CN110855705A - 面向网络攻击与防护的无端口隐蔽通信方法 - Google Patents
面向网络攻击与防护的无端口隐蔽通信方法 Download PDFInfo
- Publication number
- CN110855705A CN110855705A CN201911160410.1A CN201911160410A CN110855705A CN 110855705 A CN110855705 A CN 110855705A CN 201911160410 A CN201911160410 A CN 201911160410A CN 110855705 A CN110855705 A CN 110855705A
- Authority
- CN
- China
- Prior art keywords
- port
- communication
- file
- socket
- control agent
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0407—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/166—Implementing security features at a particular protocol layer at the transport layer
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了面向网络攻击与防护的无端口隐蔽通信方法,本文总结和分析了隐蔽通信技术的发展历程,分析和比较了各种隐蔽通信技术的优缺点。针对各种隐蔽技术的缺点,提出了一种新的隐蔽通信机制,并对该通信机制的关键技术进行了重点阐述,基于该机制,实现了一个无端口木马,给出了无端口木马的框架结构,最后对该机制的技术优点和扩展性进行了分析和比较,实践证明,基于该机制的无端口木马拥有非常好的隐蔽性和免杀性。
Description
技术领域
本发明属于通信技术领域,具体涉及无端口隐蔽通信机制,无端口木马等应用。
背景技术
隐蔽通信技术目前应用最多的主要是黑客领域,如木马,病毒等的通信,还有部分远程监控软件。最初,本不需要隐蔽通信技术,但是随着网络安全越来越受到重视,各类防火墙,入侵检测***的相继发展,木马,病毒等使用简单的通信机制已无法再生存,隐蔽通信技术正是因此而渐渐发展起来了。下面就隐蔽通信技术的发展历程作简要讨论。
(1)监听端口
这种方式是绑定并监听在一个端口上,等待控制端的连接。这是最初的通信方式,没有隐蔽效果,不包括在隐蔽通信技术范围内。这也是木马最初使用的通信方式,是应控制端无固定IP,而要控制多个目标机器的需求而设计的。如冰河等都使用这种方式。
优点:控制端无需固定IP,使被控制端无法追踪控制端,控制端不易被发现;可以有选择性地与某些被控制端建立连接。
缺点:目前很多防火墙都会限制非信任程序开放端口;如果被控制端处于 NAT环境,则无法相应连接请求。
(2)反向连接
这种方式不会监听在某一个端口上,而是主动向控制端发起连接请求。这是在“监听端口”技术的基础上发展起来的,为了突破防火墙禁止非信任程序开放端口的限制而发展起来的。如广外女生等都使用了这种方式。
优点:部分防火墙并不限制主动向外发起的连接,因此能突破部分防火墙;如果被控制端位于NAT环境仍然可以正常使用。
缺点:如果控制端不在线,控制代理需要不断地尝试向控制端发起连接请求,容易被发现;需要在控制代理中设置固定的控制端地址,易被跟踪发现;如果控制端位于NAT环境则无法正常使用;目前部分防火墙也会限制非信任程序主动向外发起的连接。
(3)寄生在信任进程中+反向连接
这种方式即让控制代理线程寄生在信任进程(如IE)中,利用防火墙不阻挡信任进程开放端口的规则而可以自由使用端口。如灰鸽子等都使用了这种方式。
优点:可以穿透绝大部分防火墙;由于没有独立的控制代理进程,因此隐藏性有了进一步的提升;具有反向连接的其它优点。
缺点:尽管没有独立的控制代理进程,但控制代理仍然寄生在信任进程中,无端开启的信任进程易引起用户的怀疑;具有反向连接的其它缺点。
(4)RAW_SOCKET监听+反向连接
这种方式即平时不开放端口,只创建一个RAW_SOCKET进行监听,当监听到约定的报文时主动连接到控制端。如NameLess BackDoor等都使用这种方式。
优点:平时不开放端口,不易引起怀疑,隐藏性在反向连接的基础上又有了进一步的提升;具有反向连接的其它优点。
缺点:在监听的过程中,创建了RAW_SOCKET,使用冰刃等工具还是可以很容易地发现控制代理进程;在通信过程中仍然要开放新的端口,还是容易引起用户的怀疑;具有反向连接的其它缺点。
(5)重用***端口。这种方式即监听于***开放的TCP端口,当监听到约定的报文时使用已建立起来的TCP连接与控制端进行通信。如黑客之门等都使用这种方式。这是目前一种非常隐蔽亦非常有效的隐蔽通信技术,如果与寄生信任进程合起来使用,效果非常好。但是,这种技术目前还没有公开,黑客之门的作者也只提到了重用***端口,详细细节并没有提及。
优点:通信前以及通信过程中都没有开放新的端口,使用***端口,可以轻轻松松地穿过防火墙。
缺点:被控制端不能主动向控制端发起连接,如果被控制端位于NAT环境,则无法正常使用。在通信过程中,会建立2个RAW_SOCKET,虽然不知道其技术细节,但这样还是会暴露控制代理的行踪,使用冰刃等工具仍然可以轻松的发现。
(6)伴随着网络攻防技术的发展,隐蔽通信技术发展得越来越完善,隐蔽能力越来越强,从监听端口到反向连接,到RAW_SOCKET监听,再到重用***端口,隐蔽性越来越高。从开放TCP端口到不开放TCP端口,目的都是要尽量留下最少的信息,以免被用户或安全软件察觉。然而,以上的技术,都或多或少的会留下些蛛丝马迹,如果用户稍有安全意识或经过仔细检查,仍然很容易发现。
发明内容
本节针对以往隐蔽通信技术的开放TCP端口,创建RAW_SOCKET等容易留下蛛丝马迹的特征,提出了面向网络攻击与防护的无端口隐蔽通信方法,该机制很好地解决了上述的不足之处,并且将该机制应用于实际,设计并实现了一个无端口的木马,经测试和分析,取得了良好的实验效果。
为解决上述发明,将整个过程分为两个阶段:无端口隐蔽通信机制的关键技术和利用无端口隐蔽通信技术设计并实现无端口木马。
1、无端口隐蔽通信机制的关键技术
控制代理运行后,并不直接参与通信,而是将控制代理线程(主要包含负责和控制端通信的代码)注入到其它正常进程(宿主进程)中后销毁自身,宿主进程中的控制代理线程不打开任何端口,也不创建任何新的socket,而是在宿主进程中搜索已创建的socket,如果与该socket(TCP类型的)连接的对方端口是约定端口(如8888)或者接受到约定数据后,可判定对方是可信任的控制端,并根据该连接或数据包获取控制端的地址信息,控制代理线程的通信代码开始工作,利用这个socket和获取到的控制端的地址信息与控制端进行通信。
因此,使用这种方式,在通信过程中不会有任何新的端口产生,也没有任何新的socket被创建,隐蔽性非常高;同时控制代理线程工作在被用户和防火墙信任的宿主进程中,达到了进程隐藏目的,更不易被发现。无端口隐蔽通信机制框架如图1所示。
2、利用无端口隐蔽通信技术设计并实现无端口木马
目前隐蔽通信技术常用于木马,下面将无端口隐蔽通信技术应用于实际,设计一个无端口木马:
(1)木马端的设计
利用无端口隐蔽通信技术,根据使用socket的类型,认证方式以及完成的功能等可以设计出多种的无端口木马,下面是一种无端口木马的设计方案:
完成的功能:通过控制代理获取被控制端机器的口令文件,windows***一般是不允许进程访问口令文件SAM的,但是windows常常会将SAM的备份文件放在%windowsroot%\repair目录下,而这个文件是可以自由访问的,我们就以这个文件为例,将其传输出来。
socket类型:TCP类型,以保证传送文件的可靠性。
认证方式:约定端口认证,这种方式简便易行,虽然安全性较差,但是这个无端口木马只用于测试,对安全性要求不高。在实际使用中,可以使用安全性更强的的认证方式。
设计细节:使用无端口隐蔽通信技术,将负责和控制端通信的代码注入到开放TCP端口的进程(宿主进程)中,在宿主进程中搜索已建立的TCP连接,如果对方端口是约定端口8888,则打开备份在%windowsroot%\repair下的口令文件,使用这个已建立起来的TCP连接将文件内容传送给控制端。
控制端的设计,控制端完成得功能较少,设计也较简单,控制端完成的功能即向被控制端的一个TCP端口发起连接,然后等待代理线程将SAM文件内容传输过来,并将其保存到一个本地文件中,无端口木马的实现框图如图2所示。
(2)无端口木马的实现阶段
为了使无端口木马达到更好的因此效果,木马端完全使用汇编语言实现。根据2.2节的设计示意图,无端口木马的工作流程图如2所示,控制端的工作流程图如3所示。
附图说明
图1无端口隐蔽通信机制框架;
图2无端口木马的工作流程图;
图3控制端工作流程图;
图4隐蔽通信成功率最小二乘拟合图;
图5隐蔽通信软件在UDP端口下丢包率测试。
具体实施方式
下面结合附图及实施实例对本发明作进一步的说明。
图1是无端口隐蔽通信机制框架。控制代理运行后,并不直接参与通信,而是将控制代理线程(主要包含负责和控制端通信的代码)注入到其它正常进程(宿主进程)中后销毁自身,宿主进程中的控制代理线程不打开任何端口,也不创建任何新的socket,而是在宿主进程中搜索已创建的socket,如果与该socket(TCP 类型的)连接的对方端口是约定端口(如8888)或者接受到约定数据后,可判定对方是可信任的控制端,并根据该连接或数据包获取控制端的地址信息,控制代理线程的通信代码开始工作,利用这个socket和获取到的控制端的地址信息与控制端进行通信。
图2是所设计无端口木马的工作流程图。通过控制代理获取被控制端机器的 SAM备份文件,为了保证传送文件的可靠性,我们选用TCP类型进行通信,以约定端口认证作为认证方式。将负责和控制端通信的代码注入到开放TCP端口的进程(宿主进程)中,在宿主进程中搜索已建立的TCP连接,如果对方端口是约定端口8888,则打开备份在%windowsroot%\repair下的口令文件,使用这个已建立起来的TCP连接将文件内容传送给控制端。
图3给出了控制端工作流程图。控制端创建了连接文件后,即向被控制端的一个TCP端口发起连接,然后等待代理线程将SAM文件内容传输过来,并将其保存到一个本地文件中。
图4给出了隐蔽通信成功率最小二乘拟合的结果,为了测试无端口隐蔽通信技术的性能,我们设计并实现了一个无端口木马,设定若干通信指标作为隐蔽通信完成度的参考,如木马成功注入线程,控制端与被控制端建立连接,成功向控制端传输文件,代理线程是否被发现,当上述指标全部到达,则认为是一次成功隐蔽通信事件。对此,我们将被控制端置于NAT网络环境下,进行了100次模拟隐蔽通信测试,实验所得统计数据经最小二乘拟合后,可以看出隐蔽通信成功率大致分布在0.8~0.9之间,说明采用无端口隐蔽通信机制实现的木马具有极强的隐蔽性和免杀性。
图5验证了无端口隐蔽通信在实际应用中的可行性。Window***往往开放的UDP端口比较多,容易利用,且没有连接状态决定了其可以达到更好的隐藏性,因此可以充分利用UDP端口。对于不涉及大数据量的传送,只传送一些简短的指令,UDP端口的使用已足够了。在此,我们通过实验测试无端口隐蔽通信在UDP 端口下丢包率来验证其可行性,实验结果如表1所示。
对该无端口隐蔽通信机制的隐蔽性做出进一步测试。通过上文中提到的木马程序测试隐蔽通信HTTP会话过程,统计出隐蔽通信流量包长度。实验结果如表 1所示,实验数据包长度主要分布在691~1094byte区间,由于数据包过大,其在网络流量中容易被检测为异常流量。为了降低被检测为异常流量的概率,同时保证隐蔽通信的传输效率,可以考虑通过减小控制协议的冗余度以提高通信的隐蔽性。
表1
无端口隐蔽通信机制目前已在windows 2K sp4和windows XP sp2平台上实现,并通过测试。实验表明采用该机制实现的木马具有极强的隐蔽性和免杀性。无端口隐蔽通信机制重点在于利用现有资源,不生成任何多余信息,在隐蔽性和可扩展性上具有很大进步,目前还没有网络防护技术可以简单轻易地识别这种隐蔽通信机制,无端口隐蔽通信机制可应用于很多领域,特别是网络安全领域,如保密通信,穿越防火墙通信,木马通信等,应用前景比较广阔。
Claims (3)
1.面向网络攻击与防护的无端口隐蔽通信方法,其特征在于提出了一种新的隐蔽通信机制,并对该通信机制的关键技术进行了重点阐述,基于该机制,实现了一个无端口木马,给出了无端口木马的框架结构。
2.如权利要求1所述的面向网络攻击与防护的无端口隐蔽通信方法,其特征在于,控制代理(即所设计的无端口木马)运行后,并不直接参与通信,而是将控制代理线程(主要包含负责和控制端通信的代码)注入到其它正常进程(宿主进程)中后销毁自身,宿主进程中的控制代理线程不打开任何端口,也不创建任何新的socket,而是在宿主进程中搜索已创建的socket,如果与该socket(TCP类型的)连接的对方端口是约定端口(如8888)或者接受到约定数据后,可判定对方是可信任的控制端,并根据该连接或数据包获取控制端的地址信息,控制代理线程的通信代码开始工作,利用这个socket和获取到的控制端的地址信息与控制端进行通信。
因此,使用这种方式,在通信过程中不会有任何新的端口产生,也没有任何新的socket被创建,隐蔽性非常高;同时控制代理线程工作在被用户和防火墙信任的宿主进程中,达到了进程隐藏目的,更不易被发现。
3.如权利要求1所述的面向网络攻击与防护的无端口隐蔽通信方法,实现了一个无端口木马,给出了无端口木马的框架结构,其特征在于,利用无端口隐蔽通信技术,根据使用socket的类型,认证方式以及完成的功能等可以设计出多种的无端口木马,木马端完成的功能:通过控制代理获取被控制端机器的口令文件,windows***一般是不允许进程访问口令文件SAM的,但是windows常常会将SAM的备份文件放在%windowsroot%\repair目录下,而这个文件是可以自由访问的,我们就以这个文件为例,将其传输出来;
socket类型:TCP类型,以保证传送文件的可靠性,
认证方式:约定端口认证,这种方式简便易行,虽然安全性较差,但是这个无端口木马只用于测试,对安全性要求不高,在实际使用中,可以使用安全性更强的的认证方式。
设计细节:使用无端口隐蔽通信技术,将负责和控制端通信的代码注入到开放TCP端口的进程(宿主进程)中,在宿主进程中搜索已建立的TCP连接,如果对方端口是约定端口8888,则打开备份在%windowsroot%\repair下的口令文件,使用这个已建立起来的TCP连接将文件内容传送给控制端;
控制端完成的功能即向被控制端的一个TCP端口发起连接,然后等待代理线程将SAM文件内容传输过来,并将其保存到一个本地文件中。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911160410.1A CN110855705A (zh) | 2019-11-23 | 2019-11-23 | 面向网络攻击与防护的无端口隐蔽通信方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911160410.1A CN110855705A (zh) | 2019-11-23 | 2019-11-23 | 面向网络攻击与防护的无端口隐蔽通信方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN110855705A true CN110855705A (zh) | 2020-02-28 |
Family
ID=69603871
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911160410.1A Pending CN110855705A (zh) | 2019-11-23 | 2019-11-23 | 面向网络攻击与防护的无端口隐蔽通信方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110855705A (zh) |
Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1770767A (zh) * | 2005-09-01 | 2006-05-10 | 武汉思为同飞网络技术有限公司 | 对vpn报文进行tcp应用层协议封装的***及其方法 |
| CN101286995A (zh) * | 2008-05-23 | 2008-10-15 | 北京锐安科技有限公司 | 一种远程控制方法和远程控制*** |
| CN101388061A (zh) * | 2008-11-05 | 2009-03-18 | 山东中创软件工程股份有限公司 | 基于Windows***远程线程监控的进程保护技术 |
| CN102394859A (zh) * | 2011-07-27 | 2012-03-28 | 哈尔滨安天科技股份有限公司 | 基于线程行为的木马窃取文件检测方法和*** |
| US20140325650A1 (en) * | 2013-04-26 | 2014-10-30 | Kaspersky Lab Zao | Selective assessment of maliciousness of software code executed in the address space of a trusted process |
| EP3021252A1 (en) * | 2014-11-17 | 2016-05-18 | Samsung Electronics Co., Ltd. | Method and apparatus for preventing injection-type attack in web-based operating system |
| CN105897728A (zh) * | 2016-04-27 | 2016-08-24 | 江苏警官学院 | 一种基于sdn的反病毒*** |
| CN107800705A (zh) * | 2017-11-02 | 2018-03-13 | 北京邮电大学 | 一种基于信息隐藏技术的木马植入途径 |
| CN109347817A (zh) * | 2018-10-12 | 2019-02-15 | 厦门安胜网络科技有限公司 | 一种网络安全重定向的方法及装置 |
| CN109543466A (zh) * | 2018-10-31 | 2019-03-29 | 北京航空航天大学 | 一种基于功能特性展开的硬件木马威胁性分析方法 |
-
2019
- 2019-11-23 CN CN201911160410.1A patent/CN110855705A/zh active Pending
Patent Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1770767A (zh) * | 2005-09-01 | 2006-05-10 | 武汉思为同飞网络技术有限公司 | 对vpn报文进行tcp应用层协议封装的***及其方法 |
| CN101286995A (zh) * | 2008-05-23 | 2008-10-15 | 北京锐安科技有限公司 | 一种远程控制方法和远程控制*** |
| CN101388061A (zh) * | 2008-11-05 | 2009-03-18 | 山东中创软件工程股份有限公司 | 基于Windows***远程线程监控的进程保护技术 |
| CN102394859A (zh) * | 2011-07-27 | 2012-03-28 | 哈尔滨安天科技股份有限公司 | 基于线程行为的木马窃取文件检测方法和*** |
| US20140325650A1 (en) * | 2013-04-26 | 2014-10-30 | Kaspersky Lab Zao | Selective assessment of maliciousness of software code executed in the address space of a trusted process |
| EP3021252A1 (en) * | 2014-11-17 | 2016-05-18 | Samsung Electronics Co., Ltd. | Method and apparatus for preventing injection-type attack in web-based operating system |
| CN105897728A (zh) * | 2016-04-27 | 2016-08-24 | 江苏警官学院 | 一种基于sdn的反病毒*** |
| CN107800705A (zh) * | 2017-11-02 | 2018-03-13 | 北京邮电大学 | 一种基于信息隐藏技术的木马植入途径 |
| CN109347817A (zh) * | 2018-10-12 | 2019-02-15 | 厦门安胜网络科技有限公司 | 一种网络安全重定向的方法及装置 |
| CN109543466A (zh) * | 2018-10-31 | 2019-03-29 | 北京航空航天大学 | 一种基于功能特性展开的硬件木马威胁性分析方法 |
Non-Patent Citations (1)
| Title |
|---|
| ADMIN: "无进程无端口DLL木马的设计与实现", 《豆丁网》 * |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Panchal et al. | Security issues in IIoT: A comprehensive survey of attacks on IIoT and its countermeasures | |
| US8904558B2 (en) | Detecting web browser based attacks using browser digest compute tests using digest code provided by a remote source | |
| Harris et al. | TCP/IP security threats and attack methods | |
| US7370354B2 (en) | Method of remotely managing a firewall | |
| US8095983B2 (en) | Platform for analyzing the security of communication protocols and channels | |
| CN110198297B (zh) | 流量数据监控方法、装置、电子设备及计算机可读介质 | |
| Hassan et al. | Broken authentication and session management vulnerability: a case study of web application | |
| Dissanayake | DNS cache poisoning: A review on its technique and countermeasures | |
| Rødfoss | Comparison of open source network intrusion detection systems | |
| Khosravifar et al. | An experience improving intrusion detection systems false alarm ratio by using honeypot | |
| Alturfi et al. | A combination techniques of intrusion prevention and detection for cloud computing | |
| Diebold et al. | A honeypot architecture for detecting and analyzing unknown network attacks | |
| Chen et al. | An inline detection and prevention framework for distributed denial of service attacks | |
| Van Antwerp | Exfiltration techniques: An examination and emulation | |
| CN110855705A (zh) | 面向网络攻击与防护的无端口隐蔽通信方法 | |
| Ali et al. | Wireshark window authentication based packet captureing scheme to pervent DDoS related security issues in cloud network nodes | |
| CN112769731A (zh) | 一种进程控制方法、装置、服务器及存储介质 | |
| G. Quilantang et al. | Exploiting Windows 7 vulnerabilities using penetration testing tools: A case study about Windows 7 vulnerabilities | |
| KR102621652B1 (ko) | DRDoS 공격 대응 방법, DRDoS 공격 대응 프로그램 및 DRDoS 공격 대응 기능을 구비한 서버 컴퓨터 | |
| KR102082889B1 (ko) | 프로토콜 분석 장치 및 방법 | |
| Rice et al. | A genealogical approach to analyzing post-mortem denial of service attacks | |
| Asaka et al. | Public information server for tracing intruders in the Internet | |
| Iacob et al. | HTTP protocol security for e-learning platforms | |
| Jeichande | Redundant firewalls for web applications | |
| Zah et al. | SECURITY ANALYSIS OF THE ARCHITECTURAL COMPONENTS WITHIN A WEB-BASED REPORTING APPLICATION. |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20200228 |