观成科技:海莲花生动木马KSRAT加密通讯分析
概述自2023年8月至今,海莲花构造多次使用KSRAT远控木马对我国发起攻击。KSRAT通过HTTP协议与C&C服务器举行通讯,每个样本都使用了差别的URL。其心跳包采取XOR算法举行加密,而控制指令包和数据回传包则使用了XOR以及“XOR+AES-128-CBC”组合的加密方法。这种对差别范例的数据采取差别加密方式的战略,使得心跳包的解密方法无法完全应用于其他数据,从而有效延缓了安全职员对其详细攻击使用的分析。为了隐蔽通讯特性,KSRAT在心跳包中添补了随机天生的数据,使得载荷长度随机厘革,但其并未更改XOR密钥和数据布局,导致心跳包哀求体中的特性仍然显着,可直接通过特性值举行检测。
2.实验过程
https://dis.qidao123.com/imgproxy/aHR0cHM6Ly9pLWJsb2cuY3NkbmltZy5jbi9kaXJlY3QvNzE2ZGVkMjdiZTJlNDk0MGFkNDQ0MzBiNDY3NzU0NGMucG5n
样本实验后,会先在内存中XOR解密出shellcode和dll文件,shellcode负责调用dll的导出函数,函数参数为加密的设置文件,设置文件中包罗了C2所在、哀求头信息、心跳时间隔断等信息。样本使用HTTP协议与服务器举行通讯,通讯URL为“http://38.180.94.8/public/home/images/2024/yawwjs.jpg”。
https://dis.qidao123.com/imgproxy/aHR0cHM6Ly9pLWJsb2cuY3NkbmltZy5jbi9kaXJlY3QvZTI1Yzc0ZDZlNDUzNDYxYjkxYmUwNzBiZWYyYmZiYTIucG5n
图 2‑1 KSRAT实验过程
https://dis.qidao123.com/imgproxy/aHR0cHM6Ly9pLWJsb2cuY3NkbmltZy5jbi9kaXJlY3QvY2M0NjgxNjdkMzEwNDM2NTg3MTY1MzcwZWIwNTIxNjAucG5n
[*]图 2‑2 解密后的参数信息
[*]3.通讯分析
心跳包
样本实验后,使用HTTP协议与服务器举行通讯,每隔30秒左右向服务器发送心跳包,心跳包构造为“8字节通讯标识符+13字节固定命据+8字节随机数据长度+随机数据+9字节固定命据”。心跳包中的数据通过XOR算法举行加密,密钥为“p@sswor!kS@mk$y”。
https://dis.qidao123.com/imgproxy/aHR0cHM6Ly9pLWJsb2cuY3NkbmltZy5jbi9kaXJlY3QvMjQ4MTI4ODNjOTU1NDJmZWFkMWNhODBmOTM0YWYwOWEucG5n
图 3‑1 KSRAT心跳包
https://dis.qidao123.com/imgproxy/aHR0cHM6Ly9pLWJsb2cuY3NkbmltZy5jbi9kaXJlY3QvMGI1YWZlYjYzZWQxNDJhN2I0MjVlNGQzMjBkZjI2OGMucG5n
图 3‑2 心跳包数据布局
https://dis.qidao123.com/imgproxy/aHR0cHM6Ly9pLWJsb2cuY3NkbmltZy5jbi9kaXJlY3QvYThkNWY5Y2FkYTAwNDNmMzk4YzYwZWRlODI3YWJiZjkucG5n
图 3‑3 解密后的心跳包
控制指令包
当攻击者想要对受害机举行使用时,会通过心跳包的相应体向样本下发控制指令。控制指令按照加密方式可以分为两种,一种使用XOR算法举行加密,另一种使用“XOR+AES”组合算法举行加密。
攻击者下发“上传体系信息”、“上传历程ID”等指令时使用XOR算法加密,密钥为“p@sswor!kS@mk$y”。XOR算法加密的指令包由“8字节通讯标识符+8字节固定命据+4字节控制指令+1字节数据+8字节随机数据长度+随机数据+9字节固定命据”构成。
https://dis.qidao123.com/imgproxy/aHR0cHM6Ly9pLWJsb2cuY3NkbmltZy5jbi9kaXJlY3QvMzlhNmZiZjQ5NGE1NDI2MzgwYWFkYTM1YjZhMDM4YmYucG5n
图 3‑4 控制指令-上传体系信息
https://dis.qidao123.com/imgproxy/aHR0cHM6Ly9pLWJsb2cuY3NkbmltZy5jbi9kaXJlY3QvZDFjOGJkNWEyYTk1NGE2NDhhMTg0YjcyY2UxZmFkMGMucG5n
图 3‑5 xor加密控制指令包数据布局
https://dis.qidao123.com/imgproxy/aHR0cHM6Ly9pLWJsb2cuY3NkbmltZy5jbi9kaXJlY3QvZGZhNmU4MGFhMDNhNDhhNzhhYjI0ZTgyMGQ2YjRjYzcucG5n
图 3‑6 上传体系信息指令0x03
https://dis.qidao123.com/imgproxy/aHR0cHM6Ly9pLWJsb2cuY3NkbmltZy5jbi9kaXJlY3QvYmU4NjVmMGM1ZmY5NDNkZWFmNDhjNDI3YjJhMGJkYWEucG5n
图 3‑7 上传历程ID指令0x14
攻击者下发“实验CMD下令”指令时,使用“XOR+AES”组合算法对控制指令包举行加密,XOR密钥“p@sswor!kS@mk$y”,AES密钥和IV为“AF744438F8996F07543623C6E426E29C”。该指令包由“8字节通讯标识符+4字节控制指令+8字节参数长度+参数+8字节随机数据长度+随机数据+9字节固定命据”构成。
https://dis.qidao123.com/imgproxy/aHR0cHM6Ly9pLWJsb2cuY3NkbmltZy5jbi9kaXJlY3QvNWRkZGNlNGYxMDkwNDcyOThiN2I4ZGU0YjA5NWJkODIucG5n
图 3‑8 下发指令
https://dis.qidao123.com/imgproxy/aHR0cHM6Ly9pLWJsb2cuY3NkbmltZy5jbi9kaXJlY3QvODUyMzg5YWYyZmE3NGQ4ZmFmYzFkNWFjMzczZmNkZjYucG5n
图 3‑9 “XOR+AES”加密的控制指令包布局
https://dis.qidao123.com/imgproxy/aHR0cHM6Ly9pLWJsb2cuY3NkbmltZy5jbi9kaXJlY3QvMjNmYTYzZjZlYTgzNGY2NTljMDA4MTdkNTg3MzM2MTMucG5n
图 3‑10 解密后的CMD指令“tasklist”
数据回传包
回传给服务器的数据也使用了两种方式举行加密。吸收到控制指令0x3后,样本会XOR加密回传体系信息。吸收到控制指令0x14和0x4后,样本会使用“XOR+AES”组合算法加密回传数据。
https://dis.qidao123.com/imgproxy/aHR0cHM6Ly9pLWJsb2cuY3NkbmltZy5jbi9kaXJlY3QvNzUyMzYxMGU3MTNkNDFhMmFlNTVlMTNhMThjZjFlYjIucG5n
图 3‑11 上传体系信息
https://dis.qidao123.com/imgproxy/aHR0cHM6Ly9pLWJsb2cuY3NkbmltZy5jbi9kaXJlY3QvYjMyMzRmNDkzMzM2NDMxOWFiZDgyNWY0Y2FlOGZhYTIucG5n
图 3‑12 XOR解密后的体系信息
吸收到控制指令0x14,样本使用“XOR+AES”组合算法加密回传历程ID。
https://dis.qidao123.com/imgproxy/aHR0cHM6Ly9pLWJsb2cuY3NkbmltZy5jbi9kaXJlY3QvNjNmMjdkMzY5MDRkNDE2MzlkYzk3YjJiN2EyNDE4ZTMucG5n
图 3‑13 上传的加密数据
https://dis.qidao123.com/imgproxy/aHR0cHM6Ly9pLWJsb2cuY3NkbmltZy5jbi9kaXJlY3QvNmU2OGZhZmVkYjU3NGNmZGE5YmM0NjI2MzkwNTRhODEucG5n
图 3‑14 解密后的历程ID 0x0B40
吸收到控制指令0x4后,样本提取出参数“tasklist”,实验后将历程列表使用“XOR+AES”组合算法加密后回传给服务器。
https://dis.qidao123.com/imgproxy/aHR0cHM6Ly9pLWJsb2cuY3NkbmltZy5jbi9kaXJlY3QvOWUzNjZlMmZhODQwNGIyOGIzY2Y4NjIyZWYzYTJiMDIucG5n
图 3‑15 加密的上传数据与解密后的历程列表
4.产物检测
观成瞰云(ENS)-加密威胁智能检测体系可以或许对海莲花KSRAT举行有效检出。
https://dis.qidao123.com/imgproxy/aHR0cHM6Ly9pLWJsb2cuY3NkbmltZy5jbi9kaXJlY3QvODg5MGFjY2VjM2UyNDA1YmJlZmY3MDRhNzRlY2ViNDgucG5n
图 4‑1 观成瞰云(ENS)-加密威胁智能检测体系检测效果
5.总结
比年来,越来越多的APT构造开始使用Go、Rust、Nim和DLang等编程语言开发攻击工具,这些语言本身具有肯定的肴杂效果,可以或许有效规避杀软检测并拦阻安全分析工作。海莲花构造采取Rust语言实现KSRAT远控木马,并去除了样本中AES加密算法的特性,显着低落了研究职员的分析速率。KSRAT在通讯上别具匠心,每个样本使用了差别的URL,而且在URL中掺杂了随机字符,以制止流量检测体系通过URL辨认其恶意流量。然而,自2023年至今,KSRAT并未改变其心跳包的XOR密钥和数据布局。只管心跳包长度因随机数据添补而厘革,但由于固定命据和固定密钥的存在,使得心跳包哀求体中的特性依然显着,可通过特性值直接检测。未来,海莲花大概会更新其XOR密钥来隐蔽其心跳包特性,规避流量检测。观成科技安全研究团队将连续关注并更新其检测战略,以有效应对这一网络威胁。
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!qidao123.com:ToB企服之家,中国第一个企服评测及软件市场,开放入驻,技术点评得现金
页:
[1]