基于E-Mail的隐蔽控制:机理与防御

释放双眼,带上耳机,听听看~!

全机制进行了完善,目前普通的垃圾邮件或钓鱼邮件已经无法逃脱邮箱服务器的检测。针对以上问题,攻击者对基于邮箱的恶意活动的安全性也进行了如下改进。

3.1 信息加密

对于远程控制过程中命令的传递和窃取信息的回传进行加密。加密方式有对称加密和非对称加密。

在僵尸网络中,为保证信息传递的安全性,可以使用非对称加密,给每个被控主机不同的密钥,以保证在某些被控主机被劫持的情况下不暴露整个僵尸网络。

3.2 信息隐写

出于防止溯源、隐蔽网络规模和其他隐私信息的目的,攻击者需要对在邮件中夹带的信息进行保密,这时可以用到隐写技术。很多邮件中包含了文字、图片、链接等多种多样的表现形式,将需要被传递的信息隐藏在这些看似正常的信息中,也是一种保证信息安全性的做法。

3.3 垃圾邮件传送信息

当我们使用邮件传递控制命令或者恶意代码时,很容易被识别为垃圾邮件。利用这一点,我们可以把包含控制命令或恶意代码的邮件构造成垃圾邮件,被控端访问垃圾邮件所在文件夹,利用密钥或者匹配算法提取垃圾邮件中的有用信息。

四、防御手段

实现隐蔽远程控制需要经历两个阶段,第一个阶段是远程控制代码的传播,第二个阶段是命令与控制。

第一阶段的防护措施属于预防恶意代码的传播。恶意代码不是平白无故出现在主机中的,一定是利用某种传播手段进行扩散。了解恶意代码传播机理后应该知 道,要预防恶意代码进入主机,首先要开启防火墙服务,其次要经常更新系统发布的补丁,对于陌生邮件中给出的链接或附件,不要轻易点击。第二阶段的防护措施 属于恶意代码的控制。恶意代码入侵并进行隐蔽控制时,任务管理器的进程会有所体现,同时也可以利用各种检测软件和杀毒软件进行查杀。

检测建议:以邮箱作为C2服务器,主控端会由于大量接收和发送邮件产生明显异常,被控端定时询问邮箱服务器也会产生异常,在网络边缘和主机端抓包分析均可检测异常行为。

总结

无论是构建僵尸网络、传播恶意代码还是进行命令与控制,邮件都是一个很好的传播介质。我们在了解基于邮箱的远程控制的原理的基础上,还可以对攻击实施的合理性进行深入研究,明确攻击过程绕过传统检测采用的手段,对于保证自身信息安全和防御攻击都有极大的帮助。

 参考链接:

[1] Gcat,https://github.com/byt3bl33d3r/gcat

[2] https://mp.weixin.qq.com/s/R-Ok96U5Jb2aaybUfsQtDQ

相关文章

人已赞赏
安全教程

投递恶意lnk使用JwsclTerminalServer实现远程控制和信息获取

2020-2-13 22:12:08

安全教程

看我如何发现Bol.com网站的XXE漏洞并成功利用

2020-2-13 22:12:33

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
有新消息 消息中心
搜索