文章关键词:电子数据取证、流量分析、流量取证
一、前言
近期,网络安全团队在对公司内部网络进行安全检查时发现,有五台电脑出现了不明的网络流量。这些电脑并没有执行任何明显的操作,但是网络流量却显示它们正在向外传输数据。
初步调查后发现,这些数据流都通往同一个外部地址,并发现所有这些被控制的电脑都执行了相同的操作,下载并执行了一个来自外部地址的恶意程序。
这起事件引发了公司的担忧,因为如果这些电脑被黑客控制,那么黑客就能够访问公司的内部网络,甚至可能获取到敏感数据。
为了明确事情的真相,公司决定进一步调查此事。截取了一段流量并对其进行取证,大致确定了黑客使用的工具名叫Cobalt Strike,并对这起事件进行了相关处理。
通过这个案例,我们可以了解到Cobalt Strike的一些主要特征和操作方式。
二、基本运行原理
Cobalt Strike的运行需要一个连接被控端和控制端的teamserver,在一个完整的指令传输以及运行中,主要的步骤有:
被控端向team server发送一个心跳包,心跳包默认每60秒发送一次(可以手动修改),作用主要是为了迷惑安全软件,防止因为持续连接并发送数据而被检测到。
心跳包的数据信息被team server记录后,被控端会再次向team server发送一个心跳包询问是否有需要执行的指令,Team server接收到第二次心跳包后会将控制端输入的指令传送给被控端,被控端执行指令(间隔同样是默认60秒),当知晓以上的基本信息后,遇见未魔改的CS后就可以快速识别出流量的来源是CS:
在上面的流量包中,两台主机之间的通信基本上是每隔60秒通信一次且上下行的数据长度固定,大致可以判断出是一个没有经过修改的CS与被控端之间交流的流量。
三、可执行和文件的下载(stage)
Stage是可执行文件在运行后会使用http协议向指定服务器下载stage,指定服务器通常是team server,请求http的路径有多个,但不管怎样,路径名都符合checksum8原则,请求的路径的ascii的和与256取余之后的值为92(x86位木马)或者93(64位木马)
使用checksum8的Java代码:
public class EchoTest {
public static long checksum8(String text) {
if (text.length() < 4) {
return 0L;
}
text = text.replace("/", "");
long sum = 0L;
for (int x = 0; x < text.length(); x++) {
sum += text.charAt(x);
}
return sum % 256L;
}
public static void main(String[] args) throws Exception {
System.out.println(checksum8("4Ekx")); // Yle2、cKTZ、wQPD等
}
}
3.1、控制端命令的下发
控制端在向被控端下发命令时,在流量中会有比较明显的submit.php同时后接id参数:
3.2、user-agent头
在4.0之前的CS版本中,使用CS的流量的user-agent头是固定的,不会变化特征比较明显,在4.0之后的版本中user-agent头开始随机生成,避免被检测到。
4.0之前的版本,每次user-agent头都相同。
四、总结
在对流量的取证过程中,应当先了解各种工具的各种基本特征,才能根据其特征来分析并确定其类型,需要充分了解取证的技巧以及具备充实的知识储备,才能在令人眼花缭乱的数据流中找出关键的证据。
今后的流量取证中仍然需要继续学习,加强技术能力,为网络安全贡献一份力。
扫一扫
7585
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
