学习如何防范恶意软件的最好方法之一是学习如何检测恶意软件流量。为此,我们不断地在互联网上搜索各种类型的恶意软件pcap,我们可以找到。
本博客关注的是假SSL会话的使用,其中TCP会话以SSL握手开始,但实际上并没有进行握手——这是假的。
我们还将在本博客中展示如何使用强大而灵活的pcap分析来检测这种类型的假SSL。
和我一起来深潜吧…
位于布拉格的捷克技术大学的一个研究小组发布了一份相关且有趣的恶意软件pcap文件列表。在学习这个pcap文件,一个特定的SSL会话引起了我的注意。当一个典型的SSL握手序列开始于客户端发送CLIENT_HELLO消息和服务器端发送消息SERVR_HELLO,证书,SERVER_HELLO_DONE,我没有看到任何迹象的SERVER_HELLO或证书消息在以下pcap:
虽然服务器证书消息确实可以如此之大,跨越1或2个数据包,但我从未见过服务器端消息如此之大,跨越至少8 1514字节的TCP数据帧!出于好奇,我检查了第一个服务器数据包的TCP数据(参见下面突出显示的部分):
该数据绝不是具有良好定义的结构的SSL消息。一个典型的这样的响应将以这样的东西开始(所有十六进制):22 03 01 00 51。由于版本和实际长度的不同,“01”和“00 51”可能略有变化,但pcap中的服务器响应(上面快照中突出显示的部分)显然不是SSL消息。
这并不奇怪,因为我们应该在这样的样本中预测恶意软件的流量,但看到这种“新”的逃避方法被用于C&C通信仍然是非常有趣的。
那么,我们如何自动检测这种逃避行为呢?其思想很简单:如果在连接到端口443(标准SSL端口)的连接上,来自服务器端的第一个数据包不是以字节0x22和0x03开头的,那么就存在一些可疑之处。挑战是如何实现这个简单的想法。如果有人计划使用Wireshark进行搜索/检测,他/她将会立即遇到从服务器端指定第一个数据包的问题。Wireshark不支持有状态报文搜索,这是这个简单技术的逻辑要求。幸运的是,CapStar数据包分析器(CPA)从一开始就被设计为支持有状态搜索,事实上,它是这方面的完美工具。
下面是一个简单的分析,它可以执行这个逻辑并找到这些假SSL会话:
int标志; 数据: |
输出显示有3个这样的假SSL会话:
在上面的分析中,我们使用每个会话变量“标记”来指示何时标记会话。缺省值为0。如果我们遇到一个服务器数据包,这是这个会话的第一个服务器数据包,我们将检查前两个字节是否如指定的那样。无论如何,我们设置了这个变量的值(session.marked),这样我们就知道不必费心分析这个会话中的其他数据包。
CPA不仅在执行复杂的数据包分析和搜索时具有最大的灵活性,而且执行这些操作非常快。CapStar可以在一秒钟内处理1GB的pcap数据,这使得调查人员更容易快速测试各种想法。这个速度和灵活性可以大大提高生产率的一个安全调查的调查员永远不需要担心以下困境面临许多有才华的调查人员:“我应该在接下来的2个小时写一个脚本搜索复杂,可能有前途的模式,知道结果可能不是有趣,我可能会浪费两个小时?”
在这篇博客中,我们提供了如何用CPA自动检测假SSL会话的详细说明。如果您想了解更多关于CPA在分析巨额pcap方面的能力和实力,或者您想进行演示,或尝试进行评估,请不要犹豫,请发送给我们info@capstarforensics.com。