近日，360狼烟尝试室发明有数千个样本传染了一种名为“DressCode”的恶意代码，该恶意代码操作实下风行的SOCKS代办代理反弹技术打破内网防火墙限制，窃取内网数据。这种通过代办代理穿透内网绕过防火墙的手段在PC上并不新鲜，然而以手机终端为跳板实现对企业内网的渗透还是首见[1]。

SOCKS是一种网络传输协议，SOCKS协议位于传输层与应用层之间，所以能代办代理TCP和UDP的网络流量，SOCKS主要用于客户端与外网处事器之间数据的通报，那么SOCKS是怎么事情的呢，举个例子：A想访谒B站点，但是A与B之间有一个防火墙阻止A直接访谒B站点，在A的网络里面有一个SOCKS代办代理C，C可以直接访谒B站点，于是A通知C访谒B站点，于是C就为A和B成立起信息传输的桥梁。其事情流程大抵分为以下5步：

（1）代办代理标的目的代办代理处事器发出请求信息。

（2）代办代理处事器应答。

（3）代办代理方需要向代办代理处事器发送目的IP和端口。

（4）代办代理处事器与目的进行连接。

（5）连接告成后将需要将代办代理方发出的信息传到目的方，将目的方发出的信息传到需要代办代理方。代办代理完成。

由于SOCKS协议是一种在处事端与客户端之间转发TCP会话的协议，所以可以等闲的穿透企业应用层防火墙；它独立于应用层协议，撑持多种差此外应用层处事，如TELNET，FTP，HTTP等。SOCKS协议凡是给与1080端口进行通信，这样可以有效避开普通防火墙的过滤，实现墙内墙外终真个连接[2]。

360互联网安适中心数据显示，截止目前，“DressCode”恶意代码流传量已达24万之多，在世界范畴内漫衍相当广泛，传染了该恶意代码的手机在全世界的漫衍情况如下图所示：

图1“DressCode”木马在世界各地的漫衍情况

数据显示，已有200多个国家的用户手机安置了带有“DressCode”恶意代码的应用，该恶意代码大多寄宿在时下风行的手机游戏中，其扩散能力很强，此中美国、俄罗斯，德国、法国等欧美发家国家属于重灾区，中国的形势也不容乐不雅观，企业内网安适正在遭受前所未有的挑战。

该木马的主要打击过程如下[3]：

（1）木马运行时主动连接到打击者主机（SOCKS客户端），成立一个与打击者对话的代办代理通道。

（2）作为SOCKS处事真个木马按照打击者传来的方针内网处事器的IP地点和端口，连接方针应用处事器。

（3）木马在打击者和应用处事器之间转发数据，进行通信。

当木马安置上手机后，首先会连接C&C处事器，连接告成后，那么木马就与C&C处事器成立了一个对话通道，木马会读取C&C处事器传送过来的指令， 当木马收到以“CREATE”开头的指令后，就会连接打击者主机上的SOCKS客户端，打击者与处于内网中的木马措施成立了信息传输的通道了。

SOCKS处事端读取SOCKS客户端发送的数据，这些数据包孕方针内网应用处事器的IP地点和端口、客户端指令。如下图所示：