لى فنغ شبكة ملاحظة المحرر: التحكم عن بعد (RAT) تاريخ طويل، "ون ان تلتقط الهدوء القلم، يمكن وو التحركات على الفور." التحكم عن بعد مثل برنامج TeamViewer عن بعد برنامج التعاون على حد سواء للاستخدام المنهجي، وما إلى ذلك، يمكن أن تستخدم أيضا لأنشطة غير مشروعة مثل الهجمات C & C. اليوم لى فنغ فريق أمن الشبكات دعوة يستخدم حصة بايدو لغير (إنتاج) النشاط (أسود) قانون جهاز التحكم عن بعد.

من وجهة نظر العلم يصف طريقة التعدين الروبوتات في التدفق الكامل في غرفة المحركات. نموذجي لأول مرة على بروتوكول الاتصالات الرئيسي، ومن ثم يهاجم المضيف للقيام ملخص التحليل. بروتوكول اتصال رئيسية مع الهجوم المضيف قناة الروبوتات حجر الزاوية يتميز تم العثور عليها.

الكاتب: بايدو الأمن

الداخلية التحكم المسمى النائية متنوعة، سواء اسم "مزرعة الدجاج"، "بيغ باد وولف" والغاز البرية الأخرى، ولكن أيضا "كامين رايدر"، "الفرسان المدرعة" وغيرها من أسلوب فنون الدفاع عن النفس اسم حد ما. في عينة قاعدة البيانات الخاصة بنا، "شينغ تيان"، "تيانيو"، "لعنة"، "مأساة" وحتى لا عدة للتحكم عن بعد مع اسم فريد، لأنه يحتوي على كلمة "يوم" الثقافة التقليدية الصينية تحترم، لذلك وحدة وطنية المسمى "حجم الخط اليوم."

أولا، وضعت جهاز التحكم عن بعد

1.1 الأسرة التحكم عن بعد

"النار في الهشيم، في الربيع،" هذه القصيدة لوصف العائلة التحكم عن بعد مجرد حق.

لفترات طويلة لعبة المواجهة مع الأمن، والتحكم عن بعد لا تزال قادرة على البقاء على قيد الحياة وحتى تزدهر تحت الحصار بين مختلف البائعين مكافحة الفيروسات، مما يدل على كبير الممارسين سلسلة سوداء لإنتاج إغراء الأسود. من أجل تطويق تجنب، كما تم ترقية برامج التحكم عن بعد، وتوسيع تدريجيا في ساحة المعركة. برنامج يستخدم البيض اللاحم تجنب استخدام القتل لينة القتل الدفاع النشط، جهاز التحكم عن بعد من جهاز الكمبيوتر إلى تطوير منصة أندرويد، وأكد للتحكم عن بعد في سياق التطور التدريجي.

لأسباب مختلفة، قد تكون رئيسية مختلفة مشابهة جدا من حيث بروتوكول الاتصالات، من جانب الخادم آلية عملية، مماثلة لتلك التي سوف إتقان خطة لأسرة، لتسهيل التحليل والإحصاء. ومعظم من عائلة واحدة، حيث الرئيسي هو البديل من برنامج التحكم الرئيسية، من أجل الكشف عن تجنب تولي قيادة هيكل تعديل، تغيير معرف الأمر، طريقة التشفير ليحل محل وسائل أخرى. بسبب يختلف رمز التحكم عن بعد، وبعض القادمين الجدد ببساطة تعديل يتم كتابة رمز التحكم عن بعد للآخرين، فإنه سيؤدي أيضا في ظروف مختلفة تماما تحت سيطرة عائلة واحدة.

1.2 مقارنة الجانبية

وقد فعلنا كل يوم التحكم عن بعد تحليل الخط من الاتصالات المشفرة، والنظام يحتوي على وحدة الرصد، وحدة تحتوي دوس الهجوم، أربعة أنواع من دوس تنوع خطوط العرض الهجوم ضد التفاصيل مماثلة في الجدول التالي:

عندما التحليل، وجدنا أمرا مثيرا للاهتمام، "مأساة" بروتوكول الاتصال و "شينغ تيان" بالضبط تنتمي إلى عائلة واحدة واجهة المستخدم متشابهة إلى حد كبير، وهو ما سبب حرجا حقا. "مأساة" لزيادة وحدات تسجيل الدخول التغذية المسجلة للبيع، أبعد وأبعد على الطريق إلى الكوخ، لا يمكن أن نتصور، "شينغ تيان" من المطورين سيكون أي نوع من المزاج.

منذ "زينغ تيان" بروتوكول الاتصال غير مشفرة التقاط حزم وتسهيل نوع غنية من الهجوم، وأكثر ملاءمة للعلوم التقليدية، وبالتالي هذا الاختيار "زينغ تيان" حجم الخط كيوم نموذجي من التحليل.

نشر بيئة 1.3 اختبار

تحليل بروتوكول الاتصال "شينغ تيان" بسيط نسبيا، ونحن نستخدم مجموعة الجهاز الظاهري تصل تحليل التقاط حزم بيئة اختبار، لا يتم تشفير هذا الوضع بروتوكولات الاتصال ليست جيدة لطلاب العكس هو نوع من الإنجيل.

نحن إنترانت استخدام اثنين من ويندوز 7، 1 الجدول سينت أو إس افتراضية نشر آلة بيئة اختبار بسيط للمؤسسة. ويستخدم ويندوز 7 الجهاز الظاهري A كسيد، ويندوز 7 الجهاز الظاهري كما الفراريج B، C و CentOS مجموعة الجهاز الظاهري يصل TCP، UDP الخدمة كما طائرة بدون طيار اختبار الهدف. التكوين للنشر كما هو مبين أدناه:

نحن "شينغ تيان" كمثال وردت في عملية النشر. يتم إنشاء البرنامج لأول مرة باستخدام أيام اللاحم مجرم:

ثم برنامج تشغيل الفراريج في B، ويريشارك مفتوحة جلب الحزم. ثم سوف نرى في خط B في A:

من الشريط أدناه المعلومات واجهة إعداد هجوم الرئيسية:

في C، يمكننا ببساطة استخدام SimpleHTTPServer بايثون بدء خدمة ويب بأنه هجوم TCP جهة، والفوائد في عمل ذلك الهجوم TCP يمكن أن ينظر في الحمل باش قذيفة الهجوم واستخدام > والهجمات توجيه والأحمال الأخرى. بالطبع، يمكن أن نكتب هجوم خدمة UDP لالتقاط البيانات.

الثاني، بروتوكول الاتصال

تساءل بعض الناس قالوا أن العديد من المقالات التي تركز على آلية للتحكم عن بعد للتحكم عن بعد ولدت من جانب الخادم في وقت التحليل، لم أر بروتوكولات الاتصال المكتوبة، التي تنتمي إليها هذه البلطجة. يجب أن أعترف، تحليل ملقم نظام التشغيل هو المهم، ولكن كانت وجهة نظري دائما مسرحا للعمليات، بغض النظر عن البلطجة. نحن نستخدم تحليل سيناريو بعيد C2 قناة التحكم وجدت في التدفق الكامل وكذلك كشف الجنود الخبيثة، التهديد المخابرات الغنية، والوضع الأمني من أجل تحقيق مكاسب سحابة، لنعرف أنفسنا. وهكذا، ومختلف سيد التحكم عن بعد الأسرة بروتوكول الاتصال من أجل السيناريو أعلاه هو (جينغ) إيقاف (شو) الوزن (FEI) إلى (هوا).

من أجل تحليل التعبير مسبب، الحزم تحليل التالية من كلا التعليمة الأولى وC & C، على التوالي.

2.1 حزمة

أي حزمة على الانترنت من الحزمة الأولى ووسائل نقل حزم اللاحم أول اتصال الرئيسي، يمكن فهم سيد كما الفراريج وتعبر عن نفسها في وجود أوراق التسجيل المطلوبة. سوف الرئيسي بعد تلقي الحزمة الأولى يعتقدون أن BOT الجديد يتطلب الانترنت والتسجيل. وسيتم شحن "شينغ تيان" التحكم عن بعد مع نوع نظام التشغيل، وحجم الذاكرة، وحدة المعالجة المركزية النوى والسرعة على مدار الساعة، عرض النطاق الترددي الشبكة وغيرها من المعلومات في الحزمة الأولى. هذه الراحة المعلومات "رانجلر" عندما صدرت خلال النظر في شروط آلة المهام (مثل الهجوم تزامن الفيضانات يتطلب نظام يندوز سيرفر وليس لغيرها من الفوز شخصي الكمبيوتر إكس بي). تجتاح الفراريج في اختبار الخط هو مبين في الحزمة الأولى في الشكل التالي:

"زينغ تيان" التحكم عن بعد طول حزمة من 184Bytes أولا، نافذة إكس بي وويندوز 7 في بيئة اختبار للمرة الأولى b00000007700000004080000 ID المصادقة الحزمة، وبنية حزمة الأول هو مبين في الجدول التالي:

2.2 هجوم تصنيف

وتنقسم "زينغ تيان" دوس وظائف في خمس فئات، يتم تقسيم كل فئة إلى عدد وافر من ميزة تقسيم تفاصيل تصنيف كما هو مبين أدناه:

2.3 C & C القيادة

2.3.1 المعلمات هجوم

بعد خط الدجاج وشغلنا الشاغل هو كيفية إرسال الأوامر للهجوم تحت اللاحم. هجوم دوس هو نوع المعلمة وضع سيد الوظائف اللازمة. من خلال تحليل مجموعة متنوعة من دوس رئيسية، تشمل المعلمات هجوم المجالات التالية: الهدف، منفذ الهدف والمدة وعدد من المواضيع، وغيرها من الهجمات.

2.3.2 هيكل القيادة

زينغ تيان هيكل قيادة جهاز التحكم عن بعد هو بسيط نسبيا، وينقسم إلى قسمين: تحديد تعليمات تعليمات + تحميل. برنامج اللاحم جلب تعليمات لتحديد هوية محددة من هذا النوع من المهام، تحميل شغل في الحمولة وفقا للتعليمات.

2.3.2.1 تحديد التعليمات

المعرف تعليمات وطول المعلمات 4 بايت الأمر فئات تشكيل المعرف، بدلا من الشبكة باستخدام ترتيب البايت endian قليلا.

2.3.2.2 تحميل تعليم

هجمات DDoS اعتمادا على ما إذا المعلمات، ونحن سوف تحميل تعليمات تنقسم الى فئتين: دوس تهاجم تحميل الأوامر، غير الحمل هجمات DDoS التعليمات. في اشارة الى الهجوم فئات التصنيف وغير دفعة دوس تعليمات تحميل عملية الهجوم، والفئات المتبقية من تعليمات تحميل تنتمي إلى هجمات DDoS.

وتجدر الإشارة إلى أنه سيكون هناك توسع للطريقة اللعبة، والطريقة تماما من خلال بدء انهيار ID منحدر المرجعي للتعليمات موسعة، وأضاف هيكل شينغ تيان التحكم عن بعد للأحمال قيادة موحدة موقع الاختبار 8 بايت في فئات الحقل إلى التوافق مع فئات مختلفة. من خلال تحليل كل قطاع التعليم، ونحن تلخيص بنية هجمات DDoS تعليمات تحميل على النحو التالي:

ويشمل "بايت أخرى" الهدف، حيث يتم تعريف المعلمة الحمل مثل هذا الهجوم، وطولها طول تعليمات تحميل ناقص 24 بايت.

دوس غير تهاجم الأحمال قيادة بنية بسيطة نسبيا، وتنقسم الى حالتين. للحصول على عنوان تحميل، عنوان البوب، عنوان التحديث وغيرها من الإرشادات ثلاثة، والعنوان هو حمولة. للإطفاء وإعادة تشغيل والتفريغ ثلاثة التعليمات ليس من الضروري أن يكون التحميل الفعلي، وتمتلئ بايت مع 0x31.

مزيد من التحليل كل جزء من الحزم الهجوم، ونحن تلخيص معرف الأمر انهيار في الجدول التالي:

2.3.3 C & C ملخص هيكل القيادة

من التحليل أعلاه، يمكننا تجميع "زينغ تيان" C & C هيكل الأمر كما يلي:

هذه هي "زينغ تيان" بروتوكولات الاتصال التحكم عن بعد، بما في ذلك بنية حزمة الأول، C & C هيكل القيادة.

في بروتوكول اتصال المضيف الرئيسي، يمكننا استخدام الأسلوب الذي يطابق حركة المرور كله زحف باستخدام الاتصالات النص تدفق قناة بروتوكول C2 عادي، ثم قفل اللاحم والاستخبارات التهديد الرئيسي ومكتبة غنية.

الثالث، وتحليل السلوك العدواني

الآن يمكننا التقاط حركة مرور مطابقة بروتوكول الاتصالات المعروف، ولكنه لا يمكن أن تتوقف هناك. طريقة بروتوكولات الاتصال تلك المباراة لا يمكن أن تحل المشكلة المتصورة للبروتوكول الاتصالات سيد معروف، لذلك نحن بحاجة للتحقق من حركة المرور الهجوم عن طريق جمع الخصائص السلوكية الفراريج في الهجوم. في تحليل حركة المرور الهجوم، وجدنا أن التعاقد مع سياسات البرنامج الفروج هي مميزة جدا، هو نقطة دخول جيدة. نحن نحلل وتلخيص خصائص العمل عند "شينغ تيان" العقد الرئيسي، على النحو التالي:

3.1 استراتيجية التعاقد TCP

3.2 استراتيجية التعاقد UDP

3.3 استراتيجية التعاقد ICMP

وسوف تستمر سياسة عقد ICMP لإرسال حمولة يتجاوز 4000 بايت حزم ICMP.

3.4 السلوكي ملخص تحليل

جنبا إلى جنب مع المشهد قبل تقديم العطاءات تحليل برنامج اللاحم استراتيجية هو في الواقع ليس ما نقوم به لمكافحة D، وهدفنا هو تحويل سحابة قفل الجنود المشبوهة فحص إستراتيجية تعتمد على تدفق حركة المرور المشبوهة عقد التصدير.

سيد دراية استراتيجية التعاقد يساعد لخص القانون، وطريقة تشكيل، للكشف عن تدفق حركة المرور المشبوهة من المضيف سحابة. هذا هو مساعدة كبيرة للكشف عن مجهول الاتصالات العائلة المضيفة البروتوكول.

في هذه الورقة، الذي حرره اشتراكات الضمان شبكة بايدو لى فنغ.