惡意軟件作者們一直在憑借自己天馬行空的想法，艱難地繞過(guò)安全研究人員的追蹤和檢測(cè)。

成都創(chuàng)新互聯(lián)專注于集美網(wǎng)站建設(shè)服務(wù)及定制，我們擁有豐富的企業(yè)做網(wǎng)站經(jīng)驗(yàn)。 熱誠(chéng)為您提供集美營(yíng)銷型網(wǎng)站建設(shè)，集美網(wǎng)站制作、集美網(wǎng)頁(yè)設(shè)計(jì)、集美網(wǎng)站官網(wǎng)定制、微信平臺(tái)小程序開發(fā)服務(wù)，打造集美網(wǎng)絡(luò)公司原創(chuàng)品牌,更為您提供集美網(wǎng)站排名全網(wǎng)營(yíng)銷落地服務(wù)。

Palo Alto Network公司就曾在兩個(gè)獨(dú)立無(wú)關(guān)的網(wǎng)絡(luò)間諜事件中，檢測(cè)到這樣的后門木馬樣本。研究人員表示，在這些樣本中他們發(fā)現(xiàn)黑客使用了一種有意思的新方法，以隱藏惡意軟件的C&C服務(wù)器地址。

CONFUCIUS惡意軟件的定位解決方案

一些低端的惡意軟件，可能會(huì)在源代碼里將C&C服務(wù)器的IP地址進(jìn)行硬編碼。高級(jí)點(diǎn)的則會(huì)使用動(dòng)態(tài)域名生成算法(DGA)，來(lái)隱藏C&C服務(wù)器的真實(shí)IP地址。

然而，我們這次要講的惡意軟件叫做CONFUCIUS(孔夫子)，它就沒(méi)有使用以上這兩種方法。研究人員表示，他們沒(méi)有發(fā)現(xiàn)惡意軟件源代碼里存在異常的域名/IP地址，也沒(méi)有在其中發(fā)現(xiàn)復(fù)雜的動(dòng)態(tài)域名生成算法。

然而，他們很快意識(shí)到，惡意軟件對(duì)應(yīng)的C&C服務(wù)器地址可能是通過(guò)合法網(wǎng)站進(jìn)行獲取的。

事實(shí)證明他們的猜測(cè)是對(duì)的，這兩個(gè)惡意軟件會(huì)向老牌的網(wǎng)站發(fā)起查詢，比如發(fā)送請(qǐng)求給雅虎和Quora(某著名問(wèn)答社區(qū))。

惡意軟件玩的密碼表游戲

研究人員表示，這兩個(gè)惡意樣本采用了不同的獲取方式。CONFUCIUS_A，也就是第一個(gè)樣本，它會(huì)訪問(wèn)雅虎或者Quora特定的某些頁(yè)面，然后試圖尋找兩個(gè)特定標(biāo)記/關(guān)鍵詞之間的內(nèi)容，這些內(nèi)容中會(huì)含有四個(gè)以上的單詞。

同時(shí)，研究人員似乎在源代碼里發(fā)現(xiàn)里一個(gè)密碼映射表。通過(guò)這張涵蓋了255個(gè)單詞的表，如果讓它們與1-255的數(shù)字對(duì)應(yīng)的話，是可以直接將相應(yīng)的單詞組合翻譯為IPV4地址的。

而第二個(gè)樣本CONFUCIUS_B，則使用了一個(gè)相似的策略。它們會(huì)嘗試用單詞去表示1-9，比如“l(fā)ove”代表0，“hate”代表9等等，最后按IPV4地址的每一位數(shù)字進(jìn)行翻譯。

網(wǎng)絡(luò)間諜活動(dòng)中的惡意軟件

Palo Alto的研究人員表示，這類用文字游戲去拼湊IP地址的法子，很可能是同一個(gè)或者同一批惡意軟件作者撰寫的后門。

CONFUCIUS_A的樣本是由Rapid7在2013年巴基斯坦官員被攻擊時(shí)發(fā)現(xiàn)的。這種攻擊手法被稱為SNEEPY，或者ByeByeShell，被攻擊者的數(shù)量在2014年初開始下降。

而CONFUCIUS_B樣本則是與Operation Patchwork和The Hangover Report有關(guān)，其針對(duì)的大多數(shù)是印度的鄰國(guó)。

研究這些網(wǎng)絡(luò)間諜事件的公司表示，這些攻擊很可能來(lái)自于印度的某股勢(shì)力。

當(dāng)前題目：玩出C&C服務(wù)器地址隱身的新花樣，看看這個(gè)惡意軟件怎么做的
網(wǎng)頁(yè)網(wǎng)址：http://uogjgqi.cn/article/coggopd.html