近日，安天追影小組在整理網(wǎng)絡(luò)安全事件時(shí)，發(fā)現(xiàn)了“Hangover”家族的木馬變種，并對其進(jìn)行了簡要的分析。以下簡稱發(fā)現(xiàn)的變種為“Hangover變種1”和“Hangover變種2”，其均采用合法的web服務(wù)，以代替DNS查找檢索C&C地址，該方法使得攻擊者的通信在眾多合法的服務(wù)流量中，難以被發(fā)現(xiàn)。
 
      安天追影小組，針對“Hangover變種1”和“Hangover變種2”的兩個(gè)樣本進(jìn)行分析。

      當(dāng)攻擊目標(biāo)被感染后，不會像傳統(tǒng)僵尸網(wǎng)絡(luò)中的僵尸主機(jī)一樣直接連接C&C服務(wù)器，而是請求一個(gè)合法的地址間接獲取C&C，較為常見的是Yahoo和Quora的問答頁面。

      “Hangover變種1”樣本在請求的頁面中，查找檢索C&C地址。經(jīng)過分析，發(fā)現(xiàn)在樣本的源代碼中，包含一個(gè)簡單查找表。查找表的起始為開始和結(jié)束標(biāo)記的詞組，之后為255個(gè)單詞，每一個(gè)都對應(yīng)一個(gè)編號。通過這個(gè)查找表，可將開始標(biāo)記和結(jié)束標(biāo)記之間的關(guān)鍵字轉(zhuǎn)化為C&C地址。而“Hangover變種2”樣本，通常打包在一個(gè)可自解壓的文件中，并偽裝成一個(gè)PPT文件。 “Hangover變種2”與Hangover變種1”的區(qū)別，最主要在于，“Hangover變種2”中存在一個(gè)自定義的混淆方案，并且在請求的頁面中，無法找到任何明顯的標(biāo)記詞組。“Hangover變種2”樣本將頁面中的一些關(guān)鍵字，匹配存在于源代碼中的查找表，將匹配到的字符串轉(zhuǎn)化為數(shù)字，從而得到一個(gè)C&C地址。使得合法頁面上的內(nèi)容，可以重復(fù)被攻擊者利用。因此，通過分析可以發(fā)現(xiàn)兩個(gè)變種的行為非常類似，使用相似的技術(shù)獲取C&C地址，通過請求合法web服務(wù)逃避傳統(tǒng)阻止機(jī)制。

      經(jīng)以上分析，安天追影小組認(rèn)為，攻擊者逃避傳統(tǒng)檢測機(jī)制的技術(shù)在不斷變化，受害者對此防不勝防。為了避免此類的攻擊，安天追影小組提醒廣大網(wǎng)絡(luò)用戶，加強(qiáng)網(wǎng)絡(luò)安全意識，不要隨意點(diǎn)擊不明的鏈接，面對來源不明的郵件時(shí)，不要輕易去下載其中的附件，并及時(shí)更新所使用的軟件等。