白象,别号Hangover、Patchwork、摩诃草等,该组织紧张针对中国、巴基斯坦等亚洲地区国家进行网络特工活动,攻击目标以政府机构、科研教诲领域为主。
自16年起,该APT组织一贯持续利用攻击武器BADNEWS开展攻击活动,该武器的紧张功能为远程掌握。不雅观成安全剖析职员对近两年节制的多个公开和未公开BADNEWS样本进行剖析,创造如下特点:
从上述特点中可以看出,近两年BADNEWS针对加密通信办法进行了更新迭代,从协议层面、加密算法层面、密钥层面这三方面发力,加强了该攻击武器在流量侧的暗藏性。
二、基本信息
不雅观成安全研究团队在近期捕获了BADNEWS新样本,剖析创造该样本利用了HTTPS加密协议进行C&C通信,内层HTTP载荷中又组合利用了XOR+RC4+Base64加密算法和编码,进一步提高传输信息的暗藏性。结合近两年我们剖析过的11个BADNEWS公开样本,对该木马的加密协议、算法和密钥进行了比拟和总结,这11个样本的基本信息如下表:
三、加密通信剖析
3.1 HTTP隧道加密通信剖析
早期,BADNEWS样本均利用HTTP协议进行通信(23年5月开始利用HTTPS),要求的URL为随机天生的不规则字符串,URL后缀为“php”。虽然利用的明文通信协议,但是样本利用HTTP的要求体来传输加密数据。样本运行后会先发送上线包,上线包中会将UUID和主机信息上传到C&C做事器。
图 1 上线包(HTTP)
将上线包的正文数据提取,经由解密后可以看到明文数据,个中包含了UUID和受害机的主机信息。
图 2 上线包UUID解密
图 3 上线包 主机信息解密
随后样本会持续发送心跳包,等待吸收攻击者下发的掌握指令,心跳间隔约5s。
图 4 心跳要求(HTTP)3.2 HTTPS加密通信剖析
白象组织从23年5月开始利用HTTPS作为BADNEWS的通信协议,将原有的HTTP加密数据隐蔽在了HTTPS加密协议之后。不雅观成安全剖析职员对BADNEWS产生的大量HTTPS加密流量进行剖析后,总结出了以下特色。
上线流量特色BADNEWS样本(HTTPS)在上线时存在发送两次上线包的行为,第一次上线包为受害主机的UUID,第二次上线包为主机信息。做事端对两次上线包有不同的相应,两次相应载荷长度相差1;
图 5 上线包(HTTPS)
心跳流量特色如果做事器没有下发掌握指令,BADNEWS会重复交替发送两种心跳包。第一种心跳包内容为加密后的受害机UUID值,该心跳包用于获取掌握指令。第二种心跳包内容较第一种心跳包少一层URL编码并改变了固定字符串。第一种心跳包之间间隔为2~6秒。
图 6 心跳要求(HTTPS)
证书特色近期表露的BADNEWS(HTTPS)做事器都利用了“Let's Encrypt”颁发的免费证书。
图 7 证书截图
四、加密算法与秘钥迭代
通过对BADNEWS样本的通信加密算法进行统计不雅观察,可以创造攻击者一贯在考试测验改进加密算法,并且存在密钥复用的情形。按照韶光,可以将BADNEWS加密算法的利用,分为以下3个阶段:
2022年上半年(样本1-3),利用RC4+Base64,密钥相同;
2022年下半年(样本4-8),利用AES+Base64,密钥相同(除样本6外);
2023年至今(样本9-12),开始利用安全传输协议HTTPS,利用XOR+RC4+Bas64,密钥相同,且开始利用非硬编码密钥(除样本10)。
五、检 测
不雅观成瞰云(ENS)-加密威胁智能检测系统能够对BADNEWS系列攻击武器有效检出,用最新捕获的样本举例(HTTPS协议),检测结果见下图。
图 8 不雅观成瞰云(ENS)-加密威胁智能检测系统检测结果
图 9 不雅观成瞰云(ENS)-加密威胁智能检测系统鱼骨图展示
六、总 结
不雅观成科技对白象组织BADNEWS木马进行了长期追踪剖析,从各个版本的通信办法可以看出该组织在持续对攻击武器的通信加密办法进行开拓改进。在协议侧,攻击武器从利用明文协议HTTP过渡到了密文协议HTTPS;在密钥侧,攻击武器从完备利用硬编码密钥到增加利用临时会话密钥。这些改进使得白象流量的检测难度进一步提高。不雅观成安全团队对BADNEWS的加密流量进行深入研究后,提取了该攻击武器通信流量的行为特色,实现了对BADNEWS的检测。后续,不雅观成安全团队将连续保持对白象组织活动的长期跟踪,密切关注各种利用加密流量的最新威胁,并随时更新检测技能方案进行应对。
