白象组织BADNEWS木马加密通信分析总结报告

最新推荐文章于 2024-10-18 18:18:26 发布
最新推荐文章于 2024-10-18 18:18:26 发布
阅读量663 收藏 25
点赞数 24
分类专栏: VIP专栏 文章标签: 安全架构 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fzq0625/article/details/139042073
版权
本文分析了BADNEWS木马使用HTTPS加密通信的策略,包括HTTP隧道和HTTPS加密通信的细节,以及加密算法和密钥的迭代过程。通过观察11个样本,展示了攻击者如何增强木马的隐蔽性。观成安全的检测系统能够有效检出此类加密威胁。
摘要由CSDN通过智能技术生成

概 述

白象,又名Hangover、Patchwork、摩诃草等,该组织主要针对中国、巴基斯坦等亚洲地区国家进行网络间谍活动,攻击目标以政府机构、科研教育领域为主。

自16年起,该APT组织一直持续使用攻击武器BADNEWS开展攻击活动,该武器的主要功能为远程控制。观成安全分析人员对近两年掌握的多个公开和未公开BADNEWS样本进行分析,发现如下特点:

  • 各个样本的整体执行逻辑、通信交互内容无明显变化;

  • 各个样本支持的控制指令无明显变化,包含执行任意命令、截图、键盘记录、服务端更新、下载文件、执行文件以及列目录操作;

  • 样本的通信加密算法一直在进行更新,从RC4+Base64到AES+Base64,再到XOR+RC4+Base64;

  • 样本使用的通信协议,从最开始的明文协议HTTP,到加密协议HTTPS;

从上述特点中可以看出,近两年BADNEWS针对加密通信方式进行了更新迭代,从协议层面、加密算法层面、密钥层面这三方面发力,加强了该攻击武器在流量侧的隐蔽性。

基本信息

 观成安全研究团队在近期捕获了BADNEWS新样本,分析发现该样本使用了HTTPS加密协议进行C&C通信,内层HTTP载荷中又组合使用了XOR+RC4+Base64加密算法和编码,进一步提高传输信息的隐蔽性。结合近两年我们分析过的11个BADNEWS公开样本,对该木马的加密协议、算法和密

最低0.47元/天 解锁文章
罗思付之技术屋
关注
专栏目录
FME日志分析(一)
fmechina的博客
08-01 1784
原文发布时间:2014-11-03 09:55:56 作者:一峰 理解和分析FME日志非常重要,因为日志记录了FME转换的每个过程及错误详细信息,如果不懂得分析FME的日志,我们很难去改进过程或者寻找失败的原因。 因此,我们应该去了解FME到底做了什么,分析日志,了解转换消耗了多少时间,最多的时间消耗在哪儿,以及消耗了多少系统资源。 解析日志文件 FME日志文件信息分为4类,分别告诉我们...
Nginx源码分析--数据对齐posix_memalign和memalign函数
编程的本质是数学问题
10-20 6419
对齐 数 据的对齐(alignment)是指数据的地址和由硬件条件决定的内存块大小之间的关系。一个变量的地址是它大小的倍数的时候,这就叫做自然对齐 (naturally aligned)。例如,对于一个32bit的变量,如果它的地址是4的倍数,--  就是说,如果地址的低两位是0,那么这就是自然对齐了。所以,如果一个类型的大小是2n个字节,那么它的地址中,至少低n位是0。对齐的规则是由硬件引
观成科技:白象组织BADNEWS木马加密通信分析总结报告
GCKJ_0824的博客
03-27 872
观成安全研究团队在近期捕获了BADNEWS新样本,分析发现该样本使用了HTTPS加密协议进行C&C通信,内层HTTP载荷中又组合使用了XOR+RC4+Base64加密算法和编码,进一步提高传输信息的隐蔽性。早期,BADNEWS样本均使用HTTP协议进行通信(23年5月开始使用HTTPS),请求的URL为随机生成的不规则字符串,URL后缀为“php”。2023年至今(样本9-12),开始使用安全传输协议HTTPS,使用XOR+RC4+Bas64,密钥相同,且开始使用非硬编码密钥(除样本10)。
恶意程序“BadNews”在Google Play下载超过9百万次
一个技术宅
04-22 2470
安全研究人员发现,被称为 BadNews 的恶意程序库伪装成广告网络,被从 Google 官方应用商店 Google Play 下载超过 9 百万次。BadNews 库被嵌入在了多达 32 个应用程序内,这些应用主要是游戏,逃过了 Google 的恶意程序检测。   当智能手机感染了 BadNews,手机会每隔 4 小时与恶意程序指令控制服务器联系,发送用户的敏感信息,如手机号码和国际移
基于威胁情报的攻击组织画像与溯源
xumesang的专栏
01-27 1万+
原文:点击打开链接 一、溯源案例两则 (一)白象组织溯源​         首先,我们来看溯源白象事件[1]的整体过程。此事件的主要点在样本侧。因为安天在这方面有一定储备,在一千个样本中提取PDB开发路径,进而关注到“neeru”等一些有特殊意义的用户名,我们将其单独提出来,直接在Facebook等一些社交网站进行追踪,其中大部分是典型xx国人名,但人名也会有很多
白象组织使用BADNEWS和Remcos商业木马的最新攻击活动
qq_44005305的博客
08-08 549
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
广州android病毒分析工程师,病毒分析【Android病毒分析报告】 - BadNews
weixin_42467533的博客
05-25 114
工作之余抽点时间出来写写博文,希望对新接触的朋友有帮助。明天在这里和大家一起学习一下病毒分析前段时间Lookout安全队团发现了一个用利告广络网推送恶意件软的病毒本样BadNews。该告广络网将向感染设备推送AlaphSMS恶意件软(https://blog.lookout.com/blog/2012/04/11/the-continuing-saga-of-fake-app-toll-fraud...
【Android病毒分析报告】 - BadNews
移动安全研究和Android/iOS/小程序隐私合规
04-28 4278
本文章由Jack_Jia编写,转载请注明出处。   文章链接:http://blog.csdn.net/jiazhijun/article/details/8863104 作者:Jack_Jia    邮箱: 309zhijun@163.com        前段时间Lookout安全团队发现了一个利用广告网络推送恶意软件的病毒样本BadNews。该广告网络将向感染设备推
病毒分析【Android病毒分析报告】 - BadNews
weixin_34092370的博客
04-28 182
工作之余抽点时间出来写写博文,希望对新接触的朋友有帮助。明天在这里和大家一起学习一下病毒分析     本文章由Jack_Jia编写,转载请注明出处。   文章链接:     http://blog.csdn.net/jiazhijun/article/details/8863104     作者:Jack_Jia    邮箱: 309zhijun@163.com             ...
揭秘Patchwork APT攻击-恶意软件样本BADNEWS
weixin_30319097的博客
03-28 347
1、前言 在2016年左右研究人员发现一个与东南亚和中国南海问题的APT攻击,该APT攻击利用MS Offcie系列漏洞通过钓鱼邮件的形式欺骗受害者点击木马。以美国在内的各国政府和公司为目标发送了大量的恶意代码样本 。 其中木马上线的方式是利用了白名单网站的方式。攻击者将控制端的IP地址加密后发表文章到开放有博客、论坛的合法网站上。利用这类网站的RSS订阅服务作为受控主机访问的地址, 受...
所需即所获:IDE = _plugins_ + vim
热门推荐
a byte of free
01-08 1万+
yangyang.gnu yangyang.gnu@gmail.com PDF 下载:http://download.csdn.net/detail/yangyang_gnu/6758145 0 vim 必知会     0.1 .vimrc 文件     0.2 .vim/ 目录 1 源码安装编辑器 vim 2 插件管理 3 界面美化     3.
舍伍德业务安全架构(Sherwood Applied Business Security Architecture, SABSA)
qq_69100706的博客
10-15 614
舍伍德业务安全架构(Sherwood Applied Business Security Architecture, SABSA)是一个企业级的安全架构框架,它提供了一个全面的方法来设计和实现信息安全策略。SABSA模型将业务需求与安全控制相结合,确保企业的信息安全措施能够支持其商业目标。SABSA架构基于分层的模型,每一层都有不同的抽象级别和细节程度,从战略到操作层面逐步细化。
CTFHUB技能树之HTTP协议——响应包源代码
weixin_73049307的博客
10-13 469
点击“开始”没有抓取到报文,先看看网页源代码是什么情况。居然直接给出flag了,不知道这题的意义何在。是个贪吃蛇小游戏,看不出来有什么特别的地方。
等保测评:如何进行有效的安全合规性审查
2301_79955948的博客
10-18 469
等保测评(信息安全等级保护测评)是一项至关重要的安全合规性审查工作,旨在帮助组织保障信息系统的安全性、合规性,有效应对安全风险,提升整体安全防护水平。
【红日安全】vulnstack (一)
m0_71944965的博客
10-18 322
靶场下载链接:http://vulnstack.qiyuanxuetang.net/vuln/detail/2/ 下载解压后在VM中打开目标跟我们处于同一个网段先查一下我们自己的IP,用 ifconfig 查看攻击机的IP为192.168.64.131探测一下跟我们同一网段下的主机有哪些,用Kali自带的arp扫描器扫描同一网段下的主机,发现了同一网段下的不同IP,判断它就是要渗透的主机。 扫到IP之后接下来扫描端口,发现它开启了、端口 访问一下80端口,发现是phpStudy探针界面,在其中发现了它的操作
面对AI算力需求激增,如何守护数据中心机房安全?
最新发布
HKT香港电讯的博客
10-18 274
面对AI时代算力需求飙升所带来的更高安全要求和挑战,数据中心机房需要具备更完善的容灾能力及应急预案。同时应从多个方面入手,全面提升安全防护能力,从而有效应对安全隐患及突发事故。
常见的内网渗透思路及方法(包含示例)
xixixi7777的博客
10-11 1104
内网渗透是指在企业或组织的内部网络中进行安全测试,以发现和利用网络中的安全漏洞。
【京准电钟】“安全卫士”:卫星时空安全隔离防护装置
NTP授时服务器
10-18 284
【京准电钟】“安全卫士”:卫星时空安全隔离防护装置
安全 | AWS S3存储桶安全设计缺陷分析
2401_82664371的博客
10-18 550
默认情况下,Amazon S3 是安全的。创建后,只有资源所有者才能访问他们创建的 Amazon S3 资源。
Parasoft C/C++test CT 荣获TÜV SÜD认证,在安全关键应用开发与验证方面达到最佳实践标准
10-18 376
今年4月推出的 Parasoft 的 C/C++test CT 使大型开发团队能够简化测试自动化,同时确保持续遵守特定行业的安全标准,包括汽车行业的 ISO 26262、航空领域的 DO-178B/C、医疗设备的 IEC 62304、铁路系统的 EN 50128,以及工业自动化和制造应用的 IEC 61508标准。我们的每一步发展生命周期都融合了验证、确认与质量,Parasoft C/C++test CT是一个可靠和值得信赖的选择,让用户放心优化合规审批,同时为创新的安全关键系统和设备增添价值。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

罗思付之技术屋

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值