若想重新複刻 C2 伺服器的功能,分析惡意程式中間過程有一重要步驟:「找出所有 Command and Control Server 指令列表與功能函式」。 分析時,需使用逆向分析工具,例如 IDA Pro、x64dbg 等。如何操作 ID…
對於複刻 C2 伺服器的功能,最重要的一件事就是 — 紀錄惡意程式所有呼叫的作業系統的網路 API (application programming interface) 函式、其對應的參數與函式回傳值。 若是 C 語言撰寫的程…
Command and Control Server 握手 (Handshake) 與認證 (Authentication) 正如同 阿里巴巴與四十大盜 「芝麻開門」口令。口令目的就像一組共用密碼,能肯定接近的人,是不是自己人。同樣地,口令機制對客戶端(惡意程式)與 C2 伺服器也不可或缺。C2 伺服器開在 Internet 上,隨時都有刺探連線。會需要測試連線上來的客戶端,是不是自己人。
現實生活中,2 個人要互相溝通,一定會有個先說話的人。而客戶端(這裡指的是惡意程式)與 Command and Control Server (C&C、C2) 伺服器端要互相通訊,道理也相同,會有一方先發起連線。 「先發起連線」的定…
觀察 Command and Control Server 通訊方式,跟小時候趴在地上,觀察地上爬的螞蟻一樣。
C&C 通訊協定類型 | 文章中介紹 Command & Control 的通訊機制。惡意程式運用各類網路通訊協定,如 TCP、UDP、DNS Tunneling(含子網域與TXT紀錄)、HTTP與社群網站,向中繼站回報,傳輸指令。
依據 Trend Micro [1]、Whatis.com [2] 與 Malwarebytes LABS [3] 之定義,Command and Control Server (C2 伺服器)可歸納出 3 點特色: 一台遭犯罪者控制的電腦…
惡意程式執行時,常向惡意中繼站 (C2) 連線報到 (Check-in),並加入Botnet等候駭客下達指令。以後門程式為例,該惡意程式之功能,皆由駭客透過遠端 C2下達指令而驅動。 許多惡意程式內含有如 gh0st 的 RAT功能,駭客植…
逆向工程 (Reverse Engineering) 是從剖析成品的過程,從中得知材料的功能規格,及如何組合。在生活中,對逆向工程技術,我們並不陌生。 比方說,你在家裡嘗試沖出跟連鎖店相同風味的咖啡。或是,自己在外地去菜市場買菜,做出有媽媽…
你覺得當駭客很酷,也想入門嗎?你努力半天,仍搞不清楚當一個駭客要學什麼,導致資安功力仍不見增長嗎?閱讀市面上的資安入門書籍,但還是有見樹不見林的感覺嗎? 您好,我是Iok。從事資安工作多年,有多次指導新人的經驗,常發覺新人因基礎不扎實,而導…
