全機制進行了完善,目前普通的垃圾郵件或釣魚郵件已經無法逃脫郵箱服務器的檢測。針對以上問題,攻擊者對基於郵箱的惡意活動的安全性也進行了如下改進。
3.1 信息加密
對於遠程控制過程中命令的傳遞和竊取信息的回傳進行加密。加密方式有對稱加密和非對稱加密。
在殭屍網絡中,爲保證信息傳遞的安全性,可以使用非對稱加密,給每個被控主機不同的密鑰,以保證在某些被控主機被劫持的情況下不暴露整個殭屍網絡。
3.2 信息隱寫
出於防止溯源、隱蔽網絡規模和其他隱私信息的目的,攻擊者需要對在郵件中夾帶的信息進行保密,這時可以用到隱寫技術。很多郵件中包含了文字、圖片、鏈接等多種多樣的表現形式,將需要被傳遞的信息隱藏在這些看似正常的信息中,也是一種保證信息安全性的做法。
3.3 垃圾郵件傳送信息
當我們使用郵件傳遞控制命令或者惡意代碼時,很容易被識別爲垃圾郵件。利用這一點,我們可以把包含控制命令或惡意代碼的郵件構造成垃圾郵件,被控端訪問垃圾郵件所在文件夾,利用密鑰或者匹配算法提取垃圾郵件中的有用信息。
四、防禦手段
實現隱蔽遠程控制需要經歷兩個階段,第一個階段是遠程控制代碼的傳播,第二個階段是命令與控制。
第一階段的防護措施屬於預防惡意代碼的傳播。惡意代碼不是平白無故出現在主機中的,一定是利用某種傳播手段進行擴散。瞭解惡意代碼傳播機理後應該知 道,要預防惡意代碼進入主機,首先要開啓防火牆服務,其次要經常更新系統發佈的補丁,對於陌生郵件中給出的鏈接或附件,不要輕易點擊。第二階段的防護措施 屬於惡意代碼的控制。惡意代碼入侵併進行隱蔽控制時,任務管理器的進程會有所體現,同時也可以利用各種檢測軟件和殺毒軟件進行查殺。
檢測建議:以郵箱作爲C2服務器,主控端會由於大量接收和發送郵件產生明顯異常,被控端定時詢問郵箱服務器也會產生異常,在網絡邊緣和主機端抓包分析均可檢測異常行爲。
總結
無論是構建殭屍網絡、傳播惡意代碼還是進行命令與控制,郵件都是一個很好的傳播介質。我們在瞭解基於郵箱的遠程控制的原理的基礎上,還可以對攻擊實施的合理性進行深入研究,明確攻擊過程繞過傳統檢測採用的手段,對於保證自身信息安全和防禦攻擊都有極大的幫助。
參考鏈接:
[1] Gcat,https://github.com/byt3bl33d3r/gcat