek kitaplığımızda bulunan "Xingtian", "Tianyu", "Heavenly Punishment", "Heavenly Tribulation" ve diğer uzaktan kumanda modelleri, geleneksel Çin kültürünün saygı duyduğu "" kelimesini içerdikleri için isimlerinde benzersizdir. böylece birleşiktirler ve "Tianzihao" olarak adlandırılırlar.
1. Uzaktan kumandanın tanıtılması
1.1 Uzaktan kumanda ailesi
"Orman yangını söndürülemez, ama bahar esintisi esiyor ve yeniden büyüyor", bu şiir uzaktan kumanda ailesini tanımlamak için tam olarak doğru.
Güvenlik ve çatışma oyunu devam ediyor ve uzaktan kumanda, çeşitli anti-yazılım üreticilerinin ortak çabaları altında hala hayatta kalabilir ve hatta başarılı olabilir; bu, siyah endüstri zincirinin siyah endüstri uygulayıcıları için çok cazip olduğunu gösterir. Kuşatma ve bastırmayı önlemek için, uzaktan kumanda programı da yükseltildi ve savaş alanını kademeli olarak genişletti. Broiler programı, öldürmekten kaçınmak için beyaz açıklardan yararlanır ve algılamak ve öldürmek için yumuşak aktif savunmayı kullanır ve PC'den Android platformuna uzaktan kumandanın geliştirilmesi, uzaktan kumandanın kademeli gelişiminin bir kanıtıdır.
Farklı nedenlerden dolayı, farklı master'lar iletişim protokolleri, sunucu tarafı çalışma mekanizmaları vb. açısından çok benzer olabilir. Bu benzer master'ları kolay analiz ve istatistik için bir aileye ayırıyoruz. Aynı ailedeki master'ların çoğu, master programlardan birinin varyantlarıdır.Algılamayı önlemek için talimat yapısını değiştirme, talimat kimliğini değiştirme ve şifreleme yöntemini değiştirme gibi yöntemler benimsenir. Uzaktan kumanda yazarlarının eşit olmayan kodlama düzeyi nedeniyle, bazı acemiler başkaları tarafından yazılan uzaktan kumanda kodunu değiştirecek ve bu da farklı uzaktan kumandaların aynı aileye ait olmasına neden olacaktır.
1.2 Yatay karşılaştırma
Her bir Tianzihao uzaktan kumandasını analiz ettik ve iletişim şifrelemesi, sistem izleme modülünün dahil olup olmadığı, DDos saldırı modülünün dahil olup olmadığı ve DDos saldırı türlerinin çeşitliliği dahil olmak üzere dört boyuttan yatay bir karşılaştırma yaptık.Ayrıntılar aşağıda gösterilmiştir. aşağıdaki tablo:
Analiz sırasında ilginç bir şey bulduk, "Tian Jie"nin iletişim protokolü "Xingtian"ınkiyle tamamen aynı ve aynı aileye ait ve işlem arayüzü oldukça benzer, bu gerçekten utanç verici. "Tian Jie" kayıt, oturum açma, şarj etme vb. gibi modülleri satılık olarak ekledi. Yazlık yolunda daha da ileri gidiyor. "Xingtian" geliştiricilerinin nasıl hissedeceğini hayal etmek imkansız.
"Xingtian" iletişim protokolü şifreli olmadığı için paket yakalama ve analizi için uygundur ve saldırı türleri nispeten zengindir, bu da geleneksel bilim popülerleştirmesi için daha uygundur.Bu nedenle, bu makale tipik bir örnek olarak "Xingtian"ı seçmektedir. Tianzihao'nun analizi için.
1.3 Test ortamı dağıtımı
"Xingtian" iletişim protokolünü analiz etme yöntemi nispeten basittir.Paket yakalama ve analizi için bir test ortamı oluşturmak için sanal bir makine kullanıyoruz.Bu şifrelenmemiş iletişim protokolü, tersine mühendislikte iyi olmayan öğrenciler için bir nimettir.
İntranette 2 windows 7 ve 1 Centos sanal makinesine dayalı basit bir test ortamı kurduk. Ana makine olarak bir Windows 7 sanal makinesi A, piliç olarak bir Windows 7 sanal makinesi B kullanılır ve bir test hedef makinesi olarak TCP ve UDP hizmetleriyle bir Centos sanal makinesi C kurulur. Dağıtım yapısı aşağıdaki şekilde gösterilmiştir:
Dağıtım sürecini vermek için örnek olarak "Xingtian" alıyoruz. İlk olarak, A'da bir piliç programı oluşturmak için Xingtian'ı kullanın:
Ardından, broiler programını B'de çalıştırın ve paketleri yakalamak için wireshark'ı başlatın. Bundan sonra B'yi A'da çevrimiçi olarak göreceğiz:
Ana kontrol arayüzünün altındaki işlevsel alan aracılığıyla saldırı bilgilerini ayarlayın:
C'de, TCP saldırısının hedefi olarak bir web hizmeti başlatmak için Python'un SimpleHTTPServer'ını kullanabiliriz.Bunun avantajı, TCP saldırısının saldırı yükünü bash kabuğunda görebilmemiz ve kullanmamızdır. > ve diğer yeniden yönlendirme saldırı yükleri. Tabii ki saldırı verilerini yakalamak için bir UDP servisi yazabiliriz.
2. İletişim protokolü
Bazı kişiler, birçok makalenin uzaktan kumandayı analiz ederken ağırlıklı olarak uzaktan kumanda tarafından oluşturulan sunucu tarafının çalışma mekanizmasına odaklandığını sorguluyor.Hiçbir iletişim protokolü yazılı görmedim.Siz bir holigansınız. Sunucunun çalışma mekanizmasını analiz etmenin önemli olduğunu itiraf etmeliyim ama benim bakış açım her zaman, sahne ne olursa olsun operasyonun bir holigan olduğu yönünde olmuştur. Uzaktan kontrol analizi kullanımımız, bulutun güvenlik durumunu anlamak ve kendimizi ve başkalarını tanımak için C2 kanallarını keşfetmek ve tam trafikte kötü niyetli ana bilgisayarları tespit etmek, tehdit istihbaratını zenginleştirmek içindir. Bu nedenle, çeşitli uzaktan kumanda ailelerinin iletişim protokollerine hakim olmak, yukarıdaki senaryolar için çok önemlidir.
Analizi makul ve iyi belgelenmiş hale getirmek için, ilk paket ve CC talimatlarından aşağıdakiler analiz edilecektir.
2.1 İlk paket
İlk paket, piliç tarafından ana kontrolöre ilk kez bağlandığında gönderilen veri paketini ifade eden çevrimiçi pakettir. İlk paketi aldıktan sonra, kaptan yeni YİD'nin çevrimiçi olduğunu ve kayıt gerektirdiğini düşünecektir. "Xingtian" uzaktan kumandası, ilk pakette işletim sistemi türü, bellek boyutu, CPU çekirdek sayısı, ana frekans, ağ bant genişliği ve diğer bilgileri içerecektir. Bu tür bilgiler, "Wrangler"ın görevleri yerine getirirken makine koşullarını dikkate alması için uygundur (örneğin, bir senkronizasyon sel saldırısı, win xp gibi bir kişisel bilgisayar yerine bir Windows sunucu sistemi gerektirir). Testte piliç çevrimiçi olarak yakalanan ilk paket aşağıdaki şekilde gösterilmektedir:
"Xingtian" uzaktan kumandanın ilk paketinin uzunluğu 184 Bayt'tır. Windows 7 ve Windows xp ortam testinde, ilk paketin sertifika işareti b00000007700000004080000'dir. İlk paketin yapısı aşağıdaki tabloda gösterilmiştir:
2.2 Saldırı Sınıflandırması
"Xingtian" DDoS işlevleri 5 kategoriye ayrılmıştır, her kategori birkaç alt bölüme ayrılmış işleve bölünmüştür ve sınıflandırma ayrıntıları aşağıdaki tabloda gösterilmektedir:
2.3 CC Direktifi
2.3.1 Saldırı Parametreleri
Piliç çevrimiçi olduktan sonra, ana denetleyicinin piliç için nasıl bir saldırı komutu verdiğiyle ilgileniyoruz. Saldırı parametrelerinin ayarlanması, DDoS tipi yöneticilerin gerekli bir işlevidir. Çeşitli DDoS ana yazılımlarını analiz ederek, saldırı parametreleri esas olarak şu alanları içerir: saldırı hedefi, hedef bağlantı noktası, süre, iş parçacığı sayısı, saldırı yöntemi vb.
2.3.2 Talimat yapısı
Xingtian Remote Control'ün komut yapısı nispeten basittir ve iki bölüme ayrılmıştır: komut tanımlama + komut yükü. Broiler programı, belirli görev türünü belirlemek için talimat tanımlayıcısını çıkarır ve talimat yüküne göre görev yükünü doldurur.
2.3.2.1 Talimat Kimliği
Komut parametresi uzunluk tanımlayıcısı ve komut sınıfı tanımlayıcısı, ağ bayt sırası yerine küçük endian modunu kullanan 4 baytlık tam sayılardır.
2.3.2.2 Komut yükü
DDoS saldırı parametrelerinin gerekli olup olmamasına göre, komut yüklerini iki kategoriye ayırıyoruz: DDoS saldırı komut yükleri ve DDoS olmayan saldırı komut yükleri. Saldırı sınıflandırmasına bakıldığında, toplu işlem kategorisi DDoS olmayan saldırı komut yüküne, kalan kategoriler ise DDoS saldırı komutu yüküne aittir.
Web sitesi test kategorisinde oyun modu, tam penetrasyon modu ve değişken parametre başlatma kimliği için genişletilmiş alt bölüm talimatlarının bulunacağına dikkat edilmelidir.Xingtianyuan Control, talimat yükünün yapısını birleştirmek için 8 baytlık uzantılar ekledi. farklı kategorilerle uyumlu olun. Her alt bölüm komutunu analiz ederek, aşağıdaki tabloda gösterildiği gibi DDoS saldırı komutu yük yapısını özetliyoruz:
"Diğer baytlar", saldırı hedefi ve özel saldırı yükü gibi parametreleri içerir ve uzunluğu, komut yükünün uzunluğu eksi 24 bayttır.
DDoS olmayan saldırı komut yükü yapısı nispeten basittir ve iki duruma ayrılabilir. İndirme adresi, açılır pencere adresi ve güncelleme adresi gibi 3 talimat için adres, yüktür. Kapatma, yeniden başlatma ve kaldırma gibi gerçek yük gerektirmeyen üç komut için 0x31 bayt ile doldurulur.
Her bir segment saldırısının paketlerini daha fazla analiz ederek, aşağıdaki tabloda segment talimat kimliklerini özetliyoruz:
2.3.3 CC talimat yapısının özeti
Yukarıdaki analiz sayesinde, "Xingtian" CC komut yapısını aşağıdaki gibi özetliyoruz:
Yukarıdakiler, ilk paket yapısı, CC komut yapısı vb. dahil olmak üzere "Xingtian" uzaktan kumandasının iletişim protokolüdür.
Ana kontrol iletişim protokolüne hakim olduktan sonra, tam akışta düz metin iletişim protokolünü kullanarak C2 kanal trafiğini yakalamak için eşleştirme yöntemlerini kullanabilir ve ardından piliç ve ana kontrolü kilitleyebilir ve tehdit istihbarat veritabanını zenginleştirebiliriz.
3. Saldırı Davranışı Analizi
Artık bilinen bir iletişim protokolüyle eşleşen trafiği yakalayabiliriz, ancak burada duramayız. İletişim protokolü eşleştirme yöntemi, bilinmeyen yöneticinin iletişim protokolünü algılama sorununu çözemez, bu nedenle saldırı sırasında broylerin davranış özelliklerini özetleyerek saldırı trafiğini tespit etmemiz gerekir. Saldırı trafiğinin analizi sırasında, broiler programının paket gönderme stratejisinin çok karakteristik ve iyi bir giriş noktası olduğunu gördük. Ana kontrolör paketi gönderdiğinde "Xingtian"ın eylem özelliklerini aşağıdaki gibi analiz ediyor ve özetliyoruz:
3.1 TCP paket gönderme stratejisi
3.2 UDP paket gönderme stratejisi
3.3 ICMP paket gönderme stratejisi
ICMP paket gönderme politikası, 4000 bayttan fazla yüke sahip ICMP paketleri göndermeye devam edecektir.
3.4 Davranış Analizi Özeti
Önceki senaryolarla birleştiğinde piliç programının paket gönderme stratejisini analiz etmek aslında D ile mücadele etme amacımız değil. Amacımız çıkış trafiğindeki şüpheli trafiği paket gönderme stratejisine göre filtrelemek ve ardından şüpheli ana bilgisayarları bulutta kilitlemek. .
Ana denetleyicinin paket gönderme stratejisine aşina olmak, kuralları özetlemeye, yöntemler oluşturmaya ve bulut ana bilgisayarının trafiğinden gelen şüpheli trafiği zamanında algılamaya yardımcı olur. Bu, bilinmeyen ana ailelerin iletişim protokollerini tespit etmede büyük bir yardımcıdır.
Bu makale Baidu Security tarafından sağlanmıştır ve Lei Feng.com tarafından düzenlenmiştir.
