最近XShell很是火了一把，每個(gè)安全廠商都在發(fā)通告，都在分析，反正就是百花齊放，在這里我想做一個(gè)總結(jié)，從前些時(shí)間的勒索軟件到今天的xshell，其實(shí)我們可以看到共同點(diǎn)：

那就是根據(jù)特定的算法生成偽隨機(jī)的域名，當(dāng)然這些域名都是未注冊的，這樣就有一個(gè)好處就是不容易暴露，讓人找不到源頭，并且由于域名無法解析導(dǎo)致后面的流程無法執(zhí)行，等到感染量大后，再注冊域名，這樣就可以在幾天之內(nèi)做很驚人的事情。

那么對于這種情況怎么防止呢？先看看自動化沙箱的其中一個(gè)功能吧，沙箱不太完善，最近在修改中，先看看結(jié)果吧。

看isReg欄目，當(dāng) reg=1的時(shí)候 說明域名已經(jīng)被注冊，當(dāng)reg=0的時(shí)候 說明域名沒有被注冊 ，如果reg=0，那么就要注意了，我們又遇到那種先隨機(jī)生成域名，讓病毒感染一段時(shí)間在操作的事情了。

詳細(xì)實(shí)現(xiàn)步驟

第一步：沙箱客戶端的功能之一 基于wpcap開發(fā)了一個(gè)抓dns包的工具

打開這個(gè)工具

第二步：運(yùn)行特定軟件

我這里選擇xshell，蹭蹭熱度

//2017.8月份的

現(xiàn)在我修改一下時(shí)間2016.12

第三步：工具會給域名提交到沙箱網(wǎng)站上，看數(shù)據(jù)庫設(shè)計(jì)

第四步：當(dāng)查看沙箱網(wǎng)站首頁的時(shí)候，調(diào)用域名查詢接口，這里我是調(diào)用阿里云的dns查詢接口 

有人會說我用wireshark抓包，再到注冊域名的網(wǎng)站查詢一下，可以，但是你會很浪費(fèi)時(shí)間，并且效率不高，現(xiàn)在都是自動化了。

總結(jié)一下

現(xiàn)在木馬慢慢開始傾向于域名先生成，再注冊的形式，那么我們手上的工具能否與時(shí)俱進(jìn)啦？

ps：對這個(gè)項(xiàng)目感興趣我們私下交流，需要源碼，發(fā)私信給我，我這里就不過多的講解源代碼了，思路為上。
本文作者：刀郎，轉(zhuǎn)載請注明來自FreeBuf.COM
 

本文題目：關(guān)于XShell我有話說
網(wǎng)站路徑：http://www.rwnh.cn/news/104942.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供自適應(yīng)網(wǎng)站、移動網(wǎng)站建設(shè)、網(wǎng)站排名、企業(yè)網(wǎng)站制作、服務(wù)器托管、網(wǎng)站收錄

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來源： 創(chuàng)新互聯(lián)