惡意軟件作者們一直在憑借自己天馬行空的想法，艱難地繞過安全研究人員的追蹤和檢測。

Palo Alto Network公司就曾在兩個獨(dú)立無關(guān)的網(wǎng)絡(luò)間諜事件中，檢測到這樣的后門木馬樣本。研究人員表示，在這些樣本中他們發(fā)現(xiàn)黑客使用了一種有意思的新方法，以隱藏惡意軟件的C&C服務(wù)器地址。

CONFUCIUS惡意軟件的定位解決方案

一些低端的惡意軟件，可能會在源代碼里將C&C服務(wù)器的IP地址進(jìn)行硬編碼。高級點(diǎn)的則會使用動態(tài)域名生成算法（DGA），來隱藏C&C服務(wù)器的真實(shí)IP地址。

然而，我們這次要講的惡意軟件叫做CONFUCIUS（孔夫子），它就沒有使用以上這兩種方法。研究人員表示，他們沒有發(fā)現(xiàn)惡意軟件源代碼里存在異常的域名/IP地址，也沒有在其中發(fā)現(xiàn)復(fù)雜的動態(tài)域名生成算法。

然而，他們很快意識到，惡意軟件對應(yīng)的C&C服務(wù)器地址可能是通過合法網(wǎng)站進(jìn)行獲取的。

事實(shí)證明他們的猜測是對的，這兩個惡意軟件會向知名的網(wǎng)站發(fā)起查詢，比如發(fā)送請求給雅虎和Quora（某著名問答社區(qū)）。

惡意軟件玩的密碼表游戲

研究人員表示，這兩個惡意樣本采用了不同的獲取方式。CONFUCIUS_A，也就是第一個樣本，它會訪問雅虎或者Quora特定的某些頁面，然后試圖尋找兩個特定標(biāo)記/關(guān)鍵詞之間的內(nèi)容，這些內(nèi)容中會含有四個以上的單詞。

同時，研究人員似乎在源代碼里發(fā)現(xiàn)里一個密碼映射表。通過這張涵蓋了255個單詞的表，如果讓它們與1-255的數(shù)字對應(yīng)的話，是可以直接將相應(yīng)的單詞組合翻譯為IPV4地址的。

而第二個樣本CONFUCIUS_B，則使用了一個相似的策略。它們會嘗試用單詞去表示1-9，比如“love”代表0，“hate”代表9等等，最后按IPV4地址的每一位數(shù)字進(jìn)行翻譯。

網(wǎng)絡(luò)間諜活動中的惡意軟件

Palo Alto的研究人員表示，這類用文字游戲去拼湊IP地址的法子，很可能是同一個或者同一批惡意軟件作者撰寫的后門。

CONFUCIUS_A的樣本是由Rapid7在2013年巴基斯坦官員被攻擊時發(fā)現(xiàn)的。這種攻擊手法被稱為SNEEPY，或者ByeByeShell，被攻擊者的數(shù)量在2014年初開始下降。

而CONFUCIUS_B樣本則是與Operation Patchwork和The Hangover Report有關(guān)，其針對的大多數(shù)是印度的鄰國。

研究這些網(wǎng)絡(luò)間諜事件的公司表示，這些攻擊很可能來自于印度的某股勢力。

* 參考來源：SF和PN，F(xiàn)B小編dawner編譯，轉(zhuǎn)載請注明來自FreeBuf（FreeBuf.COM）