使用AHQZ网络应用数据分析仪分析信标蠕虫beacon_trojan(在53端口的非DNS流量)
2011-02-16    安恒公司 技术部   
打印自: 安恒公司
地址: HTTP://d914s.anheng.com.cn/news/article.php?articleid=2257
使用AHQZ网络应用数据分析仪分析信标蠕虫beacon_trojan(在53端口的非DNS流量)

前些天,安恒公司的工程师去某大学信息安全专业老师处拜访,聊天中老师说最近正在为如何分析木马样本而发愁。老师通过渠道获得了一些病毒木马样本文件,本想通过分析后作为案例用于教学,可是使用协议分析软件后发现,要想使用协议分析软件真的分析出个所以然来并不是那么简单的!(见图1)
 
图1. 协议分析软件的显示

从上图中可以看出,协议分析软件显示的是一个一个的数据帧,如果没有对协议足够的了解和深厚的分析功底,绝大多数人只能简单看出源地址、目的地址、源端口、目的端口等少数信息,很难从中找出帧与帧之间的关系,更别说分析出病毒木马等造成的危害和损失了。

这时候安恒的工程师简单介绍了一个新的分析工具—AHQZ网络应用数据分析仪的情况,借助于它独特的分析架构,也许可以帮老师解决这个问题。回到单位,将老师给的木马样本文件导入到AHQZ网络应用数据分析仪,进入它的分析界面(如图2)。AHQZ网络应用数据分析仪已经将样本数据包中的数据按照立体关联的方式建立好了分析索引。在分析时注意TCP Destination Port中53(domain)会话有7个,UDP Target Port中53(domain)会话有3个,而Service Type中显示DNS会话数量仅为3个。DNS会话数量和53端口下会话数量不一致!说明在53端口下面隐藏了7个非DNS会话。
 
图2. AHQZ的显示

点击TCP Destination Port中的53(domain)链接,进入下一级分析界面。看到53端口下的会话数量是7个,而在Service Type中显示为Other数量为7个,说明没有把这7个会话识别为DNS服务。这7个会话的源IP地址都是10.10.10.150(见图3)。
 
图3

进一步查看这七个会话,点击后面的数字7的链接,进入到会话列表。发现第一个会话14.47KB,而其他的会话只有几百字节。查看一下第一个会话的内容,发现包含的是远程控制软件登陆和一些命令行指令(见图4)。
 
图4

很明显10.10.10.150这个IP被入侵了!回到第一级,查看一下10.10.10.150这台机器的所有会话。发现有FTP会话,查看一下动作有put,而且与它关联的文件名中有很多带有恶意名称的.exe文件,还有
.rar后缀的文件(见图5)。
 
图5.  10.10.10.150的动作和涉及的文件名

       重点关注一下put,看看到底什么东西泄露了?点击put后面的数字,进入到这个会话。发现put了一个名字为exfiltrate.rar的压缩文件(见图6)。
 
图6. “put”的文件

        点击exfiltrate.rar后面的图标,进入到和这个文件有关的会话,发现了以下内容,证明10.10.10.150被入侵后,一些文件被入侵者压缩后取走(见图7)。
 

图7.


由于老师所给的样本数据包不完全,所以无法进一步分析到底什么文件被入侵者打包窃走。但是从这个过程中也可以看到AHQZ网络应用数据分析仪独特的分析方法和强大的分析能力。它通过将数据包还原成会话,并依据会话的种类提取出相关的“元数据”,建立起元数据之间的关联索引的工作模式,达到快速深入分析的目的,在网络安全分析中的效果是协议分析软件不能够比拟的。

 

责任编辑: admin