SSL通信和域前置

主宰稳场 提交于 2020-02-05 04:19:16

​​域前置是服务器支持的一种技术,大家可以把它看成是转发的技术。这种技术和SSL组合到一起检测的难度直接变高,恶意程序真正连接的C&C很难辨别。

恶意程序可以向一个高可信的域名发送请求,使用https协议向它发送请求,发送请求的时候把真正要访问的地址写到hosts里。
在这里插入图片描述

当恶意程序把这个数据发到了支持前置域名转发的域前置服务器上以后,这个服务器会根据hosts里填写的地址将请求进行转发。C&C的IP只有转发它的服务器才知道,这种技术给我们带来的最大困难就是没有办法检测。

在这里插入图片描述
上图程序向可信域名发起DNS请求

加密数据传输
在这里插入图片描述
样本分析过程
在这里插入图片描述

想知道C&C是什么我们在关键函数下一个断点,在堆栈里能看到它的hosts,红框是它真正的主机,这就是一个域前置。

要想发起一个网络的数据,可以不依赖任何的系统API(WindowsAPI实际上分两部分,一是应用层,二是内核层) 。

应用层API相当于是内核层这些函数的一个接口,它仅仅是一个接口做一些域处理,然后他通过sysenter中断指令直接调用内核函数。

通信实现方式总结

在这里插入图片描述

恶意程序使用这些流量层面的这些实践方法,它也是随着协议的发展而逐步演进。
在这里插入图片描述
​​​​

易学教程内所有资源均来自网络或用户发布的内容,如有违反法律规定的内容欢迎反馈
该文章没有解决你所遇到的问题?点击提问,说说你的问题,让更多的人一起探讨吧!