建立一个控制流,如果FTP服务器响应此请求,最终FTP控制流建立;攻击者建立新的到SOCKS服务端的TCP连接,并在新的TCP连接上发送BIND请求,SOCKS服务端接收到BIND请求后,创建新的Socket,等待目标FTP服务器的连接,并向SOCKS客户端发送第一个BIND响应包;SOCKS客户端收到第一个BIND响应包后,攻击者通过FTP控制流向FTP服务器发送PORT命令,通知FTP服务器主动建立到SocketA的连接;FTP服务器收到PORT命令,主动连接到SocketA;SOCKS服务端接收到来自FTP服务器的连接请求,向SOCKS客户端发送第二个响应包,然后SOCKS服务端开始转发数据流。这样攻击者就通过木马完成了对内网文件服务器的数据窃取。
以上攻击过程如下图所示:
图5黑客攻击FTP服务器,窃取数据的过程
四.总结建议
“DressCode”恶意代码穿透能力强,地域分布广泛,已成为对内网安全的一种新的潜在威胁,减除接入企业内网的智能终端设备所带来的安全威胁客不容缓。针对此种情况,企业应做好如下两点防范措施:
(1)严格限制不可信的智能终端设备接入公司内部网络,对要接入公司内网的终端设备进行身份认证。
(2)智能终端设备不应该与企业内部服务器处于同一个局域网段内。
与此同时,手机用户应该提高安全意识,要从正规的安卓应用商店下载应用,不要安装来历不明的应用软件。
引用
[1] DressCodeand its Potential Impact for Enterprises:
http://blog.trendmicro.com/trendlabs-security-intelligence/dresscode-potential-impact-enterprises/
[2] SOCKS: Aprotocol for TCP proxy across firewalls:
http://ftp.icm.edu.pl/packages/socks/socks4/SOCKS4.protocol
[3] FastIntroduction to SOCKS Proxy:
http://etherealmind.com/fast-introduction-to-socks-proxy/
[4] FTP协议分析:
http://kendy.blog.51cto.com/147692/33480
发表评论