C2 複刻 04 | Command and Control Server (C&C、C2) 觀察

by iok
3.8K 人次瀏覽
Command and Control Server (C&C、C2) 觀察

觀察 Command and Control Server 通訊方式,跟小時候趴在地上,觀察地上爬的螞蟻一樣。

我小時候喜歡觀察螞蟻。偶然會在餐桌、客廳或房間,無意間發現一群螞蟻在地上的餅乾屑或糖果圍成一圈,在旁邊還會有一隻接著一隻的螞蟻,彷彿在接力般,將食物搬回巢穴裡。

我當時最喜歡做的事,就是順著螞蟻回巢路線找牠們的家。追蹤過程有時還會被不同的蟻群誤導,最後才發現牠們是從家門縫間鑽進來,原本的老巢在屋外。

在蟻群追蹤過程中要能找到蟻窩,首先要有好奇心並耐住性子觀察、中間細心分析可能的蟻群路線,再大膽假設路線,最後得證,順利找到蟻窩。

而這其中所需要的人格特質:

  • 好奇心
  • 耐住性子觀察
  • 細心分析
  • 大膽假設,小心求證

也同樣是成功找出C2 通訊協定所需。

不僅是粗淺地將惡意程式丟入沙箱,找出中繼站,做為 IOC(Indicator of Comprimise) 後,隨即將惡意程式封存結案。

你必須要保持好奇心,告訴自己:「我非常想知道,惡意程式跟 C2 伺服器在傳什麼資料?惡意程式連上 C2 伺服器時,C2 伺服器到底跟它說了什麼?」

再來,你必須能「耐住性子觀察」。你若是急性子的人,現在可以關掉網頁離開。因為「找出C2 通訊協定」這件事,你需要花數不清的時間,端看惡意程式複雜程度。

至於觀察,你需要在一次又一次除錯停止與啟動間,觀察惡意程式的動靜。例如寫入或讀取什麼檔案、註冊值,或在某個條件判斷失敗後,程式無預警結束。

而「細心分析」部份,在惡意程式分析過程中,需要找出每個滿足惡意程式繼續執行的條件,或者關鍵主程式,分析作業才能繼續往下進行。

一枝草一點露,把惡意程式每條組語走過一遍,了解對應的功能。

最後,科學精神的名言錦句「大膽假設,小心求證」。在惡意程式分析與觀察過程中,一邊分析,你的腦袋會一邊努力地想連結至先前分析經驗中。

試圖要將現在這個惡意程式與先前分析經驗做關聯。這時候,我會相信大腦的第一直覺,先大膽假設,嘗試做關聯與驗證,證明假設正確與否。若初步驗證不正確,即進行 3 步驟:

  1. 確認輸入資料是否有誤
  2. 驗證步驟是否有誤
  3. 解讀輸出資料方法是否有誤,再全部確認一次。

若 3 步驟執行完畢,確認假設錯誤,再搜尋網路資料,是否有其他可能性。重複操作直到發現正確的 C2 通訊協定為止。

複刻 C2 系列文章

相關文章

留言