360烽火实验室：内网穿透--Android木马进入高级攻击阶段

2016年11月，360烽火实验室发现有数千个样本感染了一种名为“DressCode”的恶意代码，该恶意代码利用实下流行的SOCKS代理反弹技术突破内网防火墙限制，窃取内网数据。这种通过代理穿透内网绕过防火墙的手段在PC上并不新鲜，然而以手机终端为跳板实现对企业内网的渗透还是首见。SOCKS是一种网络传输协议，SOCKS协议位于传输层与应用层之间，所以能代理TCP和UDP的网络流量，SOCKS主要用于客户端与外网服务器之间数据的传递，那么SOCKS是怎么工作的呢，举个例子：A想访问B站点，但是A与B之间有一个防火墙阻止A直接访问B站点，在A的网络里面有一个SOCKS代理C，C可以直接访问B站点，于是A通知C访问B站点，于是C就为A和B建立起信息传输的桥梁。其工作流程大致分为以下5步： 代理方向代理服务器发出请求信息。 代理服务器应答。 代理方需要向代理服务器发送目的IP和端口。 代理服务器与目的进行连接。 连接成功后将需要将代理方发出的信息传到目的方，将目的方发出的信息传到需要代理方。代理完成。由于SOCKS协议是一种在服务端与客户端之间转发TCP会话的协议，所以可以轻易的穿透企业应用