白加黑木马拆分HTTP协议躲避网络单包侦测


追影发现一起白加黑类型的恶意样本,该样本不仅利用白加黑突破安全软件的本地监控还对网络监控进行了多重对抗


白加黑木马拆分HTTP协议躲避网络单包侦测_第1张图片

1 利用ip138获取域名ip

http://www.ip138.com/ips138.asp?ip=wei6936630.xicp.net

通过该方法躲避DNS监测,域名拦截

除了ip138还有一些查询IP的网站都可以利用其它的域名获取IP的网站服务,从DNS协议获取域名IP变为HTTP服务突破拦截


2 在发送HTTP协议的时候对协议进行了拆分发送GET协议发送了三次


白加黑木马拆分HTTP协议躲避网络单包侦测_第2张图片



白加黑木马拆分HTTP协议躲避网络单包侦测_第3张图片


白加黑木马拆分HTTP协议躲避网络单包侦测_第4张图片

利用这种方法躲避对HTTP协议的GET协议的检测。


3 白加黑利用的是暴风

白加黑木马拆分HTTP协议躲避网络单包侦测_第5张图片


4 其中也利用了图片文件隐藏代码,在下面的这个图片中隐藏了一个EXE代码

白加黑木马拆分HTTP协议躲避网络单包侦测_第6张图片


图片中隐藏的EXE代码

白加黑木马拆分HTTP协议躲避网络单包侦测_第7张图片


你可能感兴趣的:(恶意代码分析)