解析 IcedID 的配置信息

最新推荐文章于 2024-06-21 15:44:22 发布
最新推荐文章于 2024-06-21 15:44:22 发布
阅读量966 收藏 24
点赞数 21
文章标签: 网络 安全 服务器 网络安全 测试工具 学习 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_85026965/article/details/139804223
版权

每个恶意软件样本文件中的配置信息,都可能是反映攻击者攻击意图的“金矿“。但恶意软件的配置信息通常很难从文件中静态提取,攻击者也知道这些信息的价值。在开发恶意软件时,就为这些信息提供了防护。

恶意软件与大多数软件系统相似,也会存在代码重用和功能抽象。因此,恶意软件的配置信息在各种恶意软件家族中也普遍存在。毕竟,通常来说网络犯罪分子在攻击不同目标时不会为了更改IP地址或其他信息就重新编译所有代码。但好消息是静态难以提取的配置信息通常可以很容易地从内存中进行提取,本文将以IcedID为例介绍如何提取配置信息。

恶意软件配置信息

根据软件的定义,配置系统行为方式的信息即为配置信息。例如定义防火墙允许哪些网络路由的规则、Web浏览器使用的字体大小,均可视为配置信息。对恶意软件来说,也是类似的。恶意软件的配置信息是定义恶意软件如何运行的信息,例如:

  • C&C服务器地址
  • 远程访问的密码
  • 释放文件的路径

配置信息嵌入恶意软件中的方式因恶意软件家族而异,并且随着恶意软件的发展也会随之更新。恶意软件的配置信息对安全研究人员来说极具情报价值,因为其可以提供对恶意软件在一段时间内攻击活动的洞察。在某些情况下,也可以将其用作恶意行为检测或实现主机识别的特征。

由于恶意软件配置信息对防御来说极具价值,恶意软件开发者也会使用不同的技术来保护配置信息。例如加密、混淆、压缩,以及多种技术的融合。这些保护措施对通过静态分析提取恶意软件配置信息产生了重大挑战,在提取配置信息前必须检测并绕过这些保护技术是十分困难的。将动态分析沙盒与运行时内存分析相结合,可以绕过许多保护技术并成功提取配置信息。

DC3-MWCP 为常见的配置项定义了一个数据结构,并提供了用于将配置信息序列化为JSON格式的程序库。MITRE MAEC 与 STIX 还额外提供了表示恶意软件配置信息的通用词汇表,这也为数据标准化与自动化提供了极大的帮助。

 

IcedID 技术分析

2022 年 11 月上旬发现的攻击链如下所示,IcedID 作为最终投递的 Payload。

image.png-102kB

感染链

IcedID 的开发者费尽心机地隐藏了配置信息,后续样本文件只有在失陷主机满足条件要求时才会被下载。IcedID 的配置信息由 C&C 的 URL 与活动 ID 组成,URL 会包含在执行期间可能不会表现出的行为,活动 ID 会将样本文件与特定攻击者关联起来。

可以通过以下步骤提取 IcedID 第一阶段和第二阶段二进制文件中的配置:

  • 脱壳 IcedID 文件
  • 确定加密配置数据块位置
  • 提取加密密钥
  • 使用加密密钥解密配置数据

脱壳第一阶段 IcedID 文件

IcedID 第一阶段首先使用 VirtualAlloc 函数分配内存来进行脱壳,随后使用 Memset 函数清空内存区,最后使用 Memmove 函数将脱壳的数据复制到分配的内存区。如下所示,十六进制数据的右侧存在第一阶段的 PE 文件头。

image.png-1348.6kB

IcedID 第一阶段

确定加密配置数据块位置

使用脱壳后的第一阶段 IcedID 确定加密配置数据块,如下所示,寄存器 RDI 指向的地址就包含 C&C URL 的字符串。

image.png-169.2kB

C&C URL

通过代码回溯,可以发现一个解密配置信息的函数,如下所示:

image.png-188.9kB

解密配置信息

解密配置信息的循环如下所示:

image.png-353.6kB

解密配置信息

0x7FEF33339CD 处的指令会将加密配置数据块的地址加载到寄存器 RDX 中。

提取加密密钥

0x7FEF33339D4 处的指令读取加密密钥,从 Encrypted_Config 的地址偏移 0x40 字节。配置信息的长度为 0x20 字节,并且使用异或加密。

使用加密密钥解密配置数据

得到加密密钥、加密数据块与解密方式后,就可以使用如下所示的脚本解密配置信息:

image.png-403.6kB

解密脚本

解密的配置信息格式如下所示,从中可以提取 C&C 地址与活动 ID:

image.png-44.6kB

解密配置信息

脱壳第二阶段 IcedID 文件

第二阶段与第一阶段的文件相同,不再重复脱壳的步骤。

确定加密配置数据块位置

在调用 Winhttpconnect 处设置断点,如下所示:

image.png-324.9kB

调试过程

代码跟踪可以找到解密配置信息的函数,如下所示:

image.png-157.4kB

解密配置信息

提取加密密钥

进一步找到解密配置信息的函数,前几条指令定位加密配置信息块。加密信息块长度为 0x25c 字节,加密密钥是加密配置块中最后 0x10 字节,如下所示:

image.png-269.6kB

加密密钥

确定加密密钥后就是对加密数据块的循环解密,如下所示:

image.png-617.4kB

配置信息循环解密

使用加密密钥解密配置数据

类似的,也可以使用如下脚本对配置信息进行解密:

image.png-406.1kB

配置解密脚本

解密的 IcedID 二阶段配置信息格式如下所示:

image.png-406.2kB

配置信息格式

处理大量样本

在运行时内存分析的过程中进行配置信息的提取,典型的过程如下所示:

  • 扫描内存
  • 过滤噪音以确定最佳匹配对象
  • 使用最佳匹配对象提取配置信息

整个流程提供了改进的机会:

  • 通过优化搜索确保大多数情况下只需要一次扫描
  • 为常见任务进行代码抽象与代码复用
  • 控制有问题的输入或者其他错误的影响
  • 使安全研究人员了解模块的性能

从大量样本中提取的 IcedID 相关的 IOC 指标如下所示,自动化完成后就可以等待信息持续入库。

image.png-634.2kB

样本的 IOC

结论

针对不同恶意软件家族的逆向工程分析,都可以帮助分析人员构建解析脚本,来对大量样本提取相关数据。

题外话

初入计算机行业的人或者大学计算机相关专业毕业生,很多因缺少实战经验,就业处处碰壁。下面我们来看两组数据:

  • 2023届全国高校毕业生预计达到1158万人,就业形势严峻;
  • 国家网络安全宣传周公布的数据显示,到2027年我国网络安全人员缺口将达327万。

一方面是每年应届毕业生就业形势严峻,一方面是网络安全人才百万缺口。

6月9日,麦可思研究2023年版就业蓝皮书(包括《2023年中国本科生就业报告》《2023年中国高职生就业报告》)正式发布。

2022届大学毕业生月收入较高的前10个专业

本科计算机类、高职自动化类专业月收入较高。2022届本科计算机类、高职自动化类专业月收入分别为6863元、5339元。其中,本科计算机类专业起薪与2021届基本持平,高职自动化类月收入增长明显,2022届反超铁道运输类专业(5295元)排在第一位。

具体看专业,2022届本科月收入较高的专业是信息安全(7579元)。对比2018届,电子科学与技术、自动化等与人工智能相关的本科专业表现不俗,较五年前起薪涨幅均达到了19%。数据科学与大数据技术虽是近年新增专业但表现亮眼,已跻身2022届本科毕业生毕业半年后月收入较高专业前三。五年前唯一进入本科高薪榜前10的人文社科类专业——法语已退出前10之列。

“没有网络安全就没有国家安全”。当前,网络安全已被提升到国家战略的高度,成为影响国家安全、社会稳定至关重要的因素之一。 

网络安全行业特点

1、就业薪资非常高,涨薪快 2021年猎聘网发布网络安全行业就业薪资行业最高人均33.77万!

2、人才缺口大,就业机会多

2019年9月18日《中华人民共和国中央人民政府》官方网站发表:我国网络空间安全人才 需求140万人,而全国各大学校每年培养的人员不到1.5W人。猎聘网《2021年上半年网络安全报告》预测2027年网安人才需求300W,现在从事网络安全行业的从业人员只有10W人。

行业发展空间大,岗位非常多

网络安全行业产业以来,随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…

职业增值潜力大

网络安全专业具有很强的技术特性,尤其是掌握工作中的核心网络架构、安全技术,在职业发展上具有不可替代的竞争优势。

随着个人能力的不断提升,所从事工作的职业价值也会随着自身经验的丰富以及项目运作的成熟,升值空间一路看涨,这也是为什么受大家欢迎的主要原因。

从某种程度来讲,在网络安全领域,跟医生职业一样,越老越吃香,因为技术愈加成熟,自然工作会受到重视,升职加薪则是水到渠成之事。

黑客&网络安全如何学习

今天只要你给我的文章点赞,我私藏的网安学习资料一样免费共享给你们,来看看有哪些东西。

 1.学习路线图 

 攻击和防守要学的东西也不少,具体要学的东西我都写在了上面的路线图,如果你能学完它们,你去就业和接私活完全没有问题。

2.视频教程

网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。

内容涵盖了网络安全法学习、网络安全运营等保测评、渗透测试基础、漏洞详解、计算机基础知识等,都是网络安全入门必知必会的学习内容。

(都打包成一块的了,不能一一展开,总共300多集)

因篇幅有限,仅展示部分资料,需要保存下方图片,微信扫码即可前往获取

3.技术文档和电子书

技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。 

 因篇幅有限,仅展示部分资料,需要保存下方图片,微信扫码即可前往获取

4.工具包、面试题和源码

“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等,感兴趣的同学不容错过。 

 还有我视频里讲的案例源码和对应的工具包,需要的话也可以拿走。

因篇幅有限,仅展示部分资料,需要保存下方图片,微信扫码即可前往获取

最后就是我这几年整理的网安方面的面试题,如果你是要找网安方面的工作,它们绝对能帮你大忙。

这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的,如果大家有好的题目或者好的见解欢迎分享。

参考解析:深信服官网、奇安信官网、Freebuf、csdn等

内容特点:条理清晰,含图像化表示更加易懂。

内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…

 因篇幅有限,仅展示部分资料,需要保存下方图片,微信扫码即可前往获取 

网安laughing哥
关注
  • 21
    点赞
  • 24
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
用C语言解析配置文件
06-23
用C语言实现解析配置文件的代码
linux配置解析
05-24
linux c语言解析conf文件,按key value解析
MySQL配置文件解析
02-24
MySQL参数优化对于新手来讲,是比较难懂的东西,其实这个参数优化,是个很复杂的东西,对于不同的网站,及其在线量,访问量,帖子数量,网络情况,以及机器硬件配置都有关系,优化不可能一次性完成,需要不断的观察...
Vue项目中配置pug解析支持
10-17
主要介绍了Vue项目中配置pug解析支持的实例代码,非常不错,具有一定的参考借鉴价值,需要的朋友可以参考下
TSQL解析hadoop配置
05-17
使用SQLSERVER访问hadoop2.0http地址,通过powershell下载其配置文件(xml格式);在TSQL然后通过xml查询,解析出hadoop2.0配置详细信息,这样可以通过熟悉的TSQL检索查询hadoop配置,并归类之
互联网的起源与发展历程:从ARPANET到现代网络社会
Kimi2024的博客
06-18 625
互联网从1960年代的ARPANET起源,经过数十年的发展和演变,最终成为我们今天所熟知的全球信息网络。每一个阶段的技术创新和发展,都为互联网的普及和应用奠定了基础。
零基础入门网络安全最直线距离的学习路线_网络工程师零基础能考过吗
qkh1234567的博客
06-19 879
为了帮助大家更好的学习网络安全,小编给大家准备了一份网络安全入门/进阶学习资料,里面的内容都是适合零基础小白的笔记和资料,不懂编程也能听懂、看懂,所有资料共282G,朋友们如果有需要全套网络安全入门+进阶学习资源包。😝有需要的小伙伴,可以点击下方链接免费领取【一一帮助安全学习,所有资源获取处一一】①网络安全学习路线②20份渗透测试电子书③安全攻防357页笔记④50份安全攻防面试指南⑤安全红队渗透工具包⑥网络安全必备书籍⑦100个漏洞实战案例⑧安全大厂内部视频资源⑨历年CTF夺旗赛题解析
网络编程1
最新发布
bonfirelit的博客
06-21 171
服务器接收到 FIN 包后,会向客户端发送一个 ACK(Acknowledgment)包,确认已经接收到 FIN。客户端接收到服务器的 FIN 包后,向服务器发送一个 ACK 包,确认已经接收到 FIN。网络编程中,客户端调用close或者shutdown后,操作系统会给服务器发送一个FIN。操作系统会发送一个 FIN 包给服务器,表示客户端不会再发送数据。服务器进入半关闭状态,可以继续向客户端发送数据,但不能再接收数据。当双方都发送并接收到 FIN 和 ACK 包后,连接才完全关闭。
.[nicetomeetyou@onionmail.org].faust深入剖析勒索病毒及防范策略
safe130_的博客
06-18 794
halo,.360,.faust,.2700, .eking,elbie, .wis,.mkp,.malox,.rmallox,.mallox,.hmallox, .anony, .ma1x0,.live,.carver,.locked,_locked,.locked1,.svh , lockbit, .src, .datah, .BEAST,.DevicData-P, .kat6.l6st6r 等等,即使遭受了勒索病毒的攻击,用户也可以通过备份数据恢复被加密的文件,从而避免重大损失。
tiaoshixitong
weixin_29898767的博客
06-18 109
调试系统
【2024最新精简版】网络_Linux操作系统面试篇
A的博客
06-21 799
应⽤层:⽹络服务与最终⽤⼾的⼀个接⼝。包括电子邮件、网页浏览、文件传输表⽰层:数据的格式转换、加密解密和压缩解压会话层:建⽴、管理、终⽌会话。传输层:定义传输数据的协议端⼝号,负责端到端的数据传输。⽹络层:转发数据包数据链路层:比特流组织成数据帧物理层:传输原始比特流其中HTTP协议和HTTPS协议属于应用层 ,TCP协议和UDP协议属于传输层协议TCP协议位于传输层,作用是提供可靠的字节流服务,为了准确无误地将数据送达目的地,TCP协议采用三次握手策略。
深信服科技:2023网络钓鱼趋势分析报告
2301_76786857的博客
06-19 371
随着互联网的快速发展和广泛应用,网络钓鱼活动带来的安全隐患愈演愈烈。因应威胁发展,我 们编撰了此份分析报告,旨在全面了解其发展态势,并提醒相关部门、企业和公众加强防范。 在本报告中,我们将详细梳理网络钓鱼的近况,探讨当前的防范策略和技术手段,并提出一些建 议供参考。我们认为,要有效对抗网络钓鱼威胁,需要综合采取加强技术防范、提高公众安全意识、加强法律法规建设等多方面措施。只有通过全社会的共同努力,才能有效遏制网络钓鱼的蔓延,守护个人和企业的信息安全
Java中的网络编程实践指南
weixin_44627014的博客
06-19 225
通过本文的介绍,相信大家对Java中的网络编程有了更深入的了解。网络编程是Java开发中非常重要的一部分,掌握了这些技术,可以让我们更好地开发各种类型的网络应用,提高开发效率和代码质量。
计算机网络5:运输层
sylviiiiiia的博客
06-18 619
计算机网络中实际进行通信的真正实体,是位于通信两端主机中的进程。如何为运行在不同主机上的应用进程提供直接的逻辑通信服务,就是运输层的主要任务。运输层协议又称为。运输层向应用层实体屏蔽了下面网络核心的细节(例如网络拓扑、所采用的路由选择协议等),它使应用进程看见的就好像是在两个运输层实体之间有一条端到端的逻辑通信信道。根据应用需求的不同,因特网的运输层为应用层提供了两种不同的运输层协议,即面向连接的TCP和无连接的UDP,这两种协议就是本章要讨论的主要内容。
计算机网络:应用层 - 文件传输协议 FTP & 电子邮件
盒马的博客
06-20 861
讲解计算机网络应用层,文件传输协议FTP和电子邮件
《TCP/IP网络编程》(第十五章)套接字和标准I/O
立志成为炼丹师?
06-14 1138
之前数据通信时,使用的是read&write函数以及其他各种I/O函数,本章将使用,例如C语言的fopen、fgetc、fputs等等;C++语言的cout、cin等等。
长亭网络通信基础
hellodaoyan的博客
06-15 768
交换机和路由器,有以下几个不同1、外形上交换机通常端口比较多看起来比较笨重,而路由器的端口就少得多体积也小得多。2、工作层次不同普通的交换机一般工作在OSI七层模型的第二层·数据链路层,负责局域网之间的连接,而路由器工作在OSI的第三层·网络层,负责广域网之间的连接。3、数据的转发对象不同交换机都是根据MAC地址转发数据帧,而路由器是基于路由表转发数据包。4、分工不同交换机主要是负责局域网的搭建,而路由器在中小型网络架构中,负责的是连接外网,与公网通信。5、冲突域和广播域。
【杂记-浅谈MTU最大传输单元】
叫我小虎就行了的博客
06-14 917
【杂记-浅谈MTU最大传输单元】
速盾:CDN 转发循环攻击的解析
zhuguowang01的博客
06-19 263
只有通过各方的共同努力,包括 CDN 服务提供商、网站开发者和安全团队等,才能够有效地防范和应对这种攻击,保障网络空间的安全与稳定。在不断发展的网络环境中,我们必须保持警惕,不断探索和创新安全防护技术,以应对各种潜在的威胁和挑战。CDN 转发循环攻击的基本原理是,攻击者精心构造特定的请求,使得这些请求在 CDN 的网络中陷入无限循环的转发过程。通过实时监控流量模式和异常情况,及时发现可能的转发循环攻击迹象,并采取相应的措施进行阻断和缓解。例如,加强对输入请求的验证和过滤,防止恶意请求进入 CDN 网络
python解析nginx配置文件
01-25
以下是使用Python解析nginx配置文件的示例代码: ```python def parse_nginx_config(file_path): config = {} with open(file_path, 'r') as file: for line in file: line = line.strip() if line.startswith('#') or not line: continue if line.startswith('http') or line.startswith('server'): section = line.split()[1] config[section] = {} else: key, value = line.split(maxsplit=1) config[section][key] = value.strip(';') return config # 示例用法 config_file = '/etc/nginx/nginx.conf' parsed_config = parse_nginx_config(config_file) print(parsed_config) ``` 这段代码定义了一个`parse_nginx_config`函数,该函数接受一个nginx配置文件的路径作为参数,并返回一个解析后的配置字典。函数会逐行读取配置文件,忽略注释和空行,并将配置信息存储在字典中。字典的结构是以`http`和`server`为顶级键,下面是对应的配置项和值。 你可以将`config_file`变量替换为你实际的nginx配置文件路径,然后调用`parse_nginx_config`函数来解析配置文件。解析后的配置字典将会被打印出来。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值