龙空技术网

天眼实验室权威发布:XShell后门DNS Tunnel分析

安全客小安 2138

前言:

而今咱们对“dns tunnel”大概比较珍视,兄弟们都想要分析一些“dns tunnel”的相关资讯。那么小编在网摘上网罗了一些有关“dns tunnel””的相关知识,希望姐妹们能喜欢,你们快快来了解一下吧!

XShellGhost通过DNS Tunnel把打点的数据传上去,分析了下编码算法,对数据进行了解密。

编码分析

DNS Tunnel的编码算法是先经过下图的算法1编码;如图:

待编码的数据单字节和一个每4次运算一次的DWORD常量的1,2,3,4字节进行单字节运算来编码,如下:

算法1编码后的数据如下:

然后把结果转换成可见的字符转换方法是通过每个字节的高位加‘j’低位加‘a’,把1个字节拆分成2个字节的可见字符,这样就浪费了一个字节:

解密算法是加密算法的逆运算,解密算法流程如下图:

解密的单条数据的HEX如下:

根据网上的一些公开的流量数据,

解密出的一些上传的数据:

解密代码如下:

标签: #dns tunnel