一
概 述
白象,又名Hangover、Patchwork、摩诃草等,该组织主要针对中国、巴基斯坦等亚洲地区国家进行网络间谍活动,攻击目标以政府机构、科研教育领域为主。
自16年起,该APT组织一直持续使用攻击武器BADNEWS开展攻击活动,该武器的主要功能为远程控制。观成安全分析人员对近两年掌握的多个公开和未公开BADNEWS样本进行分析,发现如下特点:
-
各个样本的整体执行逻辑、通信交互内容无明显变化;
-
各个样本支持的控制指令无明显变化,包含执行任意命令、截图、键盘记录、服务端更新、下载文件、执行文件以及列目录操作;
-
样本的通信加密算法一直在进行更新,从RC4+Base64到AES+Base64,再到XOR+RC4+Base64;
-
样本使用的通信协议,从最开始的明文协议HTTP,到加密协议HTTPS;
从上述特点中可以看出,近两年BADNEWS针对加密通信方式进行了更新迭代,从协议层面、加密算法层面、密钥层面这三方面发力,加强了该攻击武器在流量侧的隐蔽性。
二
基本信息