最近XShell很是火了一把，每個安全廠商都在發(fā)通告，都在分析，反正就是百花齊放，在這里我想做一個總結(jié)，從前些時間的勒索軟件到今天的xshell，其實(shí)我們可以看到共同點(diǎn)：

那就是根據(jù)特定的算法生成偽隨機(jī)的域名，當(dāng)然這些域名都是未注冊的，這樣就有一個好處就是不容易暴露，讓人找不到源頭，并且由于域名無法解析導(dǎo)致后面的流程無法執(zhí)行，等到感染量大后，再注冊域名，這樣就可以在幾天之內(nèi)做很驚人的事情。

那么對于這種情況怎么防止呢？先看看自動化沙箱的其中一個功能吧，沙箱不太完善，最近在修改中，先看看結(jié)果吧。

看isReg欄目，當(dāng) reg=1的時候 說明域名已經(jīng)被注冊，當(dāng)reg=0的時候 說明域名沒有被注冊 ，如果reg=0，那么就要注意了，我們又遇到那種先隨機(jī)生成域名，讓病毒感染一段時間在操作的事情了。

詳細(xì)實(shí)現(xiàn)步驟

第一步：沙箱客戶端的功能之一 基于wpcap開發(fā)了一個抓dns包的工具

打開這個工具

第二步：運(yùn)行特定軟件

我這里選擇xshell，蹭蹭熱度

//2017.8月份的

現(xiàn)在我修改一下時間2016.12

第三步：工具會給域名提交到沙箱網(wǎng)站上，看數(shù)據(jù)庫設(shè)計

第四步：當(dāng)查看沙箱網(wǎng)站首頁的時候，調(diào)用域名查詢接口，這里我是調(diào)用阿里云的dns查詢接口 

有人會說我用wireshark抓包，再到注冊域名的網(wǎng)站查詢一下，可以，但是你會很浪費(fèi)時間，并且效率不高，現(xiàn)在都是自動化了。

總結(jié)一下

現(xiàn)在木馬慢慢開始傾向于域名先生成，再注冊的形式，那么我們手上的工具能否與時俱進(jìn)啦？

ps：對這個項(xiàng)目感興趣我們私下交流，需要源碼，發(fā)私信給我，我這里就不過多的講解源代碼了，思路為上。
本文作者：刀郎，轉(zhuǎn)載請注明來自FreeBuf.COM
 

當(dāng)前題目：關(guān)于XShell我有話說
瀏覽路徑：http://jinyejixie.com/news42/104942.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供小程序開發(fā)、網(wǎng)站制作、微信公眾號、關(guān)鍵詞優(yōu)化、ChatGPT、域名注冊

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)