**基金项目:中央高校基本科研业务费项目(编号:3242017013);公安部理论及软科学研究计划(编号:2Q2QLEYpgXY031);公安部理论■及软科学 研究计划(编号:2016LLYpgXY013 );公安部技术研究计划课题(课题批准号20igSYJB06 );辽宁省社会科学规划基金项目(编号:L16BEXD12 )
沈耀童1徐国天’程斌彳
1.中国刑事警察学院
2.公安部第三研究所
摘 要:目前,办案人员主要采用静态分析和动态分析法对盗号木马进行取证分析,获取网络入侵痕迹,但是现有取证方法较 为繁琐,对办案人员专业知识水平要求较高,且获取的入侵痕迹不够全面。针对上述问题,采用通信流量分析法对盗
号木马进行取证分析,以使用FTP 协议的HawkEye keylogger 盗号木马为例,通过细致分析木马与外界的通信数据 流,根据其连接建立过程,还原盗取的用户隐私信息,确定黑客控制端IP 地址、端□号等入侵线索。实验结果表明, 与现有取证方法相比,该方法能够全页、快速、准确获取盗号木马相关痕迹信息,灵活性较高,既能对常规盗号木马 (通常采用SMTP 协议和HTP 协议)进行分析,又能对使用FTP 协议的新型盗号木马进行深入取证,符合公安一线工 作需求。
关帧
»$原 mW 盗号栉 取砌析
引言
据国家互联网应急中心发布的《2049年中国互联网网 络安全报告》显示,2019年,我国境内感染恶意程序的主
机数量约582万台,其中信息窃取类恶意软件占恶意程序总
量的11.6%[1I o 盗号木马是一种典型的信息窃取类软件,它
可以监控受害者的键盘输入记录,获取用户的邮箱、银行 卡、网络游戏等账号密码以及手机号、身份证号、电脑桌面
应用馳感信息,并将其发攻击者,攻击者
用户的敏感信息后,可以对用户实施精准,或将用户隐
私信息售卖,间接促进网络黑灰产业的发展。因此研究盗号 木马的取证方法对公安机关维护网络空间安全有重要意义。
当前针对盗号木马的取证方法主要包括静态分析法、 动态分析法和基于网络通信流量的分析方法。静态分析法
通过对目标恶意程序进行反汇编处理,细致分析其源代码
逻辑结构,获取目标恶意程序的功能、隐藏手段等信息;
动态分析法需要在测试主机上真实运行目标恶意程序,监
控主机端系统函数调用、注册表修改、端口开放和资源消 耗情况,通过深入分析,获取黑客控制端IP 地址、攻击时 间、攻击手段等痕迹线索回;基于网络通信流量的取证方
法,通过捕获受害者主机与远端控制机之间的网络流量,
细致分析通信流量数据,还原目标恶意程序发送给远端攻
击者的用户隐私信息,确定控制端主机的IP 地址、端口 号、攻击时间等信息回,进而固定相关证据。
随着计算机网络技术的快速发展,越来越多的盗号木
马采用加壳、加密、代码混淆、进程瞬等手軀避打击,
传统的静态分析和动态分析方法不能获取完整的木马痕迹线
索,且检验过程耗时费力,对侦查人员的专业知识要求较 高,降低了案件的侦办效率。而基于盗号木马网络通信流量
的取证分析方法可以大大节省办案人员取证调查时间,对专
业知识门槛要求较低,符合公安一线侦查办案需求。但是当
前研究工作主要针对使用SMTP 和HTP 协议进行通信的常
规盗号木马忆不适用于采用可P 协议进行数据传递的新型
木马。笔者使用基于网络通信流量的取证方法,对采用 FTP 协议的新型盗号木马进行取证分析,通过截获木马与外 界的通信数据流,确定远端控制机的具体位置,结合数据流
追踪功能还原木马窃取的用户隐私信息,获取黑客控制端
IP 脱、端口等舷,确定攻击行为。
一、基于网络流量分析的
盗号木马取证方法
采用网络通信流量分析法对盗号木马进行取证研究,
具体检测框架如图1所示,大致分为以下几个步骤:
(1 )侦查取证人员使用Wireshark 抓包工具获取受害当铺网
者主机上盗号木马与控制端服务器进行通信的流量数据。
(2)分析通信过程中产生的告警日志,排除正常通
信流量,获取可疑通信流量信息,如可疑通信时间、所用 端口、通信产生的具体事件信息等,确定盗号木马使用的
通信协议。
(3)对截获的通信数据进行会话统计,根据步骤(2)中盗号木马使用的通信协议,过滤出受害者主机与控制端服务器进行通信连接的次数,掌握控制端所用IP地址情况。
(4)根据步骤(2)、(3)中确定的盗号木马在通信过程中使用的协议信息,采用命令过滤方法,从通信数据中提取出恶意流量数据,细致分析其连接建立和数据通信过程,追踪相关数据流,还原盗号木马向远端控制服务器传递的隐私信息内容。
(5)根据还原出的键盘记录、截屏等信息,结合恶意数据流通信时间、控制端IP地址、端口号等信息,确定犯罪事实,固定相关证据。工作模式,即主动模式(PORT模式)和被动模式(PASV模式)[5I o
FTP协议在主动模式下连接的建立过程如图2所示。在PORT模式下,首先客户端打开一个随机端口主
动连接服务器的21端口,发送用户名和密码等登录信息请求建立连接,曲勝器认瞰功,允许建立连接后,客户端釀使用控制进醱口发送PORT磺将客户端接收数据的随痕口A告知服务器,服务器接到PORT命令和客户端的数据端口A后,主动使用端口20与端口A建立数据连接,以此进行文件的上传与下载等操作。
图2FTP协议主动模式
侦查取
证(员
黑客控制端
获
信
量
截
通
流
致
析
警
志
细
分
告
防辐射手机日
信
据
行
话
计
析
通
数
进
会
统
手势控制分
位
意
据
量
定
恶
数
流
还原受害者隐私信息
确定黑客端位置信息
确定攻击行为
按摩毯固定证据
图[检测框架
以HawkEye keylogger盗号木马为例,使用上述模型检测粋,结合基于网络通信数据流的取证方法,还原黑客获取受害者隐私信息的过程,确定其犯罪事实。HawkEye keylogger木马可以盗取受害者系统信息、邮箱账号信息、浏览器彳呆存的各种密码信息、剪切板信息等,随着时间的发展,其功能日益丰富,当前,HawkEye keylogger变种木马还包括清理浏览器记录、截屏等功能。与其它常规盗号木马不同,HawkEye keylogger木马使用FTP协议将获取到的受害者隐私信息传递到制控制服务器。
二、FTP协议建立连接的两种方式
FTP是一种文件传输协议,与其它协议不同,RP协议在客户端与服务器进行信息通信时需要两条TCP连接,一条命令控制连接,一条数据连接,默认情况下使用21端口进行命令连接,使用20端口进行数据连接,但一般情况下采用随机指定端口的方式进行数据通信连接。HP协议有两种
被动模式与主动模式不同,如图3所示。在PASV模式下,客户端首先主动连接服务器的21端口,传递用户名、密码等信息,在服务器认证完毕后,客户端继续使控制进程端口向服务器发送PASV命令,与主动模式相反,服务器开放一个随机端口B并通过命令连接通知客户端,此时客户端便可主动连接到服务器的端口B进行数据通信。
址裡
①命令交工.诒求建立隹援
®发送PASV命令
貞f rUSn21囲u
③版务黑的1»机站M号
Bi#如存R鯛
程
随机端口-----------④—
—T随机端口B
J4)建立数据连接L
图3FTP协议被动模式
服务黑端在实际通信过程中,当客户端位于局域网内部时,其IP地址往往为专用IP地址,在这种情况下,主动模式中客户端开放的端口A往往只能在内网中使用,而外网服躺无法与内网中的客户端建立连接,最终导致双方无法进行通信,此外,客户端往往都位于防火墙后,由于防火墙安全策略的配置,客户端开放端口A供外部FTP服务器连接较为困难,因此,在实际应用中RP协议多数采用被动模式进行通信。
三、基于FTP协议的
HawkEye keylogger盗号木马实例分析
(—)HawkEye keylogger盗号木马通信数据初•析研究使用的HawkEye keylogger盗号木马通信流量为真
实网络环境下截获的数据(来源于”https:/Avww.malware-traffic-analysis"网站),此数据包中,包括告警日志和通信数据文件冏。实验过程中使用Wireshark3.0.6进行取证分析。太阳能电池片回收
在原始通信数据中,既包括受害者主机大量正常通信数据流,也包括盗号木马产生的恶意通信数据流,且协议种类较多,在无任何线索的情况下较难判断恶意数据流的位置,故首先分析告警日志数据,如图4所示,获取该时间段内产生的重要事件信息。图4中1号日志表明该时间段内本主机使用”FTPSTOR”命令连接到夕卜部网络,存储文件到外部服务器中,但调查发现受害者在该时间段内并无相关操作,故推测该告警曰志可能是恶意软件使用FTP协议连接到外部服务器传输数据所产生。图4
中2号曰志提示有一个名为"HawkEye keylogger"的特洛伊木马对外发送数据,3号日志提示该木马使用FTP协议进行相关数据的传输。通过对告警曰志的分析,获取该时间段内受害者主机产生的重要警告事件,初步确定了”HawkEye keylogger"盗号木马的存在,并获取到该盗号木马使用可P协议对外通信的线
图4告警日志分析
使用Wireshark打开捕获的通信数据流进行深入分析,由于该时间段内捕获的数据包较多,且存在大量无用数据包,为准确观察FTP协议的会话信息,首先对数据流进行会话统计分析,获取到通信数据流中IPv4协议、TCP、UDP协议的会话数量,并获得双方会话地址、使用端口号、数据比特流数量等信息。由于FTP使用TCP协议进行传输,且在服务器端使用24端口进行命令交互,故在此重点分析TCP协议会话信息。通过对服躲端口进行排序,如图5所示,确定使用21端口(即FTP协议)的会话有三条,即初步确定受害者主机与远端三台不同IP地址的FTP月長务器进行通信,同时发现,这三条会话中数据包交互的数量远远多于其它会话,初步判断三条会话使用FTP协议进行了大量的文件传输。
图5对通信数据进行会话统计
为定位使用曰P协议的恶意数据流具体位置,在Wireshark中使用规则过滤的方法过滤通信流量,首先输入关键字“BP”过滤出该通信流量中进行BP命令交互的数据流,查看受害者主机与远端黑客服务器进
行命令交互的具体过程和通信次数。如图6所示,展示了其中一条FTP控制进程进行命令交互的完整过程,1号数据表明黑客控制端为逃避打击、节省犯罪成本,在"000webhost”网站租用虚拟服务器并运行ProFTPd(一种市服务端软件)软件获取盗号木马发来的受害者隐私信息;2号、3号数据显示登录FTP服务器使用的用户名“snifferzett”和密码“trible22”,4号、6号数据表明客户端请求使用PASV模式与服务器端建立连接,5号、7号数据证明了在受害主机上使用STOR命令上传7XT文件和JPEG文件。
图6FTP控制进程连接建立完整过程
细致分析,使用上述”FTP”命令过滤出的流量中存在三个完整的FTP控制进©1接建立过程,且均触PASV模式通信和STOR命令上传文件,该盗号木马最终使用同一用户名和密码将5个不同文件(9:、9:、10:三个1XT文件和screenshed、screenshot2两个JPEG文件)囲黯HP月嘶。
为证实黑客盗取用户隐私信息的犯罪事实,需还原出三个TKT文件和两个JPEG文件的具体内容,上述分析已确定三个RP通信的命令连接建立过程,据此可定位FTP数据传输流的具体位置,进而跟踪数据流,还原传输文件内容。
(—)HawkEye keylogger盗号木马隐私信A iSg
由于每个文件的还原过程和方法基本相同,在此以上
述图6中FTP控制进程涉及的TKT文件和JPEG文件还原过程为例。使用"FTP-data”命令过滤出会话中所有的FTP数据通信流,根据图6中STOR命令流的位置(864条流量和884条流量)和服务器IP地址,可确定使用HP协议传递TKT文件和JPEG文件数据流的具体位置,如图7所示,展示了此条FTP连接传递用户隐私信息的局部TCP流量,可以看到三次握手建立数据连接的过程(PASV模式,客户敝用49210端口进行数据连接,月長务器端使用4065
*1端口进行数据连接)以及使用FTP协议进行数据传递的过程。
图7传递用户隐私信息的局部流量
确定各个文件具体的数据通信流后,借助Wreshark的"TCP流追踪”功能,便可查看到1XT文件和JPEG文件的大致内容。首先对图6中涉及的7XT文件进行还原,通过对其RP-DATA数据进行追踪,得到其OCT文件的内容如图8所示,确定该7XT文档传递的信息为受害者主机上的键盘记录信息,包括创建Excel文件的时间、Excel文件内部相关字符的记录、保存Excel文件的时间等。为证明黑客盗取用户端隐私信息的犯罪事实,在此可以将该数据流使用ASCII 编码的形式导出,另存为"1.txt"文档供证据使用。
图8还原IXT文档数据远端黑客传递了受害者主机系统信息(如主机名、用户名、MAC地址、IP地址等)、键盘记录信息(如浏览器登录网站的账号名和密码、用户建立的各种Office文档内容)和桌面截屏信息。结合对截获流量的细致分析,确定该盗号木马使用FTP协议的PASV模式向远端黑客传递信息,并证实黑客在网站OOOwebhost租用虚拟服务器(IP地址分别为***.
***145.4、***
.***
.145.99、******.144.10),使用ProRPD服务端软件进行文件的接收。
电机线束图9还原JPEG文件数据
四、结语
研究使用基于网络流量的方法对盗号木马类案件进行取证分析,以使用FTP协议的HawkEye keybgger盗号木马为例,通过对其通信数据的深入分析,确定黑客端IP地址、端口号、传递文件的时间等内容,并从通信数据中还原出盗号木马向黑客端发送受害者隐私信息的具体内容,进而证实黑客^罪事实,固定相关证据。但由于盗号木马在获取用户隐私信息后并不是迅速向远端服务器发送信息,而是等待某个楙时刻将数据发送出去,这将导致通过监听捕获的受害者通信流量大大增加,从而加大人工位盗号木马对外通信流量具体位置的难度,故下一步将会研究自动定位恶意流量位置并进行数据还原的方法。
继续对图6中涉及的JPEG文件进行还原,同样首先确定使用RP协议传递JPEG文件的数据流具体位置,使用TCP流追踪功能提取应用层数据,进而还原传递的用户隐私信息。如图9所示,通过提取应用层数据流,初步分析确定该文件是PNG格式的图像,为查看该木马向远端^务器发送PNG图像的具体内容,在此将该数据以”原始数据”的形式另存为u ph1.png"图像,即可查看具体图像内容,结果发现图像信息为用户电脑桌面截屏,如图9所示,再次证明了该盗号木马向远端黑客服务器发送用户隐私信息的》瞬事实。
使用上述方法,可以还原出该捕获数据流中涉及的五个文件,通过查看五个文件的具体内容,确定该盗号木马向
参考文献
[1]国家互联网应急中心.2019年中国互联网网络安全报告[OL|.
ht^://i^cn/publidi/iriam/46/2020/^)20(^11124544754 595627/20200811124544754595627_htmL[2020~06]”
|2]兰芸,李宝林.木马恶意软件的电子数据勘查与取证分析初探Q].信息网络妥全,2014<05):87-91.
P]徐国天.基于“行为模拟”的木马线索调查方法几刑事技术,2014(02):19-22.
[4]徐国天.基于进程监听的木马线索提取系统研究[J].中国刑
警学院学扌艮,2016(03):50-53.
|5]郝浩.FTP原理解析D].计算机与网络,2016,42(14):40-41.
[6]MALWARE-TRAFFIC-ANALYSIS.NET.Traffic analysis
exercKe—BeguileSoft[DB/OLJ.Https://www.malware—traffic—analysisnet/2019/05/(WindexJittnL[2019—05—02].
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议