自動化沙箱打造之「關於XShell我有話說」
01-28
最近XShell很是火了一把,每個安全廠商都在發通告,都在分析,反正就是百花齊放,在這裡我想做一個總結,從前些時間的勒索軟體到今天的xshell,其實我們可以看到共同點:
那就是根據特定的演算法生成偽隨機的域名,當然這些域名都是未註冊的,這樣就有一個好處就是不容易暴露,讓人找不到源頭,並且由於域名無法解析導致後面的流程無法執行,等到感染量大後,再註冊域名,這樣就可以在幾天之內做很驚人的事情。
那麼對於這種情況怎麼防止呢?先看看自動化沙箱的其中一個功能吧,沙箱不太完善,最近在修改中,先看看結果吧。
看isReg欄目,當 reg=1的時候 說明域名已經被註冊,當reg=0的時候 說明域名沒有被註冊 ,如果reg=0,那麼就要注意了,我們又遇到那種先隨機生成域名,讓病毒感染一段時間在操作的事情了。
詳細實現步驟
第一步:沙箱客戶端的功能之一 基於wpcap開發了一個抓dns包的工具
打開這個工具
第二步:運行特定軟體
我這裡選擇xshell,蹭蹭熱度
//2017.8月份的
現在我修改一下時間2016.12
第三步:工具會給域名提交到沙箱網站上,看資料庫設計
第四步:當查看沙箱網站首頁的時候,調用域名查詢介面,這裡我是調用阿里雲的dns查詢介面
有人會說我用wireshark抓包,再到註冊域名的網站查詢一下,可以,但是你會很浪費時間,並且效率不高,現在都是自動化了。
總結一下
現在木馬慢慢開始傾向於域名先生成,再註冊的形式,那麼我們手上的工具能否與時俱進啦?
ps:對這個項目感興趣我們私下交流,需要源碼,發私信給我,我這裡就不過多的講解源代碼了,思路為上。
*本文作者:刀郎,轉載請註明來自FreeBuf.COM
推薦閱讀: