下图显示的是恶意软件利用netsh.exe来尝试将其自身进程列入防火墙白名单的相关代码：

 

　　点对点通信

因为僵尸网络的控制命令是由一个中央C&C服务器来发送的，这与普通僵尸网络的运行机制类似，所以这种C&C结构也被称为“混合式P2P网络”。但是，由于恶意软件可以随时利用点对点网络来向僵尸网络中所有的bot推送新的C&C服务器地址，所以相较于传统的僵尸网络而言，这种新型的僵尸网络不仅可以一直保持其有效性，而且还具有P2P对等网络的灵活性。

为了启用P2P通信，系统还必须生成一个随机端口号，并将其保存至系统的注册表中。这个端口将会被绑定到系统的UDP和TCP协议中(即使系统在绝大多数情况下使用的是UDP协议)，并以此来保证相应的P2P通信数据能够正常地发送。僵尸网络中的bot拥有超过1000个IP地址，其端口绑定信息存储在初始配置文件中，各个端口每秒钟都会发送信息，直到接收到响应消息为止。在接收到了响应信息之后，信息的发送周期将会变成每分钟发送一次。奇怪的是，在每一个请求信息发送之前，系统都需要从0-4中随机选择一个数字：如果选择的数字为0，bot将会尝试与远程主机建立TCP链接，否则它将会向远程主机发送UDP数据包。所以情况将会变成，发送UDP数据包和发送TCP数据的比例大概为4:1(目前我仍无法确定这一机制的目的是什么)。

下图显示的是P2P协议处理程序：

 

僵尸网络中所有的bot主机都会对请求信息进行响应，并且会在其发送的响应信息中嵌入一个经过密钥(这个密钥为僵尸网络的主控密钥，这是一个长度为2048位的RSA密钥，其作用就是为了防止其他人向僵尸网络中引入新的响应payload)签名的payload。

值得注意的是，在P2P协议中并不存在对等交换功能，这是因为僵尸网络的主机不会信任网络中的对等主机，也不会在与网络中的其他主机共享信息。它们会选择生成一个主机列表，并通过C&C服务器来进行广播。这种方式可以有效地防止中毒和外部攻击，因为网络服务器可以根据这个主机列表来检测数据中心内的相应IP地址，否则僵尸网络将有可能被安全公司所破坏。

　　Payload存储

所有从C&C服务器或者P2P网络中下载下来的数据都会被存储在临时文件夹之中，每一个文件名都有一个单独的UUID，后缀均为.tmp。系统会对bot的标识符(一个长度为64位的静态整形数据，用于标识文件的内容)使用SHA1算法进行哈希处理，并生成相应的UUID。

下图显示的是文件名的生成函数：

 

文件会使用RC4算法进行加密，系统将从上图所显示的函数中提取出其使用的加密密钥。除此之外，系统还会生成一个经过哈希处理的随机变量，并将其存储在文件末尾，这样一来，生成文件的签名就不会起任何作用了。

　　结论

上述的内容均来源于我的分析结果，当我与我的同事完成了所有的数据采集工作之后，我们应该可以更加深入地去了解这个僵尸网络。我们将会在得到了研究结果之后立刻更新。

原文链接：http://www.malwaretech.com/2016/02/necursp2p-hybrid-peer-to-peer-necurs.html

(责任编辑：安博涛)