恶意软件加密通信概要分析

部分恶意软件在连接C&C服务器之前，会通过直接访问互联网网站的方式来检测主机联网情况，这些操作也会产生TLS加密流量。通过统计发现：使用查询IP类的站点最多，约占39%;使用访问搜索引擎站点约占30%，其它类型站点约占31%。

图8 检测主机联网环境站点

3. 母体程序正常通信

感染式病毒是将恶意代码嵌入在可执行文件中，恶意代码在运行母体程序时被触发。母体被感染后产生的流量有母体应用本身联网流量和恶意软件产生的流量两类。由于可被感染的母体程序类别较多，其加密通信流量与恶意样本本身特性基本无关，本文就不做详细阐述。

4. 白站隐蔽中转

白站是指相对于C&C服务器，可信度较高的站点。攻击者将控制命令或攻击载荷隐藏在白站中，恶意软件运行后，通过SSL协议访问白站获取相关恶意代码或信息。通过统计发现，最常利用的白站包括Amazonaws、Github、Twitter等。

图9 白站隐蔽中转站点排行

隐藏恶意代码的中转文件类型包括图片、脚本、二进制数据等，如下三个实例：

5. 蠕虫传播通信

蠕虫具有自我复制、自我传播的功能，一般利用漏洞、电子邮件等途径进行传播。监测显示近几年活跃的邮件蠕虫已经开始采用TLS协议发送邮件传播，如Dridex家族就含基于TLS协议的邮件蠕虫模块。我们对36个蠕虫家族样本进行分析，有5个家族使用加密通信协议与C&C服务器建立连接：

图10蠕虫样本加密通信占比

6. 其他通信

除以上几类、还有一些如广告软件、漏洞利用等产生的恶意加密流量。

四、总结

最后，我们将常见的恶意软件使用加密通信方式总结如下图：

图11 恶意软件加密通讯示意图

我们利用上述分类方法，对前期流量数据进行分类处理，将恶意加密流量中的杂质进行过滤、并对其进行分类，再进行特征工程和模型训练调参。数据分类处理的细度和准确度，将直接影响最终模型检出的准确率和误报率。

【本文是51CTO专栏作者“李少鹏”的原创文章，转载请通过安全牛（微信公众号id:gooann-sectv）获取授权】

戳这里，看该作者更多好文

（编辑：晋中站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!