白象组织BADNEWS木马加密通信分析总结报告

最新推荐文章于 2024-06-18 16:24:06 发布
最新推荐文章于 2024-06-18 16:24:06 发布
阅读量566 收藏 25
点赞数 24
分类专栏: VIP专栏 文章标签: 安全架构 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fzq0625/article/details/139042073
版权

概 述

白象,又名Hangover、Patchwork、摩诃草等,该组织主要针对中国、巴基斯坦等亚洲地区国家进行网络间谍活动,攻击目标以政府机构、科研教育领域为主。

自16年起,该APT组织一直持续使用攻击武器BADNEWS开展攻击活动,该武器的主要功能为远程控制。观成安全分析人员对近两年掌握的多个公开和未公开BADNEWS样本进行分析,发现如下特点:

  • 各个样本的整体执行逻辑、通信交互内容无明显变化;

  • 各个样本支持的控制指令无明显变化,包含执行任意命令、截图、键盘记录、服务端更新、下载文件、执行文件以及列目录操作;

  • 样本的通信加密算法一直在进行更新,从RC4+Base64到AES+Base64,再到XOR+RC4+Base64;

  • 样本使用的通信协议,从最开始的明文协议HTTP,到加密协议HTTPS;

从上述特点中可以看出,近两年BADNEWS针对加密通信方式进行了更新迭代,从协议层面、加密算法层面、密钥层面这三方面发力,加强了该攻击武器在流量侧的隐蔽性。

基本信息

 观成安全研究团队在近期捕获了BADNEWS新样本,分析发现该样本使用了HTTPS加密协议进行C&C通信,内层HTTP载荷中又组合使用了XOR+RC4+Base64加密算法和编码,进一步提高传输信息的隐蔽性。结合近两年我们分析过的11个BADNEWS公开样本,对该木马的加密协议、算法和密

最低0.47元/天 解锁文章
罗思付之技术屋
关注
  • 24
    点赞
  • 25
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
bad-news:Matrix机器人,坏消息带来者
04-10
BadNews:Matrix Bot,Bad News的使者 这是什么? BadNews是一个机器人,可以监视您的systemd / journald日志,并向您报告坏消息。 为什么? 想要与一起并从我的托管服务中获得一些简单的警报,这是一种混合。 设置 在config.yaml写一个配置文件: homeserver : " https://matrix.example.net " username : " bad-news " password : " matrix password for user bad-news " state_dir : " state/ " room_id : " !DeaDbEef:example.net " units : - name : nginx.service filter : " \\ [warn \\ ] .* " 然后运行
观成科技:白象组织BADNEWS木马加密通信分析总结报告
GCKJ_0824的博客
03-27 769
观成安全研究团队在近期捕获了BADNEWS新样本,分析发现该样本使用了HTTPS加密协议进行C&C通信,内层HTTP载荷中又组合使用了XOR+RC4+Base64加密算法和编码,进一步提高传输信息的隐蔽性。早期,BADNEWS样本均使用HTTP协议进行通信(23年5月开始使用HTTPS),请求的URL为随机生成的不规则字符串,URL后缀为“php”。2023年至今(样本9-12),开始使用安全传输协议HTTPS,使用XOR+RC4+Bas64,密钥相同,且开始使用非硬编码密钥(除样本10)。
基于威胁情报的攻击组织画像与溯源
热门推荐
xumesang的专栏
01-27 1万+
原文:点击打开链接 一、溯源案例两则 (一)白象组织溯源​         首先,我们来看溯源白象事件[1]的整体过程。此事件的主要点在样本侧。因为安天在这方面有一定储备,在一千个样本中提取PDB开发路径,进而关注到“neeru”等一些有特殊意义的用户名,我们将其单独提出来,直接在Facebook等一些社交网站进行追踪,其中大部分是典型xx国人名,但人名也会有很多
白象组织使用BADNEWS和Remcos商业木马的最新攻击活动
qq_44005305的博客
08-08 330
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
广州android病毒分析工程师,病毒分析【Android病毒分析报告】 - BadNews
weixin_42467533的博客
05-25 88
工作之余抽点时间出来写写博文,希望对新接触的朋友有帮助。明天在这里和大家一起学习一下病毒分析前段时间Lookout安全队团发现了一个用利告广络网推送恶意件软的病毒本样BadNews。该告广络网将向感染设备推送AlaphSMS恶意件软(https://blog.lookout.com/blog/2012/04/11/the-continuing-saga-of-fake-app-toll-fraud...
【Android病毒分析报告】 - BadNews
移动安全研究和Android/iOS/小程序隐私合规
04-28 4217
本文章由Jack_Jia编写,转载请注明出处。   文章链接:http://blog.csdn.net/jiazhijun/article/details/8863104 作者:Jack_Jia    邮箱: 309zhijun@163.com        前段时间Lookout安全团队发现了一个利用广告网络推送恶意软件的病毒样本BadNews。该广告网络将向感染设备推
病毒分析【Android病毒分析报告】 - BadNews
weixin_34092370的博客
04-28 127
工作之余抽点时间出来写写博文,希望对新接触的朋友有帮助。明天在这里和大家一起学习一下病毒分析     本文章由Jack_Jia编写,转载请注明出处。   文章链接:     http://blog.csdn.net/jiazhijun/article/details/8863104     作者:Jack_Jia    邮箱: 309zhijun@163.com             ...
2017年Android恶意软件专题报告
omnispace的博客
03-24 6277
摘    要2017年全年,360互联网安全中心累计截获Android平台新增恶意软件样本757.3万个,平均每天新增2.1万。全年相比2016年(1403.3万)下降46.0%,从2015年来看,新增恶意软件呈现总体下降趋势。2017全年,从手机用户感染恶意软件情况看,360互联网安全中心累计监测到Android用户感染恶意软件2.14亿,相比2016年2.53亿人次下降15.4%,平均每天恶意...
揭秘Patchwork APT攻击-恶意软件样本BADNEWS
weixin_30319097的博客
03-28 303
1、前言 在2016年左右研究人员发现一个与东南亚和中国南海问题的APT攻击,该APT攻击利用MS Offcie系列漏洞通过钓鱼邮件的形式欺骗受害者点击木马。以美国在内的各国政府和公司为目标发送了大量的恶意代码样本 。 其中木马上线的方式是利用了白名单网站的方式。攻击者将控制端的IP地址加密后发表文章到开放有博客、论坛的合法网站上。利用这类网站的RSS订阅服务作为受控主机访问的地址, 受...
《软件定义安全》之五:软件定义的安全架构
大龄IT民工
06-10 895
主要负责安全设备的资源池化管理、各类安全信息源的收集和分析、与客户业务系统对接,以及相应安全应用的策略解析和执行。是根据特定的安全需求所开发的程序,它利用安全控制平台的开放API实现相应的安全功能。就是传统的网络和主机安全设备,如防火墙、IPS等,它们逻辑上都会在安全控制平台的管理下,形成各类资源池,对外提供相应的安全能力。
《软件定义安全》之六:SDN和NFV安全实践
大龄IT民工
06-11 1434
DDoS检测清洗应用ADS APP的设计思路:借助安全控制平台中流相关的组件,从SDN控制器中获得相应的流量,并根据抗DDoS应用订阅的恶意流特征进行检测,发现恶意流量后,应用可根据细粒度的检测判断是否出现恶意攻击。如是,则下发实时清洗的流指令,即可将恶意流量牵引到清洗设备ADS上。过程如下:➊注册。启动阶段,ADS设备和ADS APP均向安全控制平台注册,提供自己的基本信息,如类型、位置和能力等。➋订阅。为获取并检查可疑流,ADS APP向安全控制器发送订阅。➌流统计获取和检查。
【启明智显产品分享】Model4 工业级HMI芯片详解(三):高安全、防抄板
ami82的博客
06-18 365
【高安全、防抄板】随着物联网和智能设备的快速发展,设备安全认证的需求日益迫切。硬件安全认证和保护在确保设备和身份安全中发挥着不可替代的作用,需要与软件安全相结合,共同构建全面的安全体系。
蓝牙安全入门——两道CTF题目复现
weixin_66578482的博客
06-10 968
🚀🚀蓝牙中的安全管理协议(Security Manager Protocol,SMP)是负责蓝牙设备间的配对和加密的协议。🚀🚀SMP广泛应用于需要安全数据传输的蓝牙设备,如智能手表、健身追踪器、无线耳机和医疗设备。🚀🚀SMP的主要功能之一是处理设备间的配对过程。🚀🚀最近一直对车联网比较感兴趣,但是面试官说我有些技术栈缺失,所以还得狠狠补,先从蓝牙开始吧,因为刚好有道CTF的题目可以复现一下。🚀🚀虽然SMP提供了题目 蓝牙钥匙的春天 题目 low_energy_crypto
TCP协议是安全的吗?
最新发布
高行行
06-18 109
安全虽然 TCP 提供了一种可靠且高效的数据传输方式,但它不提供任何加密或身份验证机制来保护数据。因此,传输的数据可能会被未经授权的用户拦截和读取,而且其真实性无法验证。因此,为了确保 TCP 通信安全,必须在 TCP 之上添加加密和身份验证等额外安全措施。与 TCP 结合使用的常见安全协议包括、SSH 和 IPSec。
安鸾学院靶场——安全基础
qq_55202378的博客
06-13 1101
后门端口,直接执行系统命令。注意:10021端口上ftp的后门端口为16200。添加完后,根据icon,可以看出这是一个python打包成的exe程序。看wp是由web.zip文件的,但是这里没有,所以搞不定了。下载提供的flag.zip和wordlist.txt,使用。:在vsftpd 2.3.4版本中,在登录输入用户名时输入。的返回包,可以拿到包含flag的txt文件。九阴真经上卷找不到,似乎被删了,只有下卷。类似于笑脸的符号,会导致服务处理开启。flag在whalwl数据库中。
DHCP部署与安全
2302_80097039的博客
06-15 1013
DHCP(Dynamic Host Configure Protocol ),作用是自动分配IP地址地址池/作用域:(这里面放有IP、子网掩码、网关、DNS、租期)DHCP优点减少工作量、避免IP冲突、提高地址利用率DHCP原理客户机广播请求IP地址(包含客户机的MAC地址)mac地址,网卡硬件地址,全球唯一,不会改变服务器响应提供的IP地址(但无子网掩码、网关等参数)客户机选择IP (也可认为确认使用哪个IP)服务器确定了租约,并提供网卡详细参数IP、掩码、网关、DNS、租期等。
安全等保评测-什么是“等保“?
2401_84434570的博客
06-11 718
它旨在通过对信息和信息系统的安全性进行评估,发现并纠正存在的安全漏洞和隐患,提高信息系统的安全性和可靠性,保障信息的安全。等级保护测评是经公安部认证的具有资质的测评机构,依据国家信息安全等级保护规范规定,受有关单位委托,按照有关管理规范和技术标准,对信息系统安全等级保护状况进行检测评估的活动。进行现场调研和检测:对系统和数据进行现场调研和检测,了解系统和数据的安全状况和存在的问题。确定测评目标和范围:明确要测评的信息和信息系统的范围和目标,了解业务需求和安全需求。
CentOS7下快速升级至OpenSSH9.7p2安全版本
junzhen_chen的博客
06-12 566
即可验证当前OpenSSH的版本 可以看到openssh的版本为OpenSSH_9.7p1 使用的是OpenSSL 3.0.13 30。vim pullsrc.sh 修改第23行为source ./version.env。在需要升级OpenSSH版本的CentOS7服务器上升级OpenSSH 具体升级操作命令如下。1、编译打包的shell脚本来源于该项目。2、sh pullsrc.sh下载源码包。最后会生成rpm包位于。3、准备编译所需环境。将生成的rpm包打包。
安全边界】
KDGPKV的博客
06-18 253
安全边界是具有不同安全要求或需求的任意两个区域、子网或环境之间的交叉线。它存在于高安全性区域和低安全性区域之间,例如局域网(LAN)和互联网(Internet)之间。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

罗思付之技术屋

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值