回溯式木马发现挖掘与分析客户：某知名大学医学部部署位置：互联网出口知识前瞻：当今木马多采用反弹式建立连接。中木马的主机由内向外发起连接，绕开防火墙和安全设备的检测，更加隐蔽。而木马的在建立连接之初总要通过动态域名，blog等形式进行查询，以找到控制端的IP与服务端口。因此根据其特点进行DNS的日志分析是找出反弹木马重要手段。木马发现：该大学医学部于5-17日部署了科来回溯式硬件，以便了解自己网络流量构成，异常流量，以及木马网络攻击等行为。5-18日，使用控制台将其上午9:00—11:00的DNS日志下载下来进行分析。选择下载并分析数据包后，对该两个小时的DNS日志进行搜索，在结果统计中关键字3322,(3322.org是黑客常用动态域名，著名的希网解析服务，此类域名开头部分随意，结尾多为*.3322.org;*.7766.org,*.2288.org等)。如图：通过查找我们发现两个域名：mayi.7766.org和域名xjmir.7766.org.而且该域名都是由IP218.249.94.20进行解析。两个域名在1小时内被解析过40次，解析较为频繁。试着通过google和百度来搜索该域名的信息发现这两个域名为木马控制端的域名。显然，内网PC218.249.94.20确实是中了木马了。木马挖掘：中了木马后的主机，向控制端传送过什么数据？有哪些通信行为？网内是否还有人中了该木马？这就要对中了马的主机进行细致分析了。首先我们确定木马控制端是什么IP，其实在DNS日志中，已经有答案了。我们看到xjmir.7766.org该域名的公网IP是：218.61.17.171.mayi.7766.org的IP是61.147.116.75.我们选择5-18日一天的流量（时间窗口选择24小时），在IP地质里去搜索这两个IP（注意：木马通信一般流量不大，而控制台每次默认选择流量最大的1000台PC进行展现，所以我们要选择“显示全部IP”）通过搜索IP找出了木马控制端IP，并发现其与20主机有通信。公网IP218.61.17.171未与肉鸡进行通信，估计是控制端不在线，或木马处于潜伏期。下载木马通信的数据流。使用控制台集成的数据包级分析工具进行分析。如图我们看到木马通信使用的是TCP2014端口，但该木马通信内容部分是加密过的，数据流看到内容有限而且木马通信的质量也很不好，出现大量的重传数据包。查看控制端的IP：