网络信息安全课件NetSec14-1祥解.ppt

HTRAN APT1 攻击者不使用 WEBC2 时, 会要求 “command and control” (C2) 用户接口以向后门发布命令，这个接口有时运行于位于上海的个人攻击系统。 对于这类情形，后门联系跳站，信息必须由跳站转发至上海的系统中以实现后门与C2服务器的会话 767 个例子显示 APT1 在跳站中使用 HTRAN，尽管这些是冰山一角。 HTRAN 工具驻留于 APT1 跳站，其行为类似中间人。 HTran 也称 HUC (Honker Union of China) Packet Transmit Tool 工具作者lion，为中国红客联盟成员，该工具常用于内网的端口转发，便于控制肉鸡。 2011年，Dell的安全团队就在RSA的APT入侵事件中发现过该工具的痕迹。 用于接收HTRAN通讯的IP地址所对应的网络段 C2 服务器软件位于跳站 APT1 攻击者也可能在跳站上安装 C2 服务器，这时，无需使用 HTRAN 作为代理与受害系统交互，但这也意味着入侵者必须与运行于跳站的C2服务器具有接口。 已经观察到 APT1 攻击者登入跳站，启动 C2 服务器，等待进入的连接 ，并随后处理向受害系统发布的命令。 WEBC2 可以具有服务器组件以向入侵者提供简单的 C2 接口。这意味着，服务器组件接收来自后门的连接请求，向入侵者显示，然后将攻击者的命令传入HTML标签以便后门程序读取。 APT1 服务器 仅在过去的两年，我们已确认了 937 个APT1 C2 服务器 — 即主动侦听或通信程序 — 运行于 849 个不同的 IP 地址. 然而, 有证据说明 APT1 运行着上百台甚至上千台服务器 作为APT1服务器程序主要为: (1) FTP, 用于传输文件; (2) web, 用于 WEBC2; (3) RDP, 用于系统的远程图形控制; (4) HTRAN,用作代理; (5) 与后门程序相关的C2 服务器。 确认的APT1 服务器域名的全球分布 域名 DNS 查询将 APT1 域名FQDN 解析到多个 C2 服务器IP 地址 APT1的基础设施除了IP地址外，还包括服务器域名FQDN 。FQDN被APT1嵌入作为后门内的C2地址。 我们确认了APT1使用的 2,551 个FQDN。使用 FQDN 而非 IP 地址作为 C2 地址，攻击者可以动态确定给定的后门所对应的C2连接，这使得他们即使丢失对某个跳站的控制，也能将C2的 FQDN 对应不同的 IP 地址并恢复对后门的控制。这一灵活性允许攻击者引导受害系统指向众多的 C2 服务器并避免被阻止。 APT1 的FQDN 可以归类如下: (1) 注册的区域 (2) 第三方区域 (3) 劫持的域 APT1 使用的C2服务器域名FQDN 注册的区域 DNS 区域表示一组合法的以同一名称结束的域名集合，通常通过域名注册公司注册并由单个拥有者控制。 例如 “” 既是是一个合法域名也表示一个区域，而 “” and “7” 为 “” 区的部分，称为该区域的子域。 APT1 自2004年来注册至少 107 个区。 Domain Name:HUGESOFT.ORG Created On:25-Oct-2004 09:46:18 UTC Registrant Name:huge soft Registrant Organization:hugesoft Registrant Street1:shanghai Registrant City:shanghai Registrant State/Province:S Registrant Postal Code:200001 Registrant Country:CN Registrant Phone:+86Registrant Email:uglygorilla@163.com 至少于February 3, 2013在公开的whois数据中依然存在 第一个区域为 注册者的信息不一定需要完全准确，例如 shanghai街道，注册电话 Shanghai 出现于第一个已知的APT1 域名注册中。实际上Shanghai 被列入注册人的城市至少 24次(24/107, 22%). 注意：uglygorilla帐号及Email地址 非上海的APT1域名注册地 命名方案 大约一半的 APT1 已知域名区依据news, technology 和 business 命名。 这使得 APT1 的命令和控制地址一眼看去似乎无害 (这些方案也是其他 APT 常用的方案) business 类 technology类 news类 第三方服务 APT1 使用最多的第三方服务为 “动态 DNS.” 这类服务允许人们注册子域，该子域对应