僵尸網絡是一種由攻擊者通過在大量互聯網主機上植入特定控制程序而秘密建立的,可遠程、間接控制的,用于發起網絡與信息安全攻擊的計算機群,除了竊取用戶信息外,它還可以被用來發送海量垃圾郵件,甚至發動大規模網絡攻擊(如DDOS攻擊等),是目前威脅主機安全的一個重要因素。僵尸網絡因為有遠程連接，建立通道，所以必然存在受控者與主控端的通訊行為，我們稱這種行為為CC通訊。對cc通訊的發現有幾種方法，分享下，歡迎交流。

1、流量監測

流量監測中使用最多的就是蜜罐系統和IDS系統。蜜罐系統可以對攻擊者訪問的日志信息進行網絡行為分析，從僵尸網絡的流量中找到某一家族的行為特征。（例如通過什么方式進入系統中，是郵件還是應用層漏洞或者是協議漏洞，）對該家族的僵尸網絡進行攻擊手法剖析，并持續進行監測分析，發現僵尸網絡通過更新后特征的變化，發現僵尸網絡家族的變化規律。當使用蜜罐發現僵尸網絡的變化規律后其實就可以進一步預測該僵尸網絡的行為特征的變化規律。把該僵尸網絡的攻擊手法、特征變化規律加入到現網的IDS中，在出口對整網絡的僵尸網絡進行監測，發現該僵尸網絡在網絡中的規模，評估該僵尸網絡的影響和損失比。

2、逆向分析

在攻擊追蹤定位過程中，樣本的逆向分析是非常重要的一部分。通過網絡部署沙箱設備，對進出的文件進行還原，通過靜態啟發式檢測判斷樣本文件是黑白灰文件，黑、灰文件丟到虛擬機環境，把樣本放入模擬的主機進行行為分析，對樣本進行打分。并對可疑度非常高的樣本（打分高表示嚴重）進行人工逆向分析，確定木馬屬于哪個家族、連接的隱匿CC、惡意行為等。對樣本的逆向分析是非常準確的方法，可以評估僵尸網絡的目的和維護程度。

3、受害主機取證分析

?在發現僵尸網絡cc中，計算機主機取證，是監測cc的重要方面。隨著信息安全技術的發展，通過網絡炫耀技術已經不再是黑客制作木馬的目的，更多考慮的是如何讓自己的惡意軟件在受害主機中長期潛伏。以獲取更大的經濟利益為目的。惡意軟件為了不被發現，利用各種方式隱藏自己，例如rookit操作系統內核、Powershell無文件落地等。不管使用多磨牛逼的技術，僵尸網絡總會和主控端通訊，在主機層監測主機通訊的網絡，再結合系統日志，進行上機取證。發現隱匿的cc鏈接。

4、機器學習

在發現僵尸網絡cc的網絡攻擊檢測中 , 機器學習可看作是為了通過監督或者無監督的學習，從樣本中提取輸入參數，使用大量樣本進行訓練，并反復調整參數和迭代。提高檢測僵尸網絡cc的能力 。把機器學習技術應用于僵尸網絡的檢測中 , 對網絡中產生的大量數據流進行分析 , 并通過學習算法自動產生規則 , 把這些規則編譯進專家系統 , 對僵尸網絡cc進行安全檢測 , 從而自動化的識別僵尸網絡攻擊能力。

微信公眾號：透霧

轉載于:https://www.cnblogs.com/bravexz/p/9664989.html

與50位技術專家面對面20年技術見證，附贈技術全景圖

總結

以上是生活随笔為你收集整理的apt的通讯信道是如何发现的？的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。