加密流量
文章平均质量分 87
GCKJ_0824
这个作者很懒,什么都没留下…
展开
-
观成科技:蔓灵花组织加密通信研究分析总结
首先,我们采用基于规则的检测方法 ,在面对简单的明文通信和已知密钥加密的工具时,对其流量中的关键字符串,比如url、固定密钥加密的16进制字符进行匹配。在面对较为复杂的攻击武器通信加密的流量时,针对已知密钥的情况,可以利用已掌握的密钥规律进行解密尝试。对于未知密钥的加密流量,我们可以通过统计流量数据在时间、空间上的分布情况,对蔓灵花组织的每款工具制定行为模型,例如统计流量中的心跳时间间隔,载荷的数据格式,以及流量中上下行数据的关系,来判断是否符合蔓灵花组织某一攻击武器的流量通信行为特征。原创 2024-04-23 18:13:33 · 1072 阅读 · 3 评论 -
攻防演练篇:攻防演练场景中,加密视角下的威胁情报能力建
观成科技基于多年来在加密网络空间的威胁检测、威胁分析、威胁挖掘、威胁探测、威胁响应和威胁处置能力,形成具有加密要素多层面解析、同源威胁精细化关联、攻击设施深度挖掘和AI驱动高质量情报生产等特色的加密威胁情报平台,可以有效补充传统安全产品加密威胁检测能力。在前期准备阶段,需要跟踪分析黑客工具、热门商业木马及恶意家族,可以基于通信样本的行为特征、通信信息和加密要素信息,提取加密特征,构造上线包、心跳包与指令响应包,进而进行主动探测获取C&C信息,提前掌握攻击设施。原创 2023-05-31 11:20:48 · 108 阅读 · 0 评论 -
APT29近期利用CobaltStrike开展攻击活动
在今年的最新活动中,APT29虽然替换了CS的配置文件,但依旧沿用了2021年利用重定向隐藏C&C服务器的方法。观成科技安全分析人员通过披露的IoC关联到了一个新Beacon文件snappy.dll,该样本连接的服务器sonike.com仍然存活,通过TLS协议与Beacon进行通信。攻击者利用Nginx代理来实现重定向,根据UserAgent字段进行有条件转发,将符合条件的请求转发到CS服务器,不符合条件的转发到Ubuntu官网,通过这种方式来隐藏C&C服务器。原创 2023-04-25 16:26:50 · 185 阅读 · 0 评论 -
Lazarus组织木马化开源软件的加密通信分析
Lazarus组织在该款木马化开源工具中硬编码了多个常见的URL参数字段,发送心跳包时,使用随机数来选择参数、生成参数的值,导致了心跳包长度不固定,弱化了加密通信中的数据长度特征。该DLL接收到下发的数据后解密,解密后的数据包含URL(用来替换样本通信的URL)以及扩展DLL文件,样本会加载运行下载的扩展DLL,作为下阶段攻击载荷,见图2-1中的④。UltraVNC中攻击者添加的代码会计算该IP字符串的哈希值,将其作为密钥,循环异或解密样本中包含的恶意Dll文件,并在当前进程中加载运行。原创 2023-03-07 15:19:27 · 181 阅读 · 0 评论