HW攻防演练-如何使用TeaPot检测软件后门

  • A+
所属分类:安全文章

安全分析与研究

专注于全球恶意软件的分析与研究

前言

TeaPot是一款简单又高端的安全辅助工具,它可以有效应用于内网攻击监测、黑客身份溯源、主机病毒防范、上网行为管理,可有效提升攻防演练对抗、勒索病毒预警和尖端APT对抗能力。我们采用全球领先的设计理念,致力于净化网络环境,给不懂网络安全的人以专业指导,推动专业的人体现自己的价值,不管你是个人、企业、单位甚至网络安全专业人员,欢迎出谋划策共同参与打造我国网络安全“蜜网”!


为服务近期需求,本次教程介绍使用TeaPot快速检测软件中可能存在的后门。


恶意后门监测原理

软件后门形式和触发方法多样,比较常见的是软件启动后访问控制者的服务器回传或下载数据。根据这个原理,我们可以使用TeaPot的DNS监听功能检查软件中是否可能有恶意后门。


软件具体操作方法

我们找到一份黑客传播的所谓RDP漏洞利用工具,工具启动后会从恶意网址下载木马程序,不少人中招。我们把这个软件分析下,看怎么找到后门地址。



01

主机配置

将分析用的虚拟机DNS设置为本机,备用DNS设为114,如下:

HW攻防演练-如何使用TeaPot检测软件后门


02

后门捕获

启动软件:

HW攻防演练-如何使用TeaPot检测软件后门

这时候会看到本机对外连接的所有域名,比如随便登陆个网站,或者控制台ping个域名都可以在日志中显示出来。然后启动需要分析的软件,马上可以看到出现可疑域名:

HW攻防演练-如何使用TeaPot检测软件后门
HW攻防演练-如何使用TeaPot检测软件后门

可以看到软件启动后连接了一个域名:

www[.]symanteclabs[.]com


情报研判

根据威胁情报研判,该域名疑似为APT41黑客组织使用:

HW攻防演练-如何使用TeaPot检测软件后门


注意事项

软件后门有很多形式,比如有的捕获到关键数据后才会触发,有的通过IP地址直接通讯,有的并不直接对外发数据。TeaPot只是用于捕获使用域名通讯的软件后门,并不能发现所有软件后门,如果你有这方面样例或线索,欢迎与我们分享。


尾声

为进一步加快软件研发进度,接受社会监督,更好服务社会,我们诚邀各网络安全同仁,共同参与项目研发和测试。鉴于所有开发、测试人员都基于对安全事业的热爱,无偿提供自己的资源、能力和时间,在此我们对他们表示真诚的感谢!希望大家尽量容忍软件中存在的各种不便或问题。同时欢迎各位安全同仁参与软件研发、资源共享,欢迎各位联系提供意见建议。


感谢南京大学马老师提供样本并协助分析。



本文始发于微信公众号(安全分析与研究):【攻防演练】如何使用TeaPot检测软件后门

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: