域前置是服務器支持的一種技術,大家可以把它看成是轉發的技術。這種技術和SSL組合到一起檢測的難度直接變高,惡意程序真正連接的C&C很難辨別。
惡意程序可以向一個高可信的域名發送請求,使用https協議向它發送請求,發送請求的時候把真正要訪問的地址寫到hosts裏。
當惡意程序把這個數據發到了支持前置域名轉發的域前置服務器上以後,這個服務器會根據hosts裏填寫的地址將請求進行轉發。C&C的IP只有轉發它的服務器才知道,這種技術給我們帶來的最大困難就是沒有辦法檢測。
上圖程序向可信域名發起DNS請求
加密數據傳輸
樣本分析過程
想知道C&C是什麼我們在關鍵函數下一個斷點,在堆棧裏能看到它的hosts,紅框是它真正的主機,這就是一個域前置。
要想發起一個網絡的數據,可以不依賴任何的系統API(WindowsAPI實際上分兩部分,一是應用層,二是內核層) 。
應用層API相當於是內核層這些函數的一個接口,它僅僅是一個接口做一些域處理,然後他通過sysenter中斷指令直接調用內核函數。
通信實現方式總結
惡意程序使用這些流量層面的這些實踐方法,它也是隨着協議的發展而逐步演進。
