追影发现一起白加黑类型的恶意样本,该样本不仅利用白加黑突破安全软件的本地监控还对网络监控进行了多重对抗
1 利用ip138获取域名ip
http://www.ip138.com/ips138.asp?ip=wei6936630.xicp.net
通过该方法躲避DNS监测,域名拦截
除了ip138还有一些查询IP的网站都可以利用其它的域名获取IP的网站服务,从DNS协议获取域名IP变为HTTP服务突破拦截
2 在发送HTTP协议的时候对协议进行了拆分发送GET协议发送了三次
利用这种方法躲避对HTTP协议的GET协议的检测。
3 白加黑利用的是暴风
4 其中也利用了图片文件隐藏代码,在下面的这个图片中隐藏了一个EXE代码
图片中隐藏的EXE代码