玩出C&C服务器地址隐身的新花样，看看这个恶意软件怎么做的

恶意软件作者们一直在凭借自己天马行空的想法，艰难地绕过安全研究人员的追踪和检测。

成都创新互联专注于集美网站建设服务及定制，我们拥有丰富的企业做网站经验。热诚为您提供集美营销型网站建设，集美网站制作、集美网页设计、集美网站官网定制、微信平台小程序开发服务，打造集美网络公司原创品牌,更为您提供集美网站排名全网营销落地服务。

Palo Alto Network公司就曾在两个独立无关的网络间谍事件中，检测到这样的后门木马样本。研究人员表示，在这些样本中他们发现黑客使用了一种有意思的新方法，以隐藏恶意软件的C&C服务器地址。

CONFUCIUS恶意软件的定位解决方案

一些低端的恶意软件，可能会在源代码里将C&C服务器的IP地址进行硬编码。高级点的则会使用动态域名生成算法(DGA)，来隐藏C&C服务器的真实IP地址。

然而，我们这次要讲的恶意软件叫做CONFUCIUS(孔夫子)，它就没有使用以上这两种方法。研究人员表示，他们没有发现恶意软件源代码里存在异常的域名/IP地址，也没有在其中发现复杂的动态域名生成算法。

然而，他们很快意识到，恶意软件对应的C&C服务器地址可能是通过合法网站进行获取的。

事实证明他们的猜测是对的，这两个恶意软件会向老牌的网站发起查询，比如发送请求给雅虎和Quora(某著名问答社区)。

恶意软件玩的密码表游戏

研究人员表示，这两个恶意样本采用了不同的获取方式。CONFUCIUS_A，也就是第一个样本，它会访问雅虎或者Quora特定的某些页面，然后试图寻找两个特定标记/关键词之间的内容，这些内容中会含有四个以上的单词。

同时，研究人员似乎在源代码里发现里一个密码映射表。通过这张涵盖了255个单词的表，如果让它们与1-255的数字对应的话，是可以直接将相应的单词组合翻译为IPV4地址的。

而第二个样本CONFUCIUS_B，则使用了一个相似的策略。它们会尝试用单词去表示1-9，比如“love”代表0，“hate”代表9等等，最后按IPV4地址的每一位数字进行翻译。

网络间谍活动中的恶意软件

Palo Alto的研究人员表示，这类用文字游戏去拼凑IP地址的法子，很可能是同一个或者同一批恶意软件作者撰写的后门。

CONFUCIUS_A的样本是由Rapid7在2013年巴基斯坦官员被攻击时发现的。这种攻击手法被称为SNEEPY，或者ByeByeShell，被攻击者的数量在2014年初开始下降。

而CONFUCIUS_B样本则是与Operation Patchwork和The Hangover Report有关，其针对的大多数是印度的邻国。

研究这些网络间谍事件的公司表示，这些攻击很可能来自于印度的某股势力。

网站建设、网络推广公司-快上网，是专注品牌与效果的网站制作，网络营销seo公司；服务项目有等

声明：本网站发布的内容（图片、视频和文字）以用户投稿、用户转载内容为主，如果涉及侵权请尽快告知，我们将会在第一时间删除。文章观点不代表本网站立场，如需处理请联系客服。电话：028-86922220；邮箱：631063699@qq.com。内容未经允许不得转载，或转载时需注明来源：快上网

成都快上网为您推荐相关内容