??域前置是服務(wù)器支持的一種技術(shù)，大家可以把它看成是轉(zhuǎn)發(fā)的技術(shù)。這種技術(shù)和SSL組合到一起檢測(cè)的難度直接變高，惡意程序真正連接的C&C很難辨別。

惡意程序可以向一個(gè)高可信的域名發(fā)送請(qǐng)求，使用https協(xié)議向它發(fā)送請(qǐng)求，發(fā)送請(qǐng)求的時(shí)候把真正要訪問(wèn)的地址寫(xiě)到hosts里。

當(dāng)惡意程序把這個(gè)數(shù)據(jù)發(fā)到了支持前置域名轉(zhuǎn)發(fā)的域前置服務(wù)器上以后，這個(gè)服務(wù)器會(huì)根據(jù)hosts里填寫(xiě)的地址將請(qǐng)求進(jìn)行轉(zhuǎn)發(fā)。C&C的IP只有轉(zhuǎn)發(fā)它的服務(wù)器才知道，這種技術(shù)給我們帶來(lái)的最大困難就是沒(méi)有辦法檢測(cè)。

上圖程序向可信域名發(fā)起DNS請(qǐng)求

加密數(shù)據(jù)傳輸

樣本分析過(guò)程

想知道C&C是什么我們?cè)陉P(guān)鍵函數(shù)下一個(gè)斷點(diǎn)，在堆棧里能看到它的hosts，紅框是它真正的主機(jī)，這就是一個(gè)域前置。

要想發(fā)起一個(gè)網(wǎng)絡(luò)的數(shù)據(jù)，可以不依賴任何的系統(tǒng)API（WindowsAPI實(shí)際上分兩部分，一是應(yīng)用層，二是內(nèi)核層） 。

應(yīng)用層API相當(dāng)于是內(nèi)核層這些函數(shù)的一個(gè)接口，它僅僅是一個(gè)接口做一些域處理，然后他通過(guò)sysenter中斷指令直接調(diào)用內(nèi)核函數(shù)。

通信實(shí)現(xiàn)方式總結(jié)

惡意程序使用這些流量層面的這些實(shí)踐方法，它也是隨著協(xié)議的發(fā)展而逐步演進(jìn)。

????

總結(jié)

以上是生活随笔為你收集整理的SSL通信和域前置的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。