广州游戏网站建设,鹤壁网站建设费用,网站建设是一次性给钱还是什么,seo诊断网站免费诊断平台1.概述
在2024年9月中旬至10月#xff0c;东南亚APT组织“海莲花”通过GitHub发布开源安全工具项目#xff0c;针对网络安全人员发起了定向攻击。通过对相关攻击活动进行分析#xff0c;可以将其与一些海莲花的样本关联起来。这些样本的通信数据结构与海莲花此前使用的攻击…1.概述
在2024年9月中旬至10月东南亚APT组织“海莲花”通过GitHub发布开源安全工具项目针对网络安全人员发起了定向攻击。通过对相关攻击活动进行分析可以将其与一些海莲花的样本关联起来。这些样本的通信数据结构与海莲花此前使用的攻击工具有所不同。本文将详细剖析其中一个样本命名为“PerfSpyRAT”的通信过程。该样本通过TLS协议与CC服务器进行通信通信数据采用LZMA与AES加密。AES密钥随流量传输且加密数据中插入不定长度的随机数据以规避长度检测。这种规避检测的策略曾在海莲花近期使用的攻击工具中出现过例如“KSRAT”木马。
2.样本信息
表 1 样本信息 文件名 perftd.exe 文件Hash 2b8353fe5862c88fdefb79f016d611d7 时间戳 2024-11-04 CC服务器 https[:]//45[.]41[.]204[.]15/extensions/a586bc8a-728c-4d06-8180-befb9e20c408 样本类型 远控
3.加密通信分析
“PerfSpyRAT”木马使用TLS与服务器进行通信TLS解密后通信流程如下
木马发起GET请求用于获取后续通信“Cookie”值该请求本身不包含“Cookie”字段服务器接收到首次GET请求后响应头字段“set-cookie”为后续通信“Cookie”值响应头状态无意义可以为“404 Not Found”木马再次发起GET请求请求头包含“Cookie”值用于获取控制指令服务器首次建立连接默认下发获取系统信息的控制指令通信内容使用LZMA压缩AES加密木马通过POST请求上传系统信息通信内容使用LZMA压缩AES加密服务器响应“200 OK”每2~3秒重复步骤③等待服务器下发新的控制指令。
通信流程如下图 图 1 TLS解密后HTTP通信流程示例
TLS通信流量解密后为HTTP协议通信载荷仍然是加密内容加密使用了LZMA压缩AES_CBC_256加密AES加密密钥每次随着流量传输IV为16个0HTTP载荷包含“加密数据AES密钥随机数据AES密钥偏移数据”AES密钥偏移与最后一字节值相关具体计算公式为偏移载荷总长度-0x28-1-载荷最后一字节的值。 图 2 HTTP载荷数据结构以及加密过程
以图3流量为例偏移载荷总长度0x13C-0x28-1-载荷最后一字节的值0x630xB0即图3中黄色数据部分为AES密钥黄色之前的蓝色部分为加密数据AES密钥后的数据为随机数据。 图 3 HTTP示例流量结构解析
系统信息解密过程如下图所示。 图 4 系统信息流量解密示例截图
4.产品检测
观成瞰云ENS-加密威胁智能检测系统能够对海莲花“PerfSpyRAT”进行有效检出。 图 5 观成瞰云ENS-加密威胁智能检测系统检测结果
5.总结
“PerfSpyRAT”是一种使用TLS协议进行通信的木马。木马的载荷数据采用LZMA压缩和AES加密且加密采用动态AES密钥密钥随流量传输。此外数据中插入了不定长的随机数据进一步规避了网络流量的长度检测。该木马的通信过程与“海莲花”组织以前使用的武器有所不同。尽管通信协议结构有些许变化但依然延续了该组织惯用的加密手段和流量伪装技术可以看出海莲花APT组织在隐匿自身行为方面的高度策略性。观成科技安全研究团队将持续关注并更新其检测策略以有效应对这一网络威胁。
参考链接
警惕境外APT组织在GitHub投毒攻击国内安全从业者、指定大企业
https://mp.weixin.qq.com/s/ih36z93y6BazatjeoGjp1A
【涨知识】海莲花活跃木马KSRAT加密通信分析
https://mp.weixin.qq.com/s/UK-2R4ALy0p1pswiF06RmA
