定位內網中毒主機小記

最新 06-20

一、事件起因

客戶向公司反映使用IDS設備捕獲到木馬上線域名需要處理，雖然是逆向崗但還是有預感未來應急響應的工作只會越來越多。所以作為新人的我選擇了跟帶頭BOSS去現場學習，並且將自己參與應急響應中的工作和思路進行記錄。

二、前置知識

1）動態域名解析

用戶每一次上網時運營商都會隨機分配一個IP地址。安裝在用戶主機里的動態域名軟體會把這個IP地址發送到動態域名解析伺服器。Internet上的主機要訪問這個域名時動態域名解析伺服器會返回當前用戶主機IP地址給它。這就叫動態域名解析。

2）木馬類型

木馬控制就是開啟一個埠，雙方主機建立網路連接成功後，傳送控制命令實現控制受害者主機的目的。其中有兩個概念：正向連接和反向連接。

正向連接：惡意程序在受害者的主機上監聽個埠，而攻擊者通過這個埠去連接受害者的主機。這要求受害者IP不變的情況下，才能夠連接。

反向連接：在攻擊者主機上監聽個埠，然後由受害者主機來訪問攻擊者主機。就算受害者主機的IP怎麼改變，也可以達到控制的目的。

3）木馬上線連接方式

當前木馬為了增加隱蔽性和反追蹤能力，上線方式會採用第三方域名進行通信。

被控制端首先訪問動態域名，動態域名中指向控制端的真實IP。使被受害主機與攻擊者主機連接，再由控制端發送控制命令。

常見上線方式：HTTP、FTP、DNS、第三方網站（Qzone、csdn等）、IP

上線的流程是被控端訪問動態域名獲取控制端主機真實IP，建立連接後控制端可向被控端發送控制命令。（被控端指的是受害者的主機，控制端指的是攻擊者主機）

圖1 木馬上線簡圖

三、處理過程

經過與客戶單位負責人溝通中得知這幾個月IDS斷斷續續的時間裡捕獲到f33**88.3322.org這個域名,而這個域名被IDS設備報為木馬動態域名。

但由於受攻擊單位的主機是統一配置DNS伺服器（10.0.0.13）進行解析上網的，所以IDS抓到的發包主機IP其實是DNS伺服器的IP（10.0.0.13）。

期間因為攻擊者的木馬動態域名一直沒有解析過，所以IDS無法查出到底是哪台主機中了木馬。

圖2 木馬動態域名無法解析

客戶單位負責人希望我們能夠定位到內網中毒的主機IP，還有對木馬的行為做分析，確定業務受影響的情況。

經過交流後我們決定採用三種方式對中毒主機的IP進行定位。後來通過第三種方式定位到中毒機器。

1、導出IDS設備的回顯日誌，定位中毒主機位置

2、在單位中的DNS伺服器抓取數據包

3、結合內網內部安全設備（上網行為管理、流量控制、IPS）

3.1 導出IDS設備的回顯日誌，定位中毒主機位置

因為中毒主機向外發送數據一定會經過DNS伺服器，流程如下：

中毒主機向外發送請求 ---> DNS伺服器 ---> 域名所在伺服器

中毒主機向外發送請求

這裡遇到的麻煩就是IDS設備捕獲的數據包日誌過大時查詢功能很慢，由於f33**88.3322.org這個域名一直沒有解析成功，通過IDS設備只能根據回顯數據包才可以查詢到通訊成功的內網主機IP。所以我們藉助了ThreatBook、VirusTotal這兩個網站。首先查詢ThreatBook上關於這個域名的網路。