全机制进行了完善,目前普通的垃圾邮件或钓鱼邮件已经无法逃脱邮箱服务器的检测。针对以上问题,攻击者对基于邮箱的恶意活动的安全性也进行了如下改进。
3.1 信息加密
对于远程控制过程中命令的传递和窃取信息的回传进行加密。加密方式有对称加密和非对称加密。
在僵尸网络中,为保证信息传递的安全性,可以使用非对称加密,给每个被控主机不同的密钥,以保证在某些被控主机被劫持的情况下不暴露整个僵尸网络。
3.2 信息隐写
出于防止溯源、隐蔽网络规模和其他隐私信息的目的,攻击者需要对在邮件中夹带的信息进行保密,这时可以用到隐写技术。很多邮件中包含了文字、图片、链接等多种多样的表现形式,将需要被传递的信息隐藏在这些看似正常的信息中,也是一种保证信息安全性的做法。
3.3 垃圾邮件传送信息
当我们使用邮件传递控制命令或者恶意代码时,很容易被识别为垃圾邮件。利用这一点,我们可以把包含控制命令或恶意代码的邮件构造成垃圾邮件,被控端访问垃圾邮件所在文件夹,利用密钥或者匹配算法提取垃圾邮件中的有用信息。
四、防御手段
实现隐蔽远程控制需要经历两个阶段,第一个阶段是远程控制代码的传播,第二个阶段是命令与控制。
第一阶段的防护措施属于预防恶意代码的传播。恶意代码不是平白无故出现在主机中的,一定是利用某种传播手段进行扩散。了解恶意代码传播机理后应该知 道,要预防恶意代码进入主机,首先要开启防火墙服务,其次要经常更新系统发布的补丁,对于陌生邮件中给出的链接或附件,不要轻易点击。第二阶段的防护措施 属于恶意代码的控制。恶意代码入侵并进行隐蔽控制时,任务管理器的进程会有所体现,同时也可以利用各种检测软件和杀毒软件进行查杀。
检测建议:以邮箱作为C2服务器,主控端会由于大量接收和发送邮件产生明显异常,被控端定时询问邮箱服务器也会产生异常,在网络边缘和主机端抓包分析均可检测异常行为。
总结
无论是构建僵尸网络、传播恶意代码还是进行命令与控制,邮件都是一个很好的传播介质。我们在了解基于邮箱的远程控制的原理的基础上,还可以对攻击实施的合理性进行深入研究,明确攻击过程绕过传统检测采用的手段,对于保证自身信息安全和防御攻击都有极大的帮助。
参考链接:
[1] Gcat,https://github.com/byt3bl33d3r/gcat