追逐本源,放弃浮华
EarthWorm

Termite

Friends

RSS

分享一个CC模拟器

16 Aug 2016 TAGS : [ 技术相关 ]

博客长了草,是时候来清理一下了。

“空”,这个字其实是一字禅语,能从心底理解了这个字的人,一般就“开悟”了。自知慧根其实还差的远,只是觉得本文缺个开头,贴上来占个地方,仅此而已。

这段期间主要是在分析僵尸网络的样本,然后写跟踪程序,然后等待指令验证跟踪结果。这工作本身并没什么新技术,索性还是不写了。

不过为了辅助样本分析工作,搞出了一个有趣的工具模型,它就像是个潘多拉魔盒。对大部分人来说,毛用没有,而对一些有资源的人来说,它也可以成为一件兵器。今天部门共享了数据,我顺便分享个协议模拟器,凑个热闹。

C&C模拟器

由于最近的工作内容同样本家族的通讯协议关联度很大,为了验证逆向分析的结果,就实现了一个C&C模拟器,来模拟恶意样本的主控端,这个主控端,除了能辅助样本的动态调试,还可以用来验证跟踪程序实现的正确性,可以说对本人工作还是很有帮助的。

用了一段时间突然意识到,有了这类工具的辅助,就可以迅速将已经抓到的样本为己所用,如果能开发出服务端生成器类型的工具,同样可以很有效的降低攻击成本。

地址

python实现的,已经托管到github上了,感兴趣的去下载吧。仅用于模型验证,如果想要用于实战,还有很多细节需要注意。

https://github.com/rootkiter/cc_simulator

TAGS : [ 技术相关 ]