观成科技:白象组织BADNEWS木马加密通信分析总结报告

最新推荐文章于 2024-04-26 17:34:03 发布
最新推荐文章于 2024-04-26 17:34:03 发布
阅读量725 收藏 6
点赞数 23
文章标签: 科技
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/GCKJ_0824/article/details/137080165
版权
  1. 概述

白象,又名Hangover、Patchwork、摩诃草等,该组织主要针对中国、巴基斯坦等亚洲地区国家进行网络间谍活动,攻击目标以政府机构、科研教育领域为主。

自16年起,该APT组织一直持续使用攻击武器BADNEWS开展攻击活动,该武器的主要功能为远程控制。观成安全分析人员对近两年掌握的多个公开和未公开BADNEWS样本进行分析,发现如下特点:

  • 各个样本的整体执行逻辑、通信交互内容无明显变化;
  • 各个样本支持的控制指令无明显变化,包含执行任意命令、截图、键盘记录、服务端更新、下载文件、执行文件以及列目录操作;
  • 样本的通信加密算法一直在进行更新,从RC4+Base64到AES+Base64,再到XOR+RC4+Base64;
  • 样本使用的通信协议,从最开始的明文协议HTTP,到加密协议HTTPS;

从上述特点中可以看出,近两年BADNEWS针对加密通信方式进行了更新迭代,从协议层面、加密算法层面、密钥层面这三方面发力,加强了该攻击武器在流量侧的隐蔽性。

2.基本信息

观成安全研究团队在近期捕获了BADNEWS新样本,分析发现该样本使用了HTTPS加密协议进行C&C通信,内层HTTP载荷中又组合使用了XOR+RC4+Base64加密算法和编码,进一步提高传输信息的隐蔽性。结合近两年我们分析过的11个BADNEWS公开样本,对该木马的加密协议、算法和密钥进行了对比和总结,这11个样本的基本信息如下表:

3.加密通信分析

  • 3.1 HTTP隧道加密通信分析

早期,BADNEWS样本均使用HTTP协议进行通信(23年5月开始使用HTTPS),请求的URL为随机生成的不规则字符串,URL后缀为“php”。虽然使用的明文通信协议,但是样本使用HTTP的请求体来传输加密数据。样本运行后会先发送上线包,上线包中会将UUID和主机信息上传到C&C服务器。

图 1 上线包(HTTP)

将上线包的正文数据提取,经过解密后可以看到明文数据,其中包含了UUID和受害机的主机信息。

图 2 上线包UUID解密

图 3 上线包 主机信息解密

随后样本会持续发送心跳包,等待接收攻击者下发的控制指令,心跳间隔约5s。

图 4 心跳请求(HTTP)

  • 3.2 HTTPS加密通信分析

白象组织从23年5月开始使用HTTPS作为BADNEWS的通信协议,将原有的HTTP加密数据隐藏在了HTTPS加密协议之后。观成安全分析人员对BADNEWS产生的大量HTTPS加密流量进行分析后,总结出了以下特征。

  1. 上线流量特征

BADNEWS样本(HTTPS)在上线时存在发送两次上线包的行为,第一次上线包为受害主机的UUID,第二次上线包为主机信息。服务端对两次上线包有不同的响应,两次响应载荷长度相差1;

图 5 上线包(HTTPS)

  1. 心跳流量特征

如果服务器没有下发控制指令,BADNEWS会重复交替发送两种心跳包。第一种心跳包内容为加密后的受害机UUID值,该心跳包用于获取控制指令。第二种心跳包内容较第一种心跳包少一层URL编码并改变了固定字符串。第一种心跳包之间间隔为2~6秒。

图 6 心跳请求(HTTPS)

2.证书特征

近期披露的BADNEWS(HTTPS)服务器都使用了“Let's Encrypt”颁发的免费证书。

图 7 证书截图

3.加密算法与密钥迭代

通过对BADNEWS样本的通信加密算法进行统计观察,可以发现攻击者一直在尝试改进加密算法,并且存在密钥复用的情况。按照时间,可以将BADNEWS加密算法的使用,分为以下3个阶段:

2022年上半年(样本1-3),使用RC4+Base64,密钥相同;

2022年下半年(样本4-8),使用AES+Base64,密钥相同(除样本6外);

2023年至今(样本9-12),开始使用安全传输协议HTTPS,使用XOR+RC4+Bas64,密钥相同,且开始使用非硬编码密钥(除样本10)。

5.检测

观成瞰云(ENS)-加密威胁智能检测系统能够对BADNEWS系列攻击武器有效检出,用最新捕获的样本举例(HTTPS协议),检测结果见下图。

图 8 观成瞰云(ENS)-加密威胁智能检测系统检测结果

图 9 观成瞰云(ENS)-加密威胁智能检测系统鱼骨图展示

6.总结

观成科技对白象组织BADNEWS木马进行了长期追踪分析,从各个版本的通信方式可以看出该组织在持续对攻击武器的通信加密方式进行开发改进。在协议侧,攻击武器从使用明文协议HTTP过渡到了密文协议HTTPS;在密钥侧,攻击武器从完全使用硬编码密钥到增加使用临时会话密钥。这些改进使得白象流量的检测难度进一步提高。观成安全团队对BADNEWS的加密流量进行深入研究后,提取了该攻击武器通信流量的行为特征,实现了对BADNEWS的检测。后续,观成安全团队将继续保持对白象组织活动的长期跟踪,密切关注各类使用加密流量的最新威胁,并随时更新检测技术方案进行应对。

GCKJ_0824
关注
  • 23
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
bad-news:Matrix机器人,坏消息带来者
04-10
BadNews:Matrix Bot,Bad News的使者这是什么? BadNews是一个机器人,可以监视您的systemd / journald日志,并向您报告坏消息。为什么? 想要与一起并从我的托管服务中获得一些简单的警报,这是一种混合。设置在...
白象组织使用BADNEWS和Remcos商业木马的最新攻击活动
qq_44005305的博客
08-08 234
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
病毒分析【Android病毒分析报告】 - BadNews
weixin_34092370的博客
04-28 119
工作之余抽点时间出来写写博文,希望对新接触的朋友有帮助。明天在这里和大家一起学习一下病毒分析     本文章由Jack_Jia编写,转载请注明出处。   文章链接:     http://blog.csdn.net/jiazhijun/article/details/8863104     作者:Jack_Jia    邮箱: [email protected]             ...
广州android病毒分析工程师,病毒分析【Android病毒分析报告】 - BadNews
weixin_42467533的博客
05-25 80
工作之余抽点时间出来写写博文,希望对新接触的朋友有帮助。明天在这里和大家一起学习一下病毒分析前段时间Lookout安全队团发现了一个用利告广络网推送恶意件软的病毒本样BadNews。该告广络网将向感染设备推送AlaphSMS恶意件软(https://blog.lookout.com/blog/2012/04/11/the-continuing-saga-of-fake-app-toll-fraud...
【Android病毒分析报告】 - BadNews
移动编程
04-28 183
本文章由Jack_Jia编写,转载请注明出处。文章链接:http://blog.csdn.net/jiazhijun/article/details/8863104 作者:Jack_Jia 邮箱:[email protected] 前段时间Lookout安全团队发现了一个利用广告网络推送恶意软件的病毒样本BadNews。该广告网络将向感染设备推送AlaphSMS恶意软件(ht...
未来五十年,智能科技将如何改变传统行业格局?
2301_79635820的博客
04-24 549
总的来说,虽然智能科技的发展将取代许多传统行业的工作岗位,但也将为社会带来更高效、更便捷的服务和生产方式。随着区块链技术的发展和智能算法的应用,许多金融服务领域的工作,如风险评估、交易处理和客户服务,将被智能系统所替代。例如,智能化的农业机械将提高农作物的产量和质量,智能传感器和大数据分析将帮助农民更好地管理农田和预测天气情况。随着自动驾驶技术和物联网的应用,交通运输和物流行业将面临深刻的变革。同时,我们也需要认识到智能科技的发展将创造出新的工作岗位和商业机会,从而为经济和社会带来更大的活力和创造力。
灵途科技荣获省级“专精特新”企业认定!
Lingtukeji的博客
04-20 575
的理念,灵途科技致力让传感器像自来水一样遍及千家万户,形成了以光纤激光器、线激光模组、激光雷达等光电产品为核心的多个行业解决方案,助力客户产品应用从室内到室外、从低速到高速、从封闭到开放等场景不断延伸,持续推动智能家居、智慧城市、智能测绘行业迭代升级。本次认定的“专精特新”中小企业,是湖北省经济和信息化厅从众多中小企业中筛选出具有“专业化、精细化、特色化、信息化”发展特征,主营业务突出、竞争力强、成长性好的先锋企业。从市级到省级的不断认可,既是对灵途科技多年耕耘的认可,也是鞭策灵途科技继续前行的动力。
盲人餐厅点餐:科技之光照亮餐桌上的美食之旅
xiao1618的博客
04-24 313
综上所述,这款辅助应用凭借其出色的实时避障与拍照识别能力,成功打破了盲人餐厅点餐中的诸多障碍,赋予视障人士更高的生活自主权与餐饮享受。未来,我们期待更多此类创新科技产品的涌现,共同构建一个更加包容、无障碍的社会环境,让每一位视障人士都能在餐厅的温馨氛围中,尽情品味美食、享受社交的乐趣,自信满满地开启每一次盲人餐厅点餐之旅。幸运的是,科技的革新正为这一群体带来前所未有的助力,一款名为蝙蝠避障专为盲人设计的辅助应用,以其实时避障与拍照识别功能,让视障朋友能够独自、自信地在餐厅完成点餐,享受美食之旅。
展商企业【广东伟创科技开发有限公司】| 2024水科技大会暨技术装备成果展
wangzhiping_1201的专栏
04-22 680
广东伟创科技开发有限公司成立于2006年,位于广东省江门市。公司是华南理工大学造纸与污染控制国家工程研究中心科技成果转化单位;是华南理工大学产学研合作单位;是广东省高新技术企业;是江门市现代信息服务业重点企业
积极应对半导体测试挑战 加速科技助力行业“芯”升级
最新发布
Dido2021的博客
04-26 302
新兴领域芯片产品性能不断提升、使用场景也更加苛刻,对于芯片的设计和测试都提出了新的挑战,同时也带来了新的机遇。在长时间、高强度的测试环境下,加速科技的解决方案仍能保持稳定的性能,确保测试结果的一致性。同时,加速科技提供一站式的测试服务,包括测试程序开发、测试数据分析等,省心省时省力,帮助我们快速定位问题,大大提升了测试效率。多年来,加速科技持续增高研发投资,突破技术门槛,打造核心竞争力。我们相信,通过不断的技术创新和服务优化,我们的测试解决方案将更好地助力中国“芯”的升级,赋能半导体产业的发展。
观成科技:蔓灵花组织加密通信研究分析总结
GCKJ_0824的博客
04-23 739
首先,我们采用基于规则的检测方法 ,在面对简单的明文通信和已知密钥加密的工具时,对其流量中的关键字符串,比如url、固定密钥加密的16进制字符进行匹配。在面对较为复杂的攻击武器通信加密的流量时,针对已知密钥的情况,可以利用已掌握的密钥规律进行解密尝试。对于未知密钥的加密流量,我们可以通过统计流量数据在时间、空间上的分布情况,对蔓灵花组织的每款工具制定行为模型,例如统计流量中的心跳时间间隔,载荷的数据格式,以及流量中上下行数据的关系,来判断是否符合蔓灵花组织某一攻击武器的流量通信行为特征。
“亚马逊依赖”之下,傲基科技的品牌势能如何提升?
ganggushe的博客
04-24 695
具体而言,电视柜、咖啡桌、门厅架、梳妆台等“低科技”产品,功能较为固化,迭代缓慢,但对此市场永远有需求,这种情况下,加之布局者众多,相关企业较难通过加码研发,以新产品快速有效地掀起产业迭代之势,从而打响品牌知名度。对此,中信证券研报也指出,中国品牌出海,短期看流量营销,中期关注物流/渠道扩张情况,供应链能力决定长期发展。具体而言,不同市场的消费习惯各异,企业打开知名度之后,要奠定坚实的品牌力,获得足够的消费认同,必须立足当地,打通研产销环节,才能快速把握市场环境变化,并及时响应消费需求。
数据中台工具:企业数据管理的核心动力_光点科技
gdkj20110411的博客
04-26 329
在数字经济时代,数据中台工具已经成为各大企业提升效率、优化决策的核心动力。通过集成、分析和管理企业内外的各种数据,数据中台工具不仅可以帮助企业洞察市场趋势,还能够预测用户行为,推动企业实现精准营销以及产品优化。本文将探索数据中台工具的重要性、功能特点以及企业在选择和使用数据中台工具时需要考虑的关键因素。
AI原生技术分享活动:引领智能科技新浪潮
wypdao的专栏
04-22 428
本次AI原生技术分享活动汇聚了行业专家和爱好者,共同探讨AI原生技术的最新成果、未来趋势和应用前景。通过主题演讲、互动讨论和技术展示等多种形式,活动展示了AI原生技术在推动社会进步和创新发展方面的巨大潜力,也让我们对AI技术的未来发展充满期待。
ssm071北京集联软件科技有限公司信息管理系统+jsp
hjjshua的博客
04-22 957
现代经济快节奏发展以及不断完善升级的信息化技术,让传统数据信息的管理升级为软件存储,归纳,集中处理数据信息的管理方式。本信息管理系统就是在这样的大环境下诞生,其可以帮助管理者在短时间内处理完毕庞大的数据信息,使用这种软件工具可以帮助管理人员提高事务处理效率,达到事半功倍的效果。此信息管理系统利用当下成熟完善的SSM框架,使用跨平台的可开发大型商业网站的Java语言,以及最受欢迎的RDBMS应用软件之一的Mysql数据库进行程序开发。实现了知识库和项目数据基础数据的管理,发布公告,项目管理等功能。
亚远景科技-ASPICE评估师等级、ASPICE评估师培训和ASPICE评估项目等级简介
yayuanjingkeji的博客
04-24 257
ASPICE评估师等级、ASPICE评估师培训和ASPICE评估项目等级共同构成了一个系统,用于确保ASPICE评估项目的高质量和有效性,同时推动软件开发过程的成熟度和持续改进。
蓄能勃发,酷开科技携酷开系统“软硬结合”提升大屏实力
tcxb123456的博客
04-23 299
在AI大模型的智能化方向上,酷开科技除了与百度、腾讯、爱奇艺等在内容上深度合作之外,同时将对年轻消费者的诉求放在了主要位置,多场景的AI互动生成能力融入,开机内容、氛围空间、智能提醒、育儿陪伴等场景,让消费者的使用更有粘性,截至2023年12月31日止,酷开系统在中国市场累计覆盖智能终端达2亿台。酷开科技不仅硬件给力,软件方面也很能打,与自主研发出的酷开系统强强联合,软硬互补优势明显,使产品力和服务力得到整体提升。这种“软硬结合”的能力,进一步巩固了酷开科技的地位。
智慧化转型赋能园区创新:科技创新引领产业智慧化,打造高效发展新格局
byte58的博客
04-21 815
方案365”全新整理智慧园区、数字乡村-智慧农业、智慧城市、数据治理、智慧应急、数字孪生、乡村振兴、智慧乡村、元宇宙、数据中台、智慧矿山、城市生命线、智慧水利、智慧校园、智慧工地、智慧农业、智慧旅游等300+行业全套解决方案。园区需要不断适应新形势、新要求,加强顶层设计、优化政策环境、强化人才支撑、深化国际合作等方面的工作,以推动智慧化转型和科技创新的深入发展。通过引入绿色、低碳、循环的发展理念和技术手段,园区能够实现资源的高效利用和环境的友好保护,推动园区经济、社会和环境的协调发展。
数字藏品:重塑艺术与科技的新媒介
再熬夜头发就要掉光光咯
04-25 354
在我看来,数字藏品的出现,不仅为艺术界带来了新的机遇,也为科技界带来了新的挑战。我认为,我们需要在保证数字藏品真实性和安全性的同时,更多地关注其艺术价值和人文意义。更重要的是,数字藏品的出现,打破了传统艺术品的物理限制,使得艺术品的传播和交流更为便捷。在数字经济的浪潮中,数字藏品正在以其独特的方式改变着我们对艺术和科技的理解。让我们一起期待数字藏品在未来的发展,也让我们一起为艺术和科技的融合贡献自己的力量。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值