学习如何防范恶意软件的最佳方法之一是学习如何检测恶意软件流量。为此,体育博彩平台推荐不断在互联网上搜索尽可能多的恶意软件pcap类型。
本博客关注的是假SSL会话的使用,其中TCP会话以SSL握手开始,但实际上并不进行握手——这是假的。
体育博彩平台推荐还将在本博客中展示如何使用强大而灵活的pcap分析来检测这种类型的假SSL。
和我一起深入探讨……
位于布拉格的捷克技术大学的一个研究小组发布了一份相关且有趣的恶意软件pcap文件列表。在研究这个pcap文件时,一个特定的SSL会话引起了我的注意。虽然典型的SSL握手序列开始于客户端发送CLIENT_HELLO消息,服务器端发送SERVR_HELLO, CERTIFICATE, SERVER_HELLO_DONE消息,但我没有在以下pcap中看到任何SERVER_HELLO或CERTIFICATE消息的迹象:
虽然服务器证书消息确实可以大到跨越1或2个数据包,但我从未见过服务器端消息如此大,以至于它可以跨越至少8个1514字节的TCP数据帧!出于好奇,我检查了第一个服务器数据包的TCP数据(见下面突出显示的部分):
此数据绝不是SSL消息,它具有非常良好定义的结构。典型的响应开头是这样的(都是十六进制):22 03 01 00 51。由于版本和实际长度的不同,“01”和“00 51”可能会略有变化,但很明显,pcap中的服务器响应(上面快照中突出显示的部分)不是SSL消息。
这并不奇怪,因为体育博彩平台推荐应该在这样的样本中预测恶意软件流量,但是看到这种“新”逃避方法被用于C&C通信仍然是非常有趣的。
那么,体育博彩平台推荐如何自动检测这种逃避呢?这个想法很简单:如果来自服务器端的第一个数据包在连接到端口443(标准SSL端口)时不是以字节0x22和0x03开头,那么就有问题了。挑战在于如何实现这个简单的想法。如果有人打算使用Wireshark进行搜索/检测,他/她将立即遇到指定来自服务器端的第一个数据包的问题。Wireshark不支持有状态的报文查找,而这种简单的技术在逻辑上是必需的。幸运的是,CapStar Packet Analyzer (CPA)从一开始就被设计为支持有状态搜索,实际上,它是实现这一目标的完美工具。
下面是一个简单的分析,可以执行此逻辑并找到这些假SSL会话:
| int标志; 数据:if (!tcp)返回0;如果会话。serverPort = 443)返回0;If (session.marked)返回0;如果(side == SERVER){如果(len < 2){会话。标记= 2;} else if (data[0] != 0x16 && data[0] != 3) {session。标记= 1;返回1;} else会话。标记= 2;} |
输出显示有3个这样的假SSL会话:
在上面的分析中,体育博彩平台推荐使用每个会话变量“marked”来指示何时标记会话。缺省值是0。如果体育博彩平台推荐遇到的服务器数据包是此会话的第一个服务器数据包,体育博彩平台推荐将检查前两个字节是否与指定的一致。无论如何,体育博彩平台推荐设置了这个变量(session.marked)的值,这样体育博彩平台推荐就知道不必费心分析这个会话中的其他数据包。
CPA不仅在执行复杂的数据包分析和搜索时具有最大的灵活性,而且执行这些操作的速度非常快。CapStar可以在一秒钟内咀嚼1GB的pcap数据,使研究人员更容易快速测试各种想法。这种速度和灵活性可以大大提高安全调查的效率,调查人员永远不需要担心许多有才华的调查人员面临的以下困境:“我是否应该花接下来的两个小时写一个脚本来搜索一个复杂的,潜在的有前途的模式,知道结果可能并不有趣,我可能最终浪费了两个小时?”
在这篇博客中,体育博彩平台推荐详细解释了如何使用CPA自动检测假SSL会话。如果您想了解更多关于CPA在分析巨大cap时的能力和力量,或者如果您想进行演示,或尝试评估,请不要犹豫,给体育博彩平台推荐发邮件至info@capstarforensics.com。