观成科技:蔓灵花组织加密通信研究分析总结

1.概述

蔓灵花,又名"Bitter",常对南亚周边及孟加拉湾海域的相关国家发起网络攻击,主要针对巴基斯坦和中国两国。其攻击目标主要包括政府部门、核工业、能源、国防、军工、船舶工业、航空工业以及海运等行业,其主要意图是窃取敏感资料。

迄今为止,蔓灵花组织使用的攻击武器呈现出开源化、组件化和重复使用的趋势,在通信上多使用HTTP和TCP协议,数据传输仍然采用简单的加密算法,如移位加密和XOR加密等。观成安全研究团队对其近两年使用频率最高的5款工具的各个版本进行了详细分析,包括xorRAT、sessionRAT、plaintextRAT、wmRAT和文件窃密组件,梳理样本通信的流量特征,进行了对检测方案的探索和总结。

2.流量特征分析

2.1 xorRAT

2.1.1 加密算法

xorRAT与wmRAT在通信上存在共性,均使用自定义TCP加密协议进行通信,通信端口采用随机大端口和80端口。样本使用逐字节XOR对数据进行加密,目前发现使用过的通信加密密钥有0xf6、0x9d、0xca,其中最常使用的加密密钥为0xca。

2.1.1 数据格式

数据格式为2字节的数据长度,后面拼接加密后(Unicode格式转化+XOR加密)的数据。见下图。

图 1 数据格式

2.1.3 上线包

xorRAT各版本样本的上线包数据均包含计算机名、用户名、操作系统版本、MAC地址和程序版本等信息。

图 2 上线包数据

对上线包数据进行解密,数据多包含DESKTOP、Admin、Windows等常见字符。见下图。

图 3 数据解密

2.1.4 心跳包

xorRAT各版本样本发送的心跳数据均为样本硬编码数据,为单字节的22或1。心跳包间隔时间区间为61-91秒。见下图。

图 4 心跳时间间隔、

图 5 心跳包流量

2.1.5 控制指令

各个版本的样本在控制指令上存在一些变化,但是差异不大,共包含10余种控制指令,包括敏感信息获取,文件传输,执行cmd指令等。服务器下发控制指令的数据格式均没有变化,下图以指令18为例。

模拟服务器下发指令18(获取磁盘信息),获取磁盘名称、卷标、类型等信息。

图 6 控制指令流量

图 7 数据解密

2.2 sessionRAT

2.2.1 加密算法

sessionRAT各版本样本均使用TCP协议传输数据,其通信流程具有一定的特殊性:sessionRAT是由服务器先下发控制指令,通信流程包括三步:①样本运行后,会主动向C2服务端发起TCP请求;TCP连接建立成功后,C2服务端会率先向客户端下发指令;客户端接收指令执行后会将执行结果发送到服务端。并且该攻击武器在通信中会对部分通信数据进行加密,加密方式较老版本的样本发生了变化,从多字节XOR更改为了移位算法,下面我们将用密钥0x67的样本作为例子进行说明。

2.2.2 数据格式

从2019到2024年,通信格式均未曾发生改变,其中通信的上下行数据格式有略微差异,见下图。

上行数据其中前5个字节为会话标识数据,样本会将5字节数据解密后在响应包中发送给服务端;6-7字节TCP载荷大小,表示整个C2下发指令包的长度;8-9字节为控制指令,样本会根据指令执行命令;10-11字节为后续传输数据的载荷大小;11字节为后续传输数据,样本会将该部分数据解密,并在执行控制指令时使用。

图 8 上行数据格式

下行数据其中前5个字节为会话标识数据,该数据根据C2下发指令包中的会话表示数据解密得到,并作为明文放在客户端响应包中;6-7字节为控制指令,该指令和C2下发指令包中的控制指令相同,在客户端响应包中传输时会经过加密;7字节后的数据为加密后的传输数据,该部分数据内容为控制指令执行后的返回结果。

图 9 下行数据格式

2.2.3 控制指令

sessionRAT各版本样本均支持多种远程控制功能,其中包括获取主机信息、获取文件目录、文件的读写功能、利用匿名管道实现shell等。

样本的C2服务器会先下发控制指令5026,客户端接收该指令会上传填充数据,见下图。

图 10 控制指令5026流量

收到客户端回传的数据后,样本的C2服务器会再次下发控制指令5000,客户端接收该指令会上传系统信息,见下图。

图 11 控制指令流量

图 12 数据解密

2.3 plaintextRAT

最早出现于2021年,于2023年12月开始活跃。与xorRAT功能一致,是明文版本的xorRAT。

2.3.1 上线包

各版本样本的上线包同样包含计算机名、用户名、操作系统版本、MAC地址和程序版本等信息。

图 13上线包流量

2.3.2 心跳包

心跳包由4字节的长度和1字节的样本硬编码数据构成。

图 14 心跳包流量

2.4 窃密木马

该攻击武器是一种窃密木马,该木马会窃取文件信息,获取文件路径。其url参数部分携带计算机名、MachineGuid、时间戳等内容。相关示例流量如下。

图 15 窃密木马流量

2.5 wmRAT

具体分析请查看历史文章《蔓灵花组织wmRAT攻击武器对比分析》,与之前相比,最新发现该武器的使用了新的加密密钥为0x16。需要注意的是,目前观察到加密密钥的使用呈逐渐增大的趋势。

3. 检测方案

总结蔓灵花组织使用的5种攻击武器的流量特征后,我们综合利用规则检测、行为检测和人工智能检测等手段,针对Bitter攻击武器的流量达到有效检出的效果。

3.1 规则检测

首先,我们采用基于规则的检测方法 ,在面对简单的明文通信和已知密钥加密的工具时,对其流量中的关键字符串,比如url、固定密钥加密的16进制字符进行匹配。在面对较为复杂的攻击武器通信加密的流量时,针对已知密钥的情况,可以利用已掌握的密钥规律进行解密尝试。通过成功解密的流量,我们可以进行第二轮的关键字符串匹配,例如识别上线包中常见的字符串及其连接符。通过规则匹配的手段检测出明文通信的工具;对加密工具的检测做初步的筛选工作,为后续的检测奠定了基础。

3.2 行为检测

对于未知密钥的加密流量,我们可以通过统计流量数据在时间、空间上的分布情况,对蔓灵花组织的每款工具制定行为模型,例如统计流量中的心跳时间间隔,载荷的数据格式,以及流量中上下行数据的关系,来判断是否符合蔓灵花组织某一攻击武器的流量通信行为特征。

4. 检测结果

观成瞰云(ENS)-加密威胁智能检测系统能够对以上所有攻击武器进行检出,用sessionRAT举例,检测结果见下图。

图 16 观成瞰云(ENS)-加密威胁智能检测系统检测结果

5. 总结

我们致力于捕捉蔓灵花组织使用过的攻击武器各版本之间的共性特征,综合规则检测、行为检测技术手段,以此为基础总结出一套高效的检测方案。面对APT组织通信流量的隐蔽、定制和多样性,我们将不断深入探索APT组织流量检测领域,并扩大研究范围至更多APT组织。我们计划持续深入研究APT组织的攻击行为模式,利用行为检测和规则检测提升系统的检测能力,及时发现并应对新型威胁。

6. 参考样本hash

2eca2f7a1fb4654dd73bf4a999ce155b2303e47340b26a49623f5b32948060c3

579f0eb06da53adf551da7b5dfd45ae73e1a74185a7f74e42952cc3c2c66d487

7bda85911c5d2d51655f20d0362d87d114465974852dd1add423dfd2cef3fc53

32005ebee5daadaa5ea96ae9891632b68184c29e92908080dcfcef7f3c0c4f83

cce9aa67c53f7152e2963b5ae4b13136b56187c6db0d49f0cf6b27fea78c17cf

813c67414723ea162e789b1fc4b269839351863050f27a2f906426dac3a86f39

552ec2ce24113e3f46b4e0cf6bc91eea483ad2eaf351eb92ee77f882b96d4006

dfea2ff5d91e4097d9cfd4676d3e9544a1e230c69ad02b6b4d778dd93d83ec66

14e43110cc3c40bf56d95df0079cc744055b1568dbceac05b50a2c0159bef872

fc9f84bad598c057b595efbca7ae0ae9a1678de7f2185275953424b3ec47a00e

132098213b5923463611e6fc77bfce0cfad3d727566ce0e87e9723456c698ae6

b7a9407b47baf7442e0baf94a3b4cc8b7420cb01364fc8e6a3c622b7ae39301f

caf871247b7256945598816e9c5461d64b6bdb68a15ff9f8742ca31dc00865f8

5ab76cf85ade810b7ae449e3dff8a19a018174ced45d37062c86568d9b7633f9

2b25469b0e23fc024f5ca147948292cd4175a18625cb8a5b67ab04300082866f

66a73b1b3b51a1c6a56db2d20cff9af3d1362b989989b5d9543d2e9b92ac9a3d

c24efc7c4dafd4f0b39e7ae7e84627fbd0fb766019b820cb11edbb8dda54de66

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/diannao/4216.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

笔记:Python 注释(练习题)

文章目录 前言一、Python 注释是什么?二、选择题二、填空题三、编程题总结 前言 欢迎来到Python注释练习!在这个练习中,我们将探讨Python中注释的重要性和使用方法。注释在代码中扮演着关键的角色,不仅可以提高代码的可读性&…

火绒安全:全面守护你的数字世界

火绒安全:全面守护你的数字世界 在数字化时代的浪潮中,我们的电脑和生活已经紧密相连。然而,网络安全问题也如影随形,恶意软件、病毒、间谍软件等安全威胁层出不穷。作为一名国际著名的病毒程序软件专家,我深知一款高…

AI未来——从萌芽到智能新纪元

按照人工智能的发展阶段,具体的里程碑事件和细节: 人工智能的萌芽期(1940年代-1950年代) 1943年,麦卡洛克和皮茨发表题为《A Logical Calculus of Ideas Immanent in Nervous Activity》的论文,首次提出人工神经网络概念1950年,图灵在《计算机器与智能》一文中提出…

后端每日一题 2:DNS 解析过程

本文首发于公众号:腐烂的橘子 本文梗概: DNS 是什么,有什么作用一条 DNS 记录是什么样的DNS 域名解析原理DNS 服务器如何抵御攻击 DNS 是什么,有什么作用 DNS(Domain Name System)是一种应用层协议&…

JS高级 -- 数据类型

1. 分类 基本(值)类型 String:任意字符串Number:任意的数字Boolean:true / falseundefined:undefinednull:null 对象(引用)类型 Object:任意对象Function:一种特别的对象(可以执行)Array&am…

解决 Oracle 表锁

程序更新大量数据的时候, 由于时间太长, 页面刷新又重新提交了一次, 结果后续的任何变动都直接卡住, 一开始以为是代码问题, 使用 jstack 命令导出了当前堆栈, 结果发现有重复的语句卡在 update 上了, 看 sql 语句, 发现就是正常的 update, 那问题大概率就是出在表被锁身上了. …

使用和配置:超秀的 MySQL 客户端工具 MyCli

1.安装一个更人性化的一个mysql客户端、终端: sudo apt install mycli 登录方式 mycli -uroot password 2. 功能:界面更好看,且支持自动补全,按tab可以补全 3.mycli使用帮助说明文档 mycli --help用法: mycli [OPTIONS] [DATABASE]例如:…

西门子程序专业备份软件BUDdy for S7和使用说明

西门子程序专业备份软件BUDdy for S7和使用说明

如何在Django中使用Ajax进行动态数据更新?

在Django中使用Ajax进行动态数据更新需要以下步骤&#xff1a; 在前端页面中引入jQuery库。 <script src"https://ajax.googleapis.com/ajax/libs/jquery/3.5.1/jquery.min.js"></script>创建一个处理Ajax请求的视图函数。 from django.http import Json…

虹科Pico汽车示波器 | 免拆诊断案例 | 2006 款林肯领航员车发动机怠速抖动

故障现象 一辆2006款林肯领航员车&#xff0c;搭载5.4 L发动机&#xff0c;累计行驶里程约为26万km。该车因发动机怠速抖动故障进厂维修&#xff0c;维修人员更换了火花塞、点火线圈及凸轮轴位置传感器&#xff0c;清洗了积炭和喷油器&#xff0c;故障依旧&#xff0c;于是向笔…

富格林:正确曝光做单欺诈套路

富格林悉知&#xff0c;黄金是一种不错的投资产品&#xff0c;其具有良好的避险作用。选择已曝光的正确黄金产品&#xff0c;也能把握不错的收益。虽然黄金投资的对象单一&#xff0c;但这并不意味着投资者可以轻而易举获得收益&#xff0c;要想获得收益就得杜绝欺诈套路。下面…

SpringBoot学习之Redis下载安装启动【Windows版本】(三十六)

一、下载Redis for Windows Redis 官方网站没有提供 Windows 版的安装包,但可以通过 GitHub 来下载安装包,下载地址:https://github.com/tporadowski/redis/releases 1、网站提供了安装包和免安装版本,这里我们直接选择下面的免安装版本 2、下载后的压缩包解压以后,如下…

C#基础之结构体

结构体 文章目录 1、概念2、基本语法3、示例4、结构体的使用5、访问修饰符6、结构体的构造函数思考1 描述矩形信息思考2 职业名字释放了技能思考3 小怪兽思考4 多个小怪兽思考5 奥特曼打小怪兽 1、概念 结构体是一种一定义变量类型 它是数据和函数的集合&#xff0c;可以在结…

Entity Framework6 Oracle 官网开发说明

Entity Framework, LINQ and Model-First for the Oracle Database

面试复试基础题目-数据库相关

维护数据库的完整性&#xff0c;一致性&#xff0c;你喜欢用触发器还是自写业务逻辑&#xff1f;为什么&#xff1f; 尽可能用约束&#xff0c;比如主键、外键、唯一键、非空字段等&#xff0c;具体问题具体分析&#xff0c;数据量巨大的不要用触发器&#xff0c;小的可以用&am…

揭秘被忽视的商业模式:全民拼购助力客户实现日销千万的惊人业绩

今天&#xff0c;我想和大家分享一个颇具潜力的模式与玩法&#xff0c;尽管它在外界看来可能略显陈旧。这个模式曾被忽视&#xff0c;但我的一位客户却巧妙运用&#xff0c;实现了惊人的业绩——日销售额接近五千万&#xff0c;日订单量高达300万单。 值得注意的是&#xff0c;…

C语言:计算整数每一位数字和(用递归的方式)

用递归函数DigitSum&#xff0c;来计算整数每一位数字和 #include<stdio.h> int DigitSum(int n) { if (n > 9) return DigitSum(n / 10) n % 10; return n; } int main() { int n 0; scanf_s("%d", &n); i…

实现序列化和反序列化为什么要实现Serializable接口?

1.什么是序列化和反序列化&#xff1f; 序列化&#xff1a;把对象转换为字节序列的过程称为对象的序列化 反序列化&#xff1a;把字节序列恢复为对象的过程称为对象的反序列化 2.什么时候要用到序列化和反序列化&#xff1f; 当我们只在JVM里面运行Java实例&#xff0c;这个…

将文件导入数据库

#include <stdio.h> #include <sqlite3.h> #include <string.h> int main(int argc, const char *argv[]) { //打开数据库 sqlite3 *db NULL; if(sqlite3_open("./dict.db",&db) ! SQLITE_OK){ printf("sqlite…

NLP(9)--rnn实现中文分词

前言 仅记录学习过程&#xff0c;有问题欢迎讨论 利用rnn实现分词效果(感觉十分依赖词数据) 使用jieba分词好的数据做样本 pip install jieba 代码 import jieba import numpy as np import torch import torch.nn as nn from torch.utils.data import DataLoader"&quo…