一、概 述
白象,又名Hangover、Patchwork、摩诃草等,该组织主要针对中国、巴基斯坦等亚洲地域国度进行收集特工运动,进击目的以当局机构、科研教育范畴为主。
自16年起,该APT组织一直连续使用进击兵器BADNEWS开展进击运动,该兵器的主要功效为长途节制。观成平安阐发职员对近两年掌握的多个公开和未公开BADNEWS样本进行阐发,发现如下特色:
各个样本的整体执行逻辑、通讯交互内容无显著变化;各个样本支撑的节制指令无显著变化,包括执行随意率性敕令、截图、键盘记载、服务端更新、下载文件、执行文件以及列目次操作;样本的通讯加密算法一直在进行更新,从RC4+Base64到AES+Base64,再到XOR+RC4+Base64;样本使用的通讯协定,从最开端的明文协定HTTP,到加密协定HTTPS;
从上述特色中可以看出,近两年BADNEWS针对加密通讯方式进行了更新迭代,从协定层面、加密算法层面、密钥层面这三方面发力,增强了该进击兵器在流量侧的隐蔽性。
二、根本信息
观成平安研讨团队在近期捕捉了BADNEWS新样本,阐发发现该样本使用了HTTPS加密协定进行C&C通讯,内层HTTP载荷中又组合使用了XOR+RC4+Base64加密算法和编码,进一步进步传输信息的隐蔽性。联合近两年我们阐发过的11个BADNEWS公开样本,对该木马的加密协定、算法和密钥进行了对照和总结,这11个样本的根本信息如下表:
三、加密通讯阐发
3.1 HTTP地道加密通讯阐发
早期,BADNEWS样本均使用HTTP协定进行通讯(23年5月开端使用HTTPS),哀求的URL为随机天生的不规矩字符串,URL后缀为“php”。固然使用的明文通讯协定,然则样本使用HTTP的哀求体来传输加密数据。样本运行后会先发奉上线包,上线包中会将UUID和主机信息上传到C&C服务器。
图 1 上线包(HTTP)
将上线包的正文数据提取,颠末解密后可以看到明文数据,此中包括了UUID和受害机的主机信息。
图 2 上线包UUID解密
图 3 上线包 主机信息解密
随后样本会连续发送心跳包,期待接管进击者下发的节制指令,心跳距离约5s。
图 4 心跳哀求(HTTP)
3.2 HTTPS加密通讯阐发
白象组织从23年5月开端使用HTTPS作为BADNEWS的通讯协定,将原有的HTTP加密数据暗藏在了HTTPS加密协定之后。观成平安阐发职员对BADNEWS发生的年夜量HTTPS加密流量进行阐发后,总结出了以下特性。
上线流量特性
BADNEWS样本(HTTPS)在上线时存在发送两次上线包的行动,第一次上线包为受害主机的UUID,第二次上线包为主机信息。服务端对两次上线包有分歧的相应,两次相应载荷长度相差1;
图 5 上线包(HTTPS)
心跳流量特性
假如服务器没有下发节制指令,BADNEWS会反复瓜代发送两种心跳包。第一种心跳包内容为加密后的受害机UUID值,该心跳包用于获取节制指令。第二种心跳包内容较第一种心跳包少一层URL编码并转变了固定字符串。第一种心跳包之间距离为2~6秒。
图 6 心跳哀求(HTTPS)
证书特性
近期表露的BADNEWS(HTTPS)服务器都使用了“Let's Encrypt”发表的免费证书。
图 7 证书截图
四、加密算法与秘钥迭代
经由过程对BADNEWS样本的通讯加密算法进行统计察看,可以发现进击者一直在测验考试改良加密算法,而且存在密钥复用的环境。依照光阴,可以将BADNEWS加密算法的使用,分为以下3个阶段:
2022年上半年(样本1-3),使用RC4+Base64,密钥雷同;
2022年下半年(样本4-8),使用AES+Base64,密钥雷同(除样本6外);
2023年至今(样本9-12),开端使用平安传输协定HTTPS,使用XOR+RC4+Bas64,密钥雷同,且开端使用非硬编码密钥(除样本10)。
五、检 测
观成瞰云(ENS)-加密威逼智能检测体系可以或许对BADNEWS系列进击兵器有用检出,用最新捕捉的样本举例(HTTPS协定),检测成果见下图。
图 8 观成瞰云(ENS)-加密威逼智能检测体系检测成果
图 9 观成瞰云(ENS)-加密威逼智能检测体系鱼骨图展现
六、总 结
观成科技对白象组织BADNEWS木马进行了历久追踪阐发,从各个版本的通讯方式可以看出该组织在连续对进击兵器的通讯加密方式进行开发改良。在协定侧,进击兵器从使用明文协定HTTP过渡到了密文协定HTTPS;在密钥侧,进击兵器从完全使用硬编码密钥到增长使用暂时会话密钥。这些改良使得白象流量的检测难度进一步进步。观成平安团队对BADNEWS的加密流量进行深刻研讨后,提取了该进击兵器通讯流量的行动特性,实现了对BADNEWS的检测。后续,观成平安团队将继续坚持对白象组织运动的历久跟踪,亲密存眷各种使用加密流量的最新威逼,并随时更新检测技术计划进行应对。
