SideWinder诱饵文档加密流量分析

近期获得一个SideWinder组织关联样本（MD5：267870d2a7deec193cf6c2b6926f0451）。我们对此样本及其产生的加密流量进行了简要分析。

样本概述

在此次攻击中，SideWinder组织伪造某国官方Office文档作为攻击的诱饵。诱饵文件利用CVE-2017-0199漏洞，通过HTTPS协议访问远程对象并直接执行代码，产生TLS加密流量。

 

图 1 诱饵文档

 

图 2 诱饵中包含的链接

流量分析

在沙箱中运行样本，抓取流量并进行分析。沙箱首先请求navy-mil-bd.jmicc.xyz域名，然后向响应IP 5.230.71.95发起两次TLS连接，TLS协议版本分别为1.0和1.2。

 

加密会话重点要素：

1. 协议版本：TLS1.0/1.2；
2. 客户端支持加密套件：TLS1.0会话：12个/TLS1.2会话：21个；
3. 服务端选择套件：TLS1.0：TLS_RSA_WITH_AES_128_CBC_SHA (0x002f)/TLS1.2：TLS_RSA_WITH_AES_128_CBC_SHA256 (0x003c)；
4. SNI：两次会话相同，均为navy-mil-bd.jmicc.xyz；
5. 证书：两次会话相同，证书链长度为2，其中包含一个自签名CA证书，和由此证书颁发的二级证书

 

经分析，两次会话异常点如下：

1. 无论是客户端还是服务端，在密钥协商阶段均与目前正常Web应用等TLS流量存在较大差异，且与以往SideWinder恶意流量有相似之处；
2. SNI以明文传输，其中扩展名为xyz，信誉较低；
3. 两个证书的异常特征比较明显，颁发者和使用者信息使用数字填充，在自签名CA中存在极少出现的扩展项（Netscape Comment）等。

产品检测

观成瞰云（ENS）-加密威胁智能检测系统在未更新模型情况下针对本次测试产生的加密流量进行检出，从握手检测、域名检测、证书检测进行多模型分析，综合评分为88，威胁标签为APT(SideWinder)。