安全分析与研究
专注于全球恶意软件的分析与研究
前言
TeaPot是一款简单又高端的安全辅助工具,它可以有效应用于内网攻击监测、黑客身份溯源、主机病毒防范、上网行为管理,可有效提升攻防演练对抗、勒索病毒预警和尖端APT对抗能力。我们采用全球领先的设计理念,致力于净化网络环境,给不懂网络安全的人以专业指导,推动专业的人体现自己的价值,不管你是个人、企业、单位甚至网络安全专业人员,欢迎出谋划策共同参与打造我国网络安全“蜜网”!
为服务近期需求,本次教程介绍使用TeaPot快速检测软件中可能存在的后门。
恶意后门监测原理
软件后门形式和触发方法多样,比较常见的是软件启动后访问控制者的服务器回传或下载数据。根据这个原理,我们可以使用TeaPot的DNS监听功能检查软件中是否可能有恶意后门。
软件具体操作方法
我们找到一份黑客传播的所谓RDP漏洞利用工具,工具启动后会从恶意网址下载木马程序,不少人中招。我们把这个软件分析下,看怎么找到后门地址。
主机配置
将分析用的虚拟机DNS设置为本机,备用DNS设为114,如下:
后门捕获
启动软件:
这时候会看到本机对外连接的所有域名,比如随便登陆个网站,或者控制台ping个域名都可以在日志中显示出来。然后启动需要分析的软件,马上可以看到出现可疑域名:
可以看到软件启动后连接了一个域名:
www[.]symanteclabs[.]com
情报研判
根据威胁情报研判,该域名疑似为APT41黑客组织使用:
注意事项
软件后门有很多形式,比如有的捕获到关键数据后才会触发,有的通过IP地址直接通讯,有的并不直接对外发数据。TeaPot只是用于捕获使用域名通讯的软件后门,并不能发现所有软件后门,如果你有这方面样例或线索,欢迎与我们分享。
尾声
为进一步加快软件研发进度,接受社会监督,更好服务社会,我们诚邀各网络安全同仁,共同参与项目研发和测试。鉴于所有开发、测试人员都基于对安全事业的热爱,无偿提供自己的资源、能力和时间,在此我们对他们表示真诚的感谢!希望大家尽量容忍软件中存在的各种不便或问题。同时欢迎各位安全同仁参与软件研发、资源共享,欢迎各位联系提供意见建议。
感谢南京大学马老师提供样本并协助分析。
本文始发于微信公众号(安全分析与研究):【攻防演练】如何使用TeaPot检测软件后门
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论