安全分析与研究
专注于全球恶意软件的分析与研究
前言
TeaPot是一款简单又高端的安全辅助工具,它可以有效应用于内 攻击监测、黑客身份溯源、主机病毒防范、上 行为管理,可有效提升攻防演练对抗、勒索病毒预警和尖端APT对抗能力。我们采用全球领先的设计理念,致力于净化 络环境,给不懂 络安全的人以专业指导,推动专业的人体现自己的价值,不管你是个人、企业、单位甚至 络安全专业人员,欢迎出谋划策共同参与打造我国 络安全“蜜 ”!
为服务近期需求,本次教程介绍使用TeaPot快速检测软件中可能存在的后门。
恶意后门监测原理
软件后门形式和触发方法多样,比较常见的是软件启动后访问控制者的服务器回传或下载数据。根据这个原理,我们可以使用TeaPot的DNS监听功能检查软件中是否可能有恶意后门。
软件具体操作方法
我们找到一份黑客传播的所谓RDP漏洞利用工具,工具启动后会从恶意 址下载木马程序,不少人中招。我们把这个软件分析下,看怎么找到后门地址。
01
主机配置
将分析用的虚拟机DNS设置为本机,备用DNS设为114,如下:
02
后门捕获
启动软件:
这时候会看到本机对外连接的所有域名,比如随便登陆个 站,或者控制台ping个域名都可以在日志中显示出来。然后启动需要分析的软件,马上可以看到出现可疑域名:
可以看到软件启动后连接了一个域名:
www[.]symanteclabs[.]com
情 研判
根据威胁情 研判,该域名疑似为APT41黑客组织使用:
注意事项
软件后门有很多形式,比如有的捕获到关键数据后才会触发,有的通过IP地址直接通讯,有的并不直接对外发数据。TeaPot只是用于捕获使用域名通讯的软件后门,并不能发现所有软件后门,如果你有这方面样例或线索,欢迎与我们分享。
尾声
为进一步加快软件研发进度,接受 会监督,更好服务 会,我们诚邀各 络安全同仁,共同参与项目研发和测试。鉴于所有开发、测试人员都基于对安全事业的热爱,无偿提供自己的资源、能力和时间,在此我们对他们表示真诚的感谢!希望大家尽量容忍软件中存在的各种不便或问题。同时欢迎各位安全同仁参与软件研发、资源共享,欢迎各位联系提供意见建议。
感谢南京大学马老师提供样本并协助分析。
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!