雷鋒網編者按：遠控(RAT)的歷史源遠流長，"文能提筆安天下，武能馬上定乾坤"。遠控既能用于正規(guī)用途比如遠程協(xié)作軟件teamviewer等，亦能用于非法活動比如C&C攻擊。而今天雷鋒網邀請百度安全團隊分享的的就是用于非(黑)法(產)活動的遠控。

本文從科普的角度出發(fā)介紹了在機房全流量中挖掘僵尸網絡的方法。首先介紹了一種典型的主控通信協(xié)議,然后對主控的攻擊行為做了分析總結。主控通信協(xié)議與主控攻擊特點是建立僵尸網絡信道發(fā)現(xiàn)的基石。

本文作者：百度安全 

國內遠控命名五花八門，既有"養(yǎng)雞場"、"大灰狼"等接地氣的名字，也有"假面騎士"、"金戈鐵馬"等頗具武俠風的名字。在我們的樣本庫中，"刑天"、"天羽"、"天罰"、"天劫"等幾款遠控用名字做到獨樹一幟，因為包含了中國傳統(tǒng)文化推崇的"天"字，故統(tǒng)一命名為"天字號"。

一、遠控介紹

1.1 遠控家族

"野火燒不盡，春風吹又生"，這句詩形容遠控家族正合適。

安全的博弈與對抗經久不息，遠控在各種殺軟廠商的合力圍剿下仍然能夠存活甚至繁衍生息，說明黑色產業(yè)鏈對黑產從業(yè)者誘惑之大。為了躲避圍剿,遠控程序也一直在升級換代，并逐步擴大戰(zhàn)場。肉雞程序利用白利用躲避殺軟主動防御查殺，遠控由PC發(fā)展到安卓平臺,都是遠控在逐步發(fā)展的印證。

出于不同的原因，不同的主控可能在通信協(xié)議、Server端運行機制等方面極其相似，我們將這些相似的主控劃作一個家族,方便分析和統(tǒng)計。同家族的主控大多是其中一個主控程序的變種，為了躲避檢測會采取修改指令結構、變化指令ID、更換加密方法等手段。由于遠控作者的編碼水平參差不齊，有的新手會簡單修改他人寫好的遠控代碼，這樣也會造成不同遠控隸屬同一家族的情況。

1.2 橫向對比

我們對每個天字號遠控均做了分析，從通信加密、是否包含系統(tǒng)監(jiān)控模塊、是否包含DDos攻擊模塊、DDos攻擊類型的多樣性等四個緯度進行橫向對比，詳情如下表所示：

 

分析時我們發(fā)現(xiàn)一件有意思的事情，"天劫"的通信協(xié)議與"刑天"完全相同隸屬于同一家族并且操作界面高度相似，這著實令人尷尬。"天劫"增加了注冊登錄充值等模塊用于售賣， 在山寨的道路上越走越遠，無法想象"刑天"的開發(fā)者會是怎樣的心情。

由于"刑天"的通信協(xié)議沒有加密便于抓包分析并且攻擊類型比較豐富，比較適合進行常規(guī)的科普，所以本文選擇"刑天"作為天字號的典型拿出來分析。

1.3 測試環(huán)境部署

分析"刑天"的通信協(xié)議方法比較簡單，我們使用虛擬機搭建測試環(huán)境進行抓包分析，這種未加密通信協(xié)議的情況對于對不擅長逆向的同學來說是種福音。

我們在內網中使用2臺windows 7 、1臺Centos虛擬機為基礎部署了簡單的測試環(huán)境。一臺Windows 7虛擬機A用作主控端，一臺Windows 7虛擬機B用作肉雞，而Centos虛擬機C架設TCP、UDP服務用作測試靶機。部署結構如下圖所示：

 

我們以"刑天"為例給出部署過程。首先在A中使用刑天生成肉雞程序：

 

然后在B中運行肉雞程序，并開啟wireshark抓取數(shù)據(jù)包。之后我們在A中會看到B上線：

 

通過主控界面下方的功能區(qū)設定攻擊信息：

 

在 C 中我們可以簡單的使用 Python 的 SimpleHTTPServer 啟動一個 Web 服務作為 TCP 攻擊的目標,這樣做的好處是可以在 bash shell 中看到 TCP 攻擊的攻擊載荷并使用>&等重定向攻擊載荷。當然我們完全可以寫一個 UDP 服務來捕獲攻擊數(shù)據(jù)。

二、通信協(xié)議

有人質疑說許多文章在分析遠控時主要針對遠控生成的 server 端的運行機制，沒見過寫通信協(xié)議的，你這屬于耍流氓。不得不承認，分析 server 的運行機制固然重要，但是我的觀點歷來是不分場景的操作都是耍流氓。我們對遠控分析的利用場景是在全流量中發(fā)現(xiàn)C2 信道以及檢出惡意主機，豐富威脅情報，從而對云的安全態(tài)勢做到了然于胸、知己知彼。因此，掌握各種遠控家族的通信協(xié)議對于上面的場景來說至(jing)關(shuo)重(fei)要(hua)。

為了分析的有理有據(jù)有節(jié)，下面分別從首包與C&C指令兩方面來分析。

2.1 首包

首包即上線包，指肉雞第一次連接主控時發(fā)送的數(shù)據(jù)包，可以理解為肉雞向主控表明自身存在并要求注冊的一道憑據(jù)。主控在收到首包后會認為新的 BOT 上線并要求注冊。"刑天"遠控會在首包附帶操作系統(tǒng)類型、內存大小、CPU 核心數(shù)及主頻、網絡帶寬等信息。這樣的信息方便"牧馬人"在進行任務下發(fā)時對機器條件的考量(比如sync flood攻擊需要windows server系統(tǒng)而不能是win xp等個人pc)。在測試中抓取肉雞上線的首包如下圖所示：

"刑天"遠控的首包長度為184Bytes， 在 windows 7與 window xp 環(huán)境測試中首包的認證標識為 b00000007700000004080000，首包結構如下表所示：

   

2.2 攻擊分類

"刑天"DDoS功能分為5大類，每個大類分為若干細分功能，分類細節(jié)如下表所示：

2.3 C&C指令

2.3.1 攻擊參數(shù)

在肉雞上線之后，我們關心的是主控如何給肉雞下發(fā)攻擊命令。設定攻擊參數(shù)是DDoS型主控必要的功能。通過分析多款DDoS主控，攻擊參數(shù)主要包括以下字段：攻擊目標、目標端口、持續(xù)時間、線程數(shù)量、攻擊方式等。

2.3.2 指令結構

刑天遠控指令結構比較簡單，分為兩個部分：指令標識 + 指令載荷。肉雞程序提取指令標識確定具體的任務類型，根據(jù)指令載荷填充任務載荷。

2.3.2.1 指令標識

指令參數(shù)長度標識與指令大類標識均為 4 字節(jié)整形，采用小端模式而非網絡字節(jié)序。

2.3.2.2 指令載荷

根據(jù)是否需要DDoS攻擊參數(shù)，我們將指令載荷分為兩類：DDoS攻擊指令載荷、非DDoS攻擊指令載荷。參照攻擊分類，批量操作大類屬于非 DDoS攻擊指令載荷，剩余大類均屬于DDoS攻擊指令載荷。

需要注意的是，在網站測試大類中會出現(xiàn)針對游戲方式、完全穿透方式、變參的起始 ID 等擴展細分指令,刑天遠控為了統(tǒng)一指令載荷的結構加入了 8 字節(jié)的擴展字段以兼容不同大類。通過分析每個細分指令，我們總結DDoS攻擊指令載荷結構如下表所示：

“其它字節(jié)”包含了攻擊目標、自定義攻擊載荷之類的參數(shù)，其長度為指令載荷長度減去 24 字節(jié)。

非DDoS攻擊指令載荷結構相對簡單，分為兩種情況。對于下載下載地址、彈窗地址、更新地址等3個指令,地址就是載荷。而對于關機、重啟、卸載等3個不需要實際載荷的指令，用0x31字節(jié)填充。

通過進一步分析每種細分攻擊的數(shù)據(jù)包，我們總結了細分指令ID如下表：

 

2.3.3 C&C指令結構匯總

通過上述分析，我們匯總"刑天"C&C指令結構如下：

 以上就是"刑天"遠控的通信協(xié)議，包括首包結構、C&C指令結構等。

在掌握了主控通信協(xié)議的情況下，我們就可以用匹配的方法在全流量中抓取使用了明文通信協(xié)議的C2信道流量，進而鎖定肉雞及主控并豐富威脅情報庫。

三、攻擊行為分析

現(xiàn)在我們可以用已知通信協(xié)議捕獲匹配流量，但是不能止步于此。通信協(xié)議匹配的方法無法解決感知未知主控通信協(xié)議的問題，因此我們需要通過總結肉雞在攻擊時的行為特征來檢出攻擊流量。在攻擊流量分析過程中，我們發(fā)現(xiàn)肉雞程序的發(fā)包策略很有特點，是一個很好的切入點。我們分析總結了"刑天"主控發(fā)包時的動作特點,如下所示：

3.1 TCP發(fā)包策略

3.2 UDP發(fā)包策略

3.3 ICMP發(fā)包策略

ICMP發(fā)包策略會持續(xù)發(fā)送載荷超過4000字節(jié)的ICMP數(shù)據(jù)包。

3.4 行為分析總結

結合之前的場景，分析肉雞程序的發(fā)包策略實際上并不是我們要做抗D，我們的目的是根據(jù)發(fā)包策略篩選出口流量中的可疑流量進而鎖定云中的可疑主機。

熟悉主控的發(fā)包策略有助于總結規(guī)律、形成方法，從云主機的流量中及時發(fā)現(xiàn)可疑流量。這對探測未知主控家族的通信協(xié)議是一個很大的幫助。

本文由百度安全投稿，雷鋒網編輯。

雷峰網原創(chuàng)文章，未經授權禁止轉載。詳情見轉載須知。