安全是有分量的

游戏盾_高防网站服务器_3天试用

2022-01-14 20:50栏目:安全

游戏盾_高防网站服务器_3天试用

2020年7月16日

英国国家网络安全中心报告称,被称为WellMess的恶意软件被用于试图从参与新冠病毒-19疫苗研发的多个组织窃取信息和知识产权,以及针对其他几个部门。

该报告,发表于加拿大通信安全机构和美国国家安全局,将WellMess归因于我们追踪的威胁行为人Blue Kitsune(在开源中称为APT29,Cozy Bear,

WellMess恶意软件于2018年年中由LAC[1]和JPCERT[2]首次在开放源码中报告。我们分析了2020年以来最新的恶意软件变体,从原始样本中获得了广泛的附加功能,包括几种强健的网络通信方法和感染后运行PowerShell脚本的能力。

以下分析来自我们的私人情报报告服务,并描述了WellMess恶意软件的功能和性能。

WellMess分析

我们在本文中检查的WellMess示例是用Go编写的,尽管.NET WellMess示例也存在。Go恶意软件有32位和64位两种变体,分别作为ELF和PE文件,允许威胁参与者开发一次恶意软件并将其部署到许多不同的体系结构。

WellMess的最新样本与2018样本不同,因为它们现在支持通过三种不同的通信方法与C2服务器通信。本报告中分析的样本是最新一代WellMess的典型样本。

该恶意软件基于受害者机器的计算机名、用户域、用户名和恶意软件中的几个硬编码值构建一个管道分隔的userParameters字符串,并将其存储起来,以便在整个恶意软件执行过程中使用。例如字符串:

粗体值取自二进制硬编码的数据,可能表示有关正在运行的恶意软件的活动或平台信息。在此示例中,字符串的副本将第二次附加NTSUUpIIaFEU字符串,然后对其进行MD5哈希处理,以备以后使用。

如前所述,恶意软件可以通过三种通信方法与C2服务器通信,每种通信方法在每个样本的基础上启用或禁用。这三种方法是:

在本样本中,DNS通信方法未启用;然而,由于恶意软件中存在功能,该方法已被记录为完整性文件。

对于每种通信方法,恶意软件遵循类似的过程;它与C2建立连接,然后进入无限循环以交换数据。每个方法的初始连接细节不同,但交换数据的主循环使用相同的功能来执行恶意功能。

HTTP通信

HTTP模式与2018年恶意软件变体中使用的通信方法相同。尽管它使用未加密的HTTP协议与C2它手动加密请求的内容以隐藏数据包检查。恶意软件会创建一个AES会话密钥和初始值(详见附录C),它们是base64编码的,并用分隔符\n相互附加。附加后,将使用硬编码RSA公钥对其进行进一步加密,并再次对base64进行编码和模糊处理,然后将其作为POST请求的主体发送给C2。

最终base64数据上使用的模糊处理例程删除并替换base64字符串中的字符,根据表1:

然后将字符串切碎为随机选择的3-8个字符块,每个块用单个空格分隔。最后一个字符串被设置为HTTP POST请求的内容,该请求指向恶意软件中存在的硬编码IP和端口。POST请求还创建一个模糊的cookie以包含在POST请求中。cookie是一个字符串,由包含恶意软件信息的标签组成,然后用硬编码密钥RC6加密,base64编码并分成随机大小的块。发送到C2的第一个cookie包括先前生成的MD5会话哈希,并且在加密之前具有以下格式:

恶意软件生成的加密cookie可以使用JPCERT提供的脚本[3]进行解密,只要为生成cookie的样本获取了RC6密钥。

一旦AES密钥和IV被发送到C2,恶意软件就会以相同的方式发送userParameters字符串和由换行符分隔的保存的MD5哈希。与上次发送的唯一区别是这次标记包含字符串a:1\u 1。

在与C2建立初始连接后,局域网ddos防御方法,恶意软件将反复尝试从C2接收命令。通信遵循图2所示的模式。

2398个随机字节的数据经过base64编码,然后按照表1中的详细说明进行模糊处理。然后,该数据通过RC6加密cookie发送至C2,cookie的包含MD5会话哈希值的标记;标题;>包含字符串rc和标签存在但为空。恶意软件期望服务器响应HTTP 200 OK响应,该响应包含与发送的cookie格式类似的RC6加密cookie。通过根据以下正则表达式解析接收到的cookie数据来检查恶意软件,该正则表达式也与发送的cookie数据的格式相匹配。

恶意软件使用cookie来确定从C2接收到的命令类型;表2总结了可能的选项。

如果来自C2的响应在接收到的服务标签中包含p值,则恶意软件将生成一个新的AES密钥,并以与初始连接C2期间相同的方式将其发送到C2。

头标签中的G值将使恶意软件发送字符串"Missed me?"?Interval="当前配置的值,恶意软件在收到此命令时使用该值计算等待间隔。