CN116016479A - 服务器控制方法、装置、电子设备及计算机可读存储介质 - Google Patents
服务器控制方法、装置、电子设备及计算机可读存储介质 Download PDFInfo
- Publication number
- CN116016479A CN116016479A CN202211549729.5A CN202211549729A CN116016479A CN 116016479 A CN116016479 A CN 116016479A CN 202211549729 A CN202211549729 A CN 202211549729A CN 116016479 A CN116016479 A CN 116016479A
- Authority
- CN
- China
- Prior art keywords
- server
- target data
- remote control
- target
- program
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 84
- 230000008569 process Effects 0.000 claims abstract description 26
- 238000012545 processing Methods 0.000 claims description 28
- 230000035515 penetration Effects 0.000 description 11
- 230000006854 communication Effects 0.000 description 9
- 238000004590 computer program Methods 0.000 description 9
- 238000004891 communication Methods 0.000 description 8
- 238000012544 monitoring process Methods 0.000 description 8
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 6
- 238000012360 testing method Methods 0.000 description 6
- 238000010586 diagram Methods 0.000 description 5
- 230000000694 effects Effects 0.000 description 5
- 238000005516 engineering process Methods 0.000 description 4
- 230000005856 abnormality Effects 0.000 description 3
- 230000008878 coupling Effects 0.000 description 3
- 238000010168 coupling process Methods 0.000 description 3
- 238000005859 coupling reaction Methods 0.000 description 3
- 238000001514 detection method Methods 0.000 description 3
- 230000006870 function Effects 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 230000014509 gene expression Effects 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Images
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请实施例公开了一种服务器控制方法、装置、电子设备及计算机可读存储介质,属于网络攻击技术领域,能够解决现有技术中C2服务器隐蔽性不高,容易暴露的问题。该方法包括:通过目标端口接收远程控制服务器的连接请求,目标端口被监听程序接管,监听程序运行在被控服务器的内核中,监听程序能够对通过目标端口传输的任意数据进行处理;基于连接请求,与远程控制服务器建立连接;通过目标端口接收目标数据;在目标数据是远程控制服务器发送的情况下,通过恶意控制程序处理目标数据,以实现对被控服务器的控制;在目标数据不是远程控制服务器发送的情况下,将目标数据转发至原服务程序,以使被控服务器的原网络服务正常提供服务。
Description
技术领域
本申请涉及网络攻击技术领域,尤其涉及一种服务器控制方法、装置、电子设备及计算机可读存储介质。
背景技术
渗透测试指使用真实的黑客攻击手段对目标网络进行测试,用以检测目标是否存在可以被利用的安全问题。在渗透测试过程中,当被控服务器由于系统漏洞被测试人员控制后,恶意控制程序一般通过与远程控制(Command and Control,C2)服务器交互实现对被控服务器的远程控制。
现有技术中,大部分是以C2服务器为中心,被控服务器主动向C2服务器建立连接,并在此反向连接中被控服务器接受C2服务器的控制。但该种远程控制方式,会存在C2服务器隐蔽性不高的问题,因为被控服务器对外提供服务,一般都是被动接收请求,而主动向C2服务器发送连接请求会引起流量监控系统的注意,导致流量(连接请求)被截断,C2服务器暴露的问题。
发明内容
本申请实施例提供了一种服务器控制方法、装置、电子设备及计算机可读存储介质,以解决现有技术中C2服务器隐蔽性不高,容易暴露的问题。
本申请实施例的第一方面,提供一种服务器控制方法,该方法包括:通过目标端口接收远程控制服务器的连接请求,目标端口被监听程序接管,监听程序运行在被控服务器的内核中,监听程序能够对通过目标端口传输的任意数据进行处理;基于连接请求,与远程控制服务器建立连接;通过目标端口接收目标数据;在目标数据是远程控制服务器发送的情况下,通过恶意控制程序处理目标数据,以实现对被控服务器的控制;在目标数据不是远程控制服务器发送的情况下,将目标数据转发至原服务程序,以使被控服务器的原网络服务正常提供服务。
本申请实施例的第二方面,提供一种服务器控制装置,该装置包括:接收模块,用于通过目标端口接收远程控制服务器的连接请求,目标端口被监听程序接管,监听程序运行在被控服务器的内核中,监听程序能够对通过目标端口传输的任意数据进行处理;连接建立模块,用于基于连接请求,与远程控制服务器建立连接;接收模块,还用于通过目标端口接收目标数据;处理模块,用于在目标数据是远程控制服务器发送的情况下,通过恶意控制程序处理目标数据,以实现对被控服务器的控制;转发模块,用于在目标数据不是远程控制服务器发送的情况下,将目标数据转发至原服务程序,以使被控服务器的原网络服务正常提供服务。
本申请实施例的第三方面,提供一种电子设备,该电子设备包括处理器、存储器及存储在该存储器上并可在该处理器上运行的程序或指令,该程序或指令被该处理器执行时实现如第一方面所述的服务器控制方法的步骤。
本申请实施例的第四方面,提供一种可读存储介质,该可读存储介质上存储程序或指令,该程序或指令被处理器执行时实现如第一方面所述的服务器控制方法的步骤。
本申请实施例的第五方面,提供一种计算机程序产品,其中,该计算机程序产品包括计算机程序或指令,当该计算机程序产品在处理器上运行时,使得处理器执行该计算机程序或指令,实现如第一方面所述的服务器控制方法的步骤。
本申请实施例的第六方面,提供了一种芯片,该芯片包括处理器和通信接口,该通信接口和该处理器耦合,该处理器用于运行程序或指令,实现如第一方面所述的服务器控制方法。
本申请实施例提供的技术方案与现有技术相比具有如下优点:
本申请实施例中,通过目标端口接收远程控制服务器的连接请求,目标端口被监听程序接管,监听程序运行在被控服务器的内核中,监听程序能够对通过目标端口传输的任意数据进行处理;基于连接请求,与远程控制服务器建立连接;通过目标端口接收目标数据;在目标数据是远程控制服务器发送的情况下,通过恶意控制程序处理目标数据,以实现对被控服务器的控制;在目标数据不是远程控制服务器发送的情况下,将目标数据转发至原服务程序,以使被控服务器的原网络服务正常提供服务。C2服务器主动向被控服务器发送连接请求,与正常的服务请求相同,不会引起流量监控系统的注意,并且,对于C2服务器发送的目标数据,交由恶意控制程序处理,对于正常的服务请求,继续转交给原服务程序,被控服务器可以正常对外提供服务,用户或者安全管理人员不会察觉出任何异常,因此,C2服务器的隐蔽性更高。
附图说明
为了更清楚地说明本申请实施例技术方案,下面将对实施例和现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,还可以根据这些附图获得其它的附图。
图1为本申请实施例提供的一种服务器控制方法的应用场景示意图;
图2为本申请实施例提供的服务器控制方法的流程示意图之一;
图3为本申请实施例提供的服务器控制方法的流程示意图之二;
图4为本申请实施例提供的服务器控制方法的流程示意图之三;
图5为本申请实施例提供的服务器控制方法的流程示意图之四;
图6为本申请实施例提供的服务器控制方法的流程示意图之五;
图7为本申请实施例提供的服务器控制方法的流程示意图之六;
图8为本申请实施例提供的服务器控制方法的流程示意图之七;
图9为本申请实施例提供的服务器控制方法的流程示意图之八;
图10为本申请实施例提供的服务器控制方法的交互示意图;
图11为本申请实施例提供的一种服务器控制装置的结构框图;
图12为本申请实施例提供的一种电子设备的硬件结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员获得的所有其他实施例,都属于本申请保护的范围。
本申请的说明书和权利要求书中的术语“第一”、“第二”等是用于区别类似的对象,而不用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便本申请的实施例能够以除了在这里图示或描述的那些以外的顺序实施,且“第一”、“第二”等所区分的对象通常为一类,并不限定对象的个数,例如第一对象可以是一个,也可以是多个。此外,说明书以及权利要求中“和/或”表示所连接对象的至少其中之一,字符“/”,一般表示前后关联对象是一种“或”的关系。
下面首先对本发明的权利要求书和说明书中涉及的一些名词或者术语进行解释说明。
渗透测试是指使用真实的黑客攻击手段对目标网络进行测试,用以检测目标是否存在可以被利用的安全问题。本发明的应用场景主要是测试者已经取得被测试系统的控制权限,可以展开远程控制的情形。C2服务器指黑客或渗透测试人员使用的远程控制节点,C2服务器与被控端程序(在被控服务器上运行)建立网络连接,通过该连接发送指令并接收执行结果,测试者使用C2服务器对多个渗透测试目标进行全面和统一的控制。
恶意控制程序指一种运行在被控服务器系统中的恶意程序,可以接收控制指令并进行响应,达到远程控制的目的,如木马程序。
端口复用指多个网络服务进程共享同一个传输端口(TCP/UDP协议)。通常由一个特制程序监听该共享端口,在接到连接请求后进行相应解析,判断该请求应该发往哪一个目标网络服务,并最终将其传递到正确的服务进程进行处理,实现该端口上所有服务的正常运行。
实现端口复用的技术手段一般包括用户态和内核态两大类。其中用户态复用,需要该端口上的上述特制程序支持,如不支持,则可能需要对其运行逻辑进行修改。因为用户态的任何数据交互均先经过内核态处理,所以内核态的复用技术对此没有限制,操作系统内核接到发往特定端口的数据包后,可以自由对其进行处理,分发给不同的程序,从而达到灵活的端口复用。
校验和(Checksum),或称哈希值(hash),是通过某种安全的密码学哈希算法计算目标数据,最终得到一段能代表该数据的唯一固定长度字符串,在密码学角度来看该Checksum与其代表的目标数据属于唯一对应关系,没有任何其他数据可以得到同样的Checksum。
数字签名技术属于非对称加密技术和公钥体系的一种应用。具体地,通信双方A和B均拥有自己的公私钥密钥对,且互相拥有对方的公钥,公钥加密的数据可被私钥解密,反之亦然。A发送一段消息给B,需要让B确定消息来源于自己,它首先计算这段消息的Checksum,然后使用自己的私钥对其进行加密,得到的结果即为对Checksum的数字签名,为随机数据,A将该数字签名和消息本身一并发送给B,B接到后,使用A的公钥对数字签名进行解密,得到一个Checksum,然后计算其接到消息的Checksum,将计算结果与接收到的Checksum进行对比,若一致则认为该消息确实来自于A,否则认为消息被篡改。
传统的C2架构通常是以C2服务器为中心,被控服务器主动向C2服务器建立连接,并在此反向连接中接受C2服务器的控制操作。
在一些特定应用场景中,被控服务器位于公网或者被控服务器可以接收来自公网的连接,此时,要求C2服务器具备较高的隐蔽性,但使用传统的C2架构会存在以下风险:
1、对于网络环境而言缺乏必要性,被控服务器无需反向连接即可建立被控服务器与C2服务器通信;因为,被控服务器来自公网或者被控服务器可以接收来自公网的连接,通过C2服务器发起连接请求,可以实现被控服务器与C2服务器通信(对于内网的被控服务器,C2服务器是无法主动建立连接的)。
2、就隐蔽性而言,这种被控服务器发出主动对外连接的可疑性也极高,更容易引起流量监控系统的注意;因为一般情况下,被控服务器对外提供服务,是被动接收外部发送的服务请求,很少主动对外发送请求,因此,对于被控服务器主动对外发送请求的流量,容易引起流量监控系统的注意,流量会被截断,也容易被安全员通过溯源发现C2服务器。
3、C2服务器可被主动探测和识别;C2服务器为了能时刻接收到被控服务器的连接,所以需要一直处于在线状态,并且被控服务器需要知道连接的C2服务器的IP以及对外提供的端口号和网络协议,根据IP以及对外提供的端口号和网络协议连接C2服务器,因此C2服务器IP、端口号和网络协议固定,容易被安全员探测和识别。
4、恶意控制程序需要不间断运行并和C2保持连接,否则将无法建立控制连接,这样的设计导致恶意控制程序更容易被发现。因为反向连接中,C2服务器不知道恶意控制程序的存在,被控服务器与C2连接以后,恶意控制程序每隔一段时间向C2发送一次心跳,以使C2服务器知道恶意控制程序存活,向恶意控制程序发送指令,恶意控制程序执行指令实现对被控服务器的控制,因此,恶意控制程序持续运行,容易被安全软件扫描识别到。
首先,图1为本申请实施例示出的一种服务器控制方法的应用场景的示意图。如图1所示,包括:C2服务器100,用于与被控服务器200通过公网建立连接,并发送控制指令至被控服务器200;被控服务器200通过目标端口接收到目标数据,在目标数据是C2服务器100发送的情况下,通过恶意控制程序201处理目标数据;在目标数据不是C2服务器100发送的情况下,将目标数据转发至原服务程序202。
本申请实施例中的电子设备可以为移动电子设备,也可以为非移动电子设备。移动电子设备可以为手机、平板电脑、笔记本电脑、掌上电脑、车载电子设备、可穿戴设备、超级移动个人计算机(ultra-mobile personal computer,UMPC)、上网本或者个人数字助理(personal digital assistant,PDA)等;非移动电子设备可以为个人计算机(personalcomputer,PC)、电视机(television,TV)、柜员机或者自助机等;本申请实施例不作具体限定。
本申请实施例提供的服务器控制方法的执行主体可以为上述的电子设备(包括移动电子设备和非移动电子设备),也可以为该电子设备中能够实现该服务器控制方法的功能模块和/或功能实体,具体的可以根据实际使用需求确定,本申请实施例不作限定。
下面结合附图,通过具体的实施例及其应用场景对本申请实施例提供的服务器控制方法进行详细地说明。
如图2所示,本申请实施例提供一种服务器控制方法,下面以执行主体为被控服务器为例,对本申请实施例提供的服务器控制方法进行示例性的说明。该方法可以包括下述的步骤101至步骤105。
101、通过目标端口接收远程控制服务器的连接请求。
其中,目标端口被监听程序接管,监听程序运行在被控服务器的内核中,监听程序能够对通过目标端口传输的任意数据进行处理。
102、基于连接请求,与远程控制服务器建立连接。
可以理解,被控服务器由于安全漏洞被渗透测试人员控制,其内核中被插入了监听程序,用于接管目标端口。目标端口被接管后,通过目标端口传输的数据由监听程序进行管理和处理。
可以理解,由于被控服务器已被渗透测试人员控制,因此被控服务器被接管的端口、协议以及网络位置信息,对于C2服务器均是公开的,C2服务器主动通过目标端口主动与被控服务器建立连接。
103、通过目标端口接收目标数据。
104、在目标数据是远程控制服务器发送的情况下,通过恶意控制程序处理目标数据。
其中,在目标数据是远程控制服务器发送的情况下,通过恶意控制程序处理目标数据,以实现对被控服务器的控制。
105、在目标数据不是远程控制服务器发送的情况下,将目标数据转发至原服务程序。
其中,在目标数据不是远程控制服务器发送的情况下,将目标数据转发至原服务程序,以使被控服务器的原网络服务正常提供服务。
可以理解,目标端口可以接收到C2服务器发送的控制指令,也可以接收到网络中合法的服务请求,因此,目标端口对于接收到的目标数据,在确定是C2服务器发送的情况下,交由恶意控制程序处理;在确定不是C2服务器发送的情况下,则认为该目标数据是合法的服务请求,将目标数据转交至原服务程序(或原服务进程)。
可以理解,恶意控制程序可以是渗透测试人员通过安全漏洞提前植入被控服务器中,也可以是被控服务器与C2服务器连接成功后,C2服务器向被控服务器下发的,还可以是与监听程序一起被插入被控服务器的内核中(由于内核的高特权级别,多数安全机制对其中的恶意代码很难查杀,因此,将恶意控制程序插入内核中更不易被发现),具体地本申请实施例不做限定。
可以理解,通过恶意控制程序处理目标数据,即通过恶意控制程序执行目标数据对应的控制指令,以实现窃取、监听等操作,如:目标数据指示的控制指令为下载被控服务器的数据库,则被控服务器的数据库被窃取。
本申请实施例中,通过目标端口接收远程控制服务器的连接请求,目标端口被监听程序接管,监听程序运行在被控服务器的内核中,监听程序能够对通过目标端口传输的任意数据进行处理;基于连接请求,与远程控制服务器建立连接;通过目标端口接收目标数据;在目标数据是远程控制服务器发送的情况下,通过恶意控制程序处理目标数据,以实现对被控服务器的控制;在目标数据不是远程控制服务器发送的情况下,将目标数据转发至原服务程序,以使被控服务器的原网络服务正常提供服务。C2服务器主动向被控服务器发送连接请求,与正常的服务请求相同,不会引起流量监控系统的注意,并且,对于C2服务器发送的目标数据,交由恶意控制程序处理,对于正常的服务请求,继续转交给原服务程序,被控服务器可以正常对外提供服务,用户或者安全管理人员不会察觉出任何异常,因此,C2服务器的隐蔽性更高。
本申请一些实施例中,结合图2,如图3所示,上述步骤104之后,该服务器控制方法还包括下述步骤106。
106、删除恶意控制程序。
可以理解,在恶意控制程序执行完成目标数据对应的控制指令后,将恶意控制程序进行删除,可以进一步保证对于被控服务器的控制操作不被察觉。
本申请实施例中,在恶意控制程序执行完任务后,删除恶意控制程序,可以进一步确保恶意控制程序在被控服务器上的控制操作不被察觉。
本申请一些实施例中,结合图2,如图4所示,上述步骤104之前,该服务器控制方法还包括下述步骤107。
107、接收远程控制服务器发送的恶意控制程序并保存。
可以理解,恶意控制程序不提前存储在被控服务器中,而是在远程控制服务器与被控服务器连接成功后,需要恶意控制程序执行控制操作的情况下,远程控制服务器再向被控服务器发送恶意控制程序,防止提前存储在被控服务器上的恶意控制程序被扫描到。
本申请实施例中,在C2控制服务器需要通过恶意控制程序执行控制指令时,再向被控服务器发送恶意控制程序,防止恶意控制程序提前存储在被控服务器中,被安全软件扫描查杀。
本申请一些实施例中,结合图2,如图5所示,上述步骤104具体可以通过下述步骤104a和步骤104b实现。
104a、在目标数据是远程控制服务器发送的情况下,将目标数据发送至恶意控制程序。
104b、通过恶意控制程序处理目标数据。
可以理解,恶意控制程序被提前插入内核中,则在目标数据是远程控制服务器发送的情况下,监听程序接收到的目标数据直接由恶意控制程序处理,因为监管程序与恶意控制程序均位于被控服务器的内核中;在恶意控制程序不在被控服务器的内核中的情况下,监管程序将目标数据发送至恶意控制程序,通过恶意控制程序处理目标数据。如此,恶意控制程序可以灵活选择在被控服务器的位置,且无论处于什么位置,均可实现对被控服务器的控制操作。
本申请一些实施例中,结合图2,如图6所示,上述步骤104具体可以通过下述步骤104c至步骤104e实现。
104c、在目标数据是远程控制服务器发送的情况下,检测恶意控制程序是否启动。
104d、在恶意控制程序未启动的情况下,启动恶意控制程序。
104e、通过恶意控制程序处理目标数据。
可以理解,为了降低被安全软件扫描发现的可能性,恶意控制软件在不执行远程控制服务器发送的控制指令时,处于静默状态,即不启动,如此,可以大大降低被扫描查杀的可能。
本申请实施例中,在目标数据是远程控制服务器发送的情况下,检测恶意控制程序是否启动;在恶意控制程序未启动的情况下,启动恶意控制程序;通过恶意控制程序处理目标数据。如此,在恶意控制程序在未处理远程控制服务器发送的控制指令的情况下,处于静默状态,仅在需要处理目标数据时,才启动,无需保持持续在线,降低了被安全软件扫描发现的可能性。
本申请一些实施例中,结合图2,如图7所示,上述步骤104之前,该服务器控制方法还包括下述步骤108。
108、检测目标数据是否是远程控制服务器发送的。
可以理解,解析目标数据中包括的源地址确定目标数据的发送者,在目标数据是远程控制服务器发送的情况下,将目标数据交由恶意控制程序处理,在目标数据不是远程控制服务器发送的情况下,将目标数据转交给原服务程序,如此可以确保在通过恶意控制程序控制在被控服务器上执行控制操作期间,该被控服务器继续正常对外提供服务,其用户和管理员不会察觉任何异常。
本申请一些实施例中,结合图7,如图8所示,目标数据包括数字签名和文件数据;上述步骤108具体可以通过下述步骤108a和步骤108b实现,上述步骤104具体可以通过下述步骤104f和步骤104g实现,上述步骤105具体可以通过下述步骤105a实现。
108a、获取目标数据中包括的数字签名。
可以理解,可以通过数字签名确定目标数据的发送端是否是远程控制服务器,并且数字签名还可以用于检测发送的数据是否被篡改。
可以理解,文件数据是需要发送至目标端口的有效数据,目标数据由数字签名和文件数据两部分组成,对数字签名使用远程控制服务器提供的公钥解密得到的校验和,与计算文件数据得到的校验和进行对比,两者一致,则表明该目标数据是远程控制服务器发送的,且文件数据未被篡改。
108b、验证数字签名指示的发送端是否为远程控制服务器。
104f、在数字签名指示的发送端是远程控制服务器的情况下,获取目标数据包括的文件数据。
104g、通过恶意控制程序处理文件数据。
105a、在数字签名指示的发送端不是远程控制服务器的情况下,将目标数据转发至原服务程序。
具体地通过数字签名对需要发送的文件数据进行加密,可以参考上述有关数字签名的解释以及校验和的解释,此处不做赘述。
本申请实施例中,目标数据包括数字签名和文件数据;获取目标数据中包括的数字签名;验证数字签名指示的发送端是否为远程控制服务器;在数字签名指示的发送端是远程控制服务器的情况下,获取目标数据包括的文件数据;通过恶意控制程序处理文件数据;在数字签名指示的发送端不是远程控制服务器的情况下,将目标数据转发至原服务程序;通过数字签名的方式,确保发送端是远程控制服务器的同时,可以校验发送的数据是否被篡改,使得通信过程更加安全。
本申请一些实施例中,结合图2,如图9所示,目标数据为通过目标加密算法进行加密的数据;上述步骤108,具体可以通过下述步骤108c和步骤108d实现。
108c、通过目标解密算法对目标数据进行解密,得到目标解密数据。
其中,目标解密算法为与目标加密算法对应的算法。
108d、基于目标解密数据,确定目标数据是否是远程控制服务器发送的。
可以理解,目标加密算法与目标解密算法对应,远程控制服务器与被控服务器协商好加密算法,在被控服务器的目标端口接收到目标数据时,监听程序通过目标解密算法解密目标数据,得到解密数据,若解密得到的数据包括数字签名,可以通过上述步骤108a和步骤108b进一步确定目标数据是否是远程控制服务器发送的。步骤108c和步骤108d可以在步骤108a之前执行,则从得到的目标解密数据中获取数字签名,验证数字签名指示的发送端是否为远程控制服务器。
本申请实施例中,目标数据为通过目标加密算法进行加密的数据;通过目标解密算法对目标数据进行解密,得到目标解密数据;基于目标解密数据,确定目标数据是否是远程控制服务器发送的。通过对在网络中传输的数据进行加密,可以进一步确保数据传输的安全性。
下述通过具体的案例对本申请实施例的服务器控制方法进行说明,如图10所示,包括远程控制服务器100,HTTPS服务器300,访问HTTPS服务器300的合法用户400,木马程序的进程301,HTTPS服务的进程302。
具体地,HTTPS服务器300面向公网开放了HTTP服务,支持HTTPS,可通过443端口访问服务,传输的数据内容经过TLS加密;HTTPS服务器300由于安全漏洞被渗透测试人员控制,其内核中被插入了本申请的监听程序,443端口被监听程序接管。渗透测试人员通过远程控制服务器经由匿名网络连接到该HTTPS服务器300,通过443端口的所有的控制流量(恶意控制指令)都通过TLS加密。因此,与正常情况下被TLS加密的服务流量没有显著区别。
远程控制服务器100对控制流量经过数字签名后通过公网发送至HTTPS服务器300中的443端口,监听程序截取到该控制流量经过数字签名校验后下发至木马程序的进程301。
HTTPS服务器300的合法用户400发送的访问请求通过公网发送至HTTPS服务器300中的443端口,监听程序截取到该访问请求后,确定该访问请求不是远程控制服务器发送的控制流量,则原路转发该访问请求至HTTPS服务的进程302。
在此过程中,控制流量(远程控制服务器发送的)与正常情况下被TLS加密的服务流量(正常用户的访问请求)没有显著区别。远程控制服务器与被控服务器的控制连接成功建立后,渗透测试人员通过该连接发送木马程序到该被控服务器并执行,从而进行完整的远程控制操作,完成任务后该木马程序自动删除并退出。在此期间该服务器继续正常对外提供HTTP服务,其用户和管理员未察觉任何异常,常规的安全检查也无法检测出异常,因为整个C2架构只有内核中的监听代码常驻运行,而在大部分场景中,由于内核的高特权级别,多数安全机制对其中的恶意代码很难达察觉。
因此,本申请的服务器控制方法与传统的C2架构相比:第一:由于C2服务器主动连接被控服务器,所以C2服务器无需实时保持在线以及固定网络位置,这样的架构让主动探测C2服务器的存在成为不可能的事情,C2服务器的灵活性更高,也更加难以溯源;第二,控制流量和正常的服务流量混合在同一端口,可绕过防火墙限制,同时更难引起流量监控系统和管理员的注意;第三,在接到C2服务器控制指令之前,恶意控制程序处于完全静默状态,因此极难被发现;第四,被控服务器在被控制期间,可以正常的对外提供服务,不易被用户和安全管理人员察觉。
如图11所示为本申请提供的一种服务器控制装置的结构框图,该装置包括:接收模块1101,用于通过目标端口接收远程控制服务器的连接请求,目标端口被监听程序接管,监听程序运行在被控服务器的内核中,监听程序能够对通过目标端口传输的任意数据进行处理;连接建立模块1102,用于基于连接请求,与远程控制服务器建立连接;接收模块1101,还用于通过目标端口接收目标数据;处理模块1103,用于在目标数据是远程控制服务器发送的情况下,通过恶意控制程序处理目标数据,以实现对被控服务器的控制;转发模块1104,用于在目标数据不是远程控制服务器发送的情况下,将目标数据转发至原服务程序,以使被控服务器的原网络服务正常提供服务。
本申请一些实施例中,该服务器控制装置还包括:删除模块,该删除模块,用于删除恶意控制程序。
本申请一些实施例中,该接收模块1101,还用于在目标数据是远程控制服务器发送的情况下,通过恶意控制程序处理目标数据之前,接收远程控制服务器发送的恶意控制程序并保存。
本申请一些实施例中,该处理模块1103,具体用于在目标数据是远程控制服务器发送的情况下,将目标数据发送至恶意控制程序;通过恶意控制程序处理目标数据。
本申请一些实施例中,该处理模块1103,具体用于在目标数据是远程控制服务器发送的情况下,检测恶意控制程序是否启动;在恶意控制程序未启动的情况下,启动恶意控制程序;通过恶意控制程序处理目标数据。
本申请一些实施例中,该服务器控制装置还包括:检测模块,该检测模块,用于在目标数据是远程控制服务器发送的情况下,通过恶意控制程序处理目标数据之前,检测目标数据是否是远程控制服务器发送的。
本申请一些实施例中,目标数据包括数字签名和文件数据;该检测模块,具体用于获取目标数据中包括的数字签名;验证数字签名指示的发送端是否为远程控制服务器;该处理模块1103,具体用于在数字签名指示的发送端是远程控制服务器的情况下,获取目标数据包括的文件数据;通过恶意控制程序处理文件数据;该转发模块1104,具体用于在数字签名指示的发送端不是远程控制服务器的情况下,将目标数据转发至原服务程序。
本申请一些实施例中,目标数据为通过目标加密算法进行加密的数据;该检测模块,具体用于通过目标解密算法对目标数据进行解密,得到目标解密数据,目标解密算法为与目标加密算法对应的算法;基于目标解密数据,确定目标数据是否是远程控制服务器发送的。
需要说明的是,上述服务器控制装置可以为本申请上述方法实施例中的电子设备,也可以是该电子设备中能够实现该装置实施例功能的功能模块和/或功能实体,本申请实施例不做限定。
本申请实施例中,各模块可以实现上述方法实施例提供的服务器控制方法,且能达到相同的技术效果,为避免重复,这里不再赘述。
本申请实施例还提供一种电子设备,该电子设备可以包括:处理器1201,存储器1202以及存储在存储器1202上并可在处理器1201上运行的程序或指令,该程序或指令被处理器1201执行时可以实现上述方法实施例提供的服务器控制方法的各个过程,且能达到相同的技术效果,为避免重复,这里不再赘述。
本申请实施例提供一种计算机可读存储介质,该可读存储介质上存储程序或指令,该程序或指令被处理器执行时实现上述方法实施例提供的服务器控制方法的各个过程,且能达到相同的技术效果,为避免重复,这里不再赘述。
本申请实施例还提供一种计算机程序产品,其中,该计算机程序产品包括计算机程序或指令,当该计算机程序产品在处理器上运行时,使得处理器执行该计算机程序或指令,实现上述方法实施例提供的服务器控制方法的各个过程,且能达到相同的技术效果,为避免重复,这里不再赘述。
本申请实施例另提供了一种芯片,所述芯片包括处理器和通信接口,所述通信接口和所述处理器耦合,所述处理器用于运行程序或指令,实现上述服务器控制方法实施例的各个过程,且能达到相同的技术效果,为避免重复,这里不再赘述。
应理解,本申请实施例提到的芯片还可以称为系统级芯片、系统芯片、芯片系统或片上系统芯片等。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统,装置,服务器和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-OnlyMemory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,以上实施例仅用以说明本申请的技术方案,而非对其限制;尽管参照前述实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本申请各实施例技术方案的精神和范围。
Claims (11)
1.一种服务器控制方法,其特征在于,所述方法包括:
通过目标端口接收远程控制服务器的连接请求,所述目标端口被监听程序接管,所述监听程序运行在被控服务器的内核中,所述监听程序能够对通过所述目标端口传输的任意数据进行处理;
基于所述连接请求,与所述远程控制服务器建立连接;
通过所述目标端口接收目标数据;
在所述目标数据是所述远程控制服务器发送的情况下,通过恶意控制程序处理所述目标数据,以实现对所述被控服务器的控制;
在所述目标数据不是所述远程控制服务器发送的情况下,将所述目标数据转发至原服务程序,以使所述被控服务器的原网络服务正常提供服务。
2.根据权利要求1所述的方法,其特征在于,所述在所述目标数据是所述远程控制服务器发送的情况下,通过恶意控制程序处理所述目标数据之后,所述方法还包括:
删除所述恶意控制程序。
3.根据权利要求1所述的方法,其特征在于,所述在所述目标数据是所述远程控制服务器发送的情况下,通过恶意控制程序处理所述目标数据之前,所述方法还包括:
接收所述远程控制服务器发送的所述恶意控制程序并保存。
4.根据权利要求1所述的方法,其特征在于,所述在所述目标数据是所述远程控制服务器发送的情况下,通过恶意控制程序处理所述目标数据,包括:
在所述目标数据是所述远程控制服务器发送的情况下,将所述目标数据发送至所述恶意控制程序;
通过所述恶意控制程序处理所述目标数据。
5.根据权利要求1所述的方法,其特征在于,所述在所述目标数据是所述远程控制服务器发送的情况下,通过恶意控制程序处理所述目标数据,包括:
在所述目标数据是所述远程控制服务器发送的情况下,检测所述恶意控制程序是否启动;
在所述恶意控制程序未启动的情况下,启动所述恶意控制程序;
通过所述恶意控制程序处理所述目标数据。
6.根据权利要求1所述的方法,其特征在于,所述在所述目标数据是所述远程控制服务器发送的情况下,通过恶意控制程序处理所述目标数据之前,所述方法还包括:
检测所述目标数据是否是所述远程控制服务器发送的。
7.根据权利要求6所述的方法,其特征在于,所述目标数据包括数字签名和文件数据;所述检测所述目标数据是否是所述远程控制服务器发送的,包括:
获取所述目标数据中包括的数字签名;
验证所述数字签名指示的发送端是否为所述远程控制服务器;
所述在所述目标数据是所述远程控制服务器发送的情况下,通过恶意控制程序处理所述目标数据,包括:
在所述数字签名指示的发送端是所述远程控制服务器的情况下,获取所述目标数据包括的文件数据;
通过所述恶意控制程序处理所述文件数据;
所述在所述目标数据不是所述远程控制服务器发送的情况下,将所述目标数据转发至原服务程序,包括:
在所述数字签名指示的发送端不是所述远程控制服务器的情况下,将所述目标数据转发至原服务程序。
8.根据权利要求6或7所述的方法,其特征在于,所述目标数据为通过目标加密算法进行加密的数据;所述检测所述目标数据是否是所述远程控制服务器发送的,包括:
通过目标解密算法对所述目标数据进行解密,得到目标解密数据,所述目标解密算法为与所述目标加密算法对应的算法;
基于所述目标解密数据,确定所述目标数据是否是所述远程控制服务器发送的。
9.一种服务器控制装置,其特征在于,所述装置包括:
接收模块,用于通过目标端口接收远程控制服务器的连接请求,所述目标端口被监听程序接管,所述监听程序运行在被控服务器的内核中,所述监听程序能够对通过所述目标端口传输的任意数据进行处理;
连接建立模块,用于基于所述连接请求,与所述远程控制服务器建立连接;
所述接收模块,还用于通过所述目标端口接收目标数据;
处理模块,用于在所述目标数据是所述远程控制服务器发送的情况下,通过恶意控制程序处理所述目标数据,以实现对所述被控服务器的控制;
转发模块,用于在所述目标数据不是所述远程控制服务器发送的情况下,将所述目标数据转发至原服务程序,以使所述被控服务器的原网络服务正常提供服务。
10.一种电子设备,其特征在于,包括处理器,存储器及存储在所述存储器上并可在所述处理器上运行的程序或指令,所述程序或指令被所述处理器执行时实现如权利要求1至8中任一项所述的服务器控制方法的步骤。
11.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储程序或指令,所述程序或指令被处理器执行时实现如权利要求1至8中任一项所述的服务器控制方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211549729.5A CN116016479A (zh) | 2022-12-05 | 2022-12-05 | 服务器控制方法、装置、电子设备及计算机可读存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211549729.5A CN116016479A (zh) | 2022-12-05 | 2022-12-05 | 服务器控制方法、装置、电子设备及计算机可读存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN116016479A true CN116016479A (zh) | 2023-04-25 |
Family
ID=86020006
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202211549729.5A Pending CN116016479A (zh) | 2022-12-05 | 2022-12-05 | 服务器控制方法、装置、电子设备及计算机可读存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN116016479A (zh) |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20120272319A1 (en) * | 2011-04-21 | 2012-10-25 | Barracuda Inc. | Apparatus, and system for determining and cautioning users of Internet connected clients of potentially malicious software and method for operating such |
CN108769034A (zh) * | 2018-06-01 | 2018-11-06 | 杭州安恒信息技术股份有限公司 | 一种实时在线监测远控木马控制端ip地址的方法及装置 |
CN109063479A (zh) * | 2018-07-24 | 2018-12-21 | 王超 | 一种木马感染终端的网络定位方法 |
CN109936587A (zh) * | 2017-12-15 | 2019-06-25 | 北京京东尚科信息技术有限公司 | 控制方法、控制装置、电子设备及存储介质 |
CN111565199A (zh) * | 2020-07-14 | 2020-08-21 | 腾讯科技(深圳)有限公司 | 网络攻击信息处理方法、装置、电子设备及存储介质 |
CN113872957A (zh) * | 2021-09-24 | 2021-12-31 | 上海幻电信息科技有限公司 | 基于ssh反向隧道的内网设备连接方法和系统 |
-
2022
- 2022-12-05 CN CN202211549729.5A patent/CN116016479A/zh active Pending
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20120272319A1 (en) * | 2011-04-21 | 2012-10-25 | Barracuda Inc. | Apparatus, and system for determining and cautioning users of Internet connected clients of potentially malicious software and method for operating such |
CN109936587A (zh) * | 2017-12-15 | 2019-06-25 | 北京京东尚科信息技术有限公司 | 控制方法、控制装置、电子设备及存储介质 |
CN108769034A (zh) * | 2018-06-01 | 2018-11-06 | 杭州安恒信息技术股份有限公司 | 一种实时在线监测远控木马控制端ip地址的方法及装置 |
CN109063479A (zh) * | 2018-07-24 | 2018-12-21 | 王超 | 一种木马感染终端的网络定位方法 |
CN111565199A (zh) * | 2020-07-14 | 2020-08-21 | 腾讯科技(深圳)有限公司 | 网络攻击信息处理方法、装置、电子设备及存储介质 |
CN113872957A (zh) * | 2021-09-24 | 2021-12-31 | 上海幻电信息科技有限公司 | 基于ssh反向隧道的内网设备连接方法和系统 |
Non-Patent Citations (2)
Title |
---|
何乐等: "《内核级端口复用技术的研究和实现》", 《2006通信理论与技术新进展——第十一届全国青年通信学术会议论文集 》, pages 903 - 907 * |
吕维: "《木马攻击及检测系统的研究与实现》", 《中国优秀硕士学位论文全文数据库 (信息科技辑)》, pages 5 - 30 * |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8904558B2 (en) | Detecting web browser based attacks using browser digest compute tests using digest code provided by a remote source | |
US8719938B2 (en) | Detecting network intrusion using a decoy cryptographic key | |
US8307208B2 (en) | Confidential communication method | |
US10084781B2 (en) | Bypassing certificate pinning | |
US7127740B2 (en) | Monitoring system for a corporate network | |
US9374339B2 (en) | Authentication of remote host via closed ports | |
Al-Zubaidie et al. | RAMHU: A new robust lightweight scheme for mutual users authentication in healthcare applications | |
US20080095367A1 (en) | Methods and apparatus for confidentiality protection for fibre channel common transport | |
CN104243419A (zh) | 基于安全外壳协议的数据处理方法、装置及系统 | |
US8732469B2 (en) | Communication cutoff device, server device and method | |
CN110113351B (zh) | Cc攻击的防护方法及装置、存储介质、计算机设备 | |
CN110581836B (zh) | 一种数据处理方法、装置及设备 | |
CN111988289A (zh) | Epa工业控制网络安全测试系统及方法 | |
CN115801442A (zh) | 一种加密流量的检测方法、安全系统及代理模块 | |
CN117081815A (zh) | 数据安全传输的方法、装置、计算机设备及存储介质 | |
CN113904826B (zh) | 数据传输方法、装置、设备和存储介质 | |
CN114125027A (zh) | 一种通信建立方法、装置、电子设备及存储介质 | |
CN114172645A (zh) | 通信旁路审计方法、装置、电子设备及存储介质 | |
CN109905352B (zh) | 一种基于加密协议审计数据的方法、装置和存储介质 | |
CN109587134B (zh) | 接口总线的安全认证的方法、装置、设备和介质 | |
CN111181831B (zh) | 通信数据处理方法和装置、存储介质及电子装置 | |
CN116016479A (zh) | 服务器控制方法、装置、电子设备及计算机可读存储介质 | |
CN110995717B (zh) | 报文处理方法、装置、电子设备及漏洞扫描系统 | |
CN107066874B (zh) | 容器系统间交互验证信息的方法及装置 | |
KR101448711B1 (ko) | 통신 암호화를 통한 보안시스템 및 보안방법 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20230425 |
|
RJ01 | Rejection of invention patent application after publication |