安全是有分量的

网站防护_ddos攻击如何防御_免费试用

2022-01-14 17:50栏目:创投界

网站防护_ddos攻击如何防御_免费试用

17/09/20

今年早些时候,我们发表了对WellMess恶意软件的分析,该软件曾被用于针对参与新冠病毒-19疫苗研发的组织。在后续文章中,我们对其指挥和控制(C2)服务器进行了进一步的技术分析。

我们对WellMess的调查还包括一个名为WellMail的密切相关恶意软件家族中的第二台C2服务器。

该工具背后的威胁因素再次表明,作为其开发和使用后门,但留下了少量证据表明它一直在针对新冠病毒-19的研究。该恶意软件还仿效WellMess的做法,利用两层C2协议将威胁行为人与其任何后门隔开。

在本文中,我们查看WellMail的功能–分析来自我们的私人情报报告服务。

WellMail分析

我们以前的WellMess报告很常见客户端和服务器代码中的字符串:

通过对7月NCSC咨询中的WellMail后门样本进行类似分析,家庭ddos防御,我们确定了咨询中未包含的另一个文件。

WellMail后门和此新示例均包含字符串:

此新文件以Go编写,很可能是接收数据并将数据发送至WellMail后门的第一阶段C2。该指挥控制系统仅支持通过相互TLS进行通信,不支持通过不安全信道进行通信。然而,就像油井一样,WellMail C2支持WellMail后门中不存在的其他命令,并且很可能被威胁参与者用于管理C2中受害者数据的上传和下载。

此WellMail C2和前面提到的WellMess C2之间的相似之处不仅仅是嵌入二进制文件中的环境路径,因为服务器的设计方式也非常相似。共享详细信息的分类如表1所示。

功能

说明

平台

两台服务器均采用Go编程语言编写,并编译为64位ELF文件

网络协议

两台服务器通过相互TLS与HTTP

CA证书进行通信

两台服务器均具有硬编码的证书颁发机构(CA)证书使用类似的元数据

SSL证书

两台服务器都要求当前工作目录包含一个SSL私钥和一个文件名分别为serverkey.pem和server.crt的证书。

日志

两台服务器都实现了开源Go库、lumberjack、,要记录运行时信息

Cookie control

两台服务器都使用来自客户端的Cookie头的名称和内容来指定要执行的命令

数据存储

两台服务器都使用特定的文件夹来发送和接收每个命令的数据

架构

两台服务器都作为中转点来接收来自恶意后门的数据并保存它在来自上游设备的命令请求之前,对从连接的客户端接收的每个HTTP请求进行分析,以收集请求中用于确定要执行的命令的Cookie头。接收到的cookie的名称用作要执行的命令,cookie的内容可选地用作传递给命令处理程序的参数。本WellMail C2可接收的支持命令详见表2。

Cookie Name

Description

first

初始信标来自包含受害者环境信息的WellMail后门

收件箱

接收来自WellMail后门的数据,并将其保存到C2

dwnmail

阶段。发现第一个收件箱或错误数据为Exfilted

spam

将脚本文件保存到C2,准备发送到WellMail后门

new

搜索第一个命令接收到的数据并将其发送回客户端

error

将接收到的数据保存为tmp.error文件,并将其存储在与收件箱数据相同的位置

delete

删除中文件路径指定的C2上的文件cookie内容

脚本

搜索要上传到WellMail后门的脚本文件,并发送任何找到的

WellMail功能

WellMail后门的功能非常有限,以下分析取自64位ELF示例。

文件名

vigrd

文件类型

ELF64位

SHA-256

85e72976b9448295034a8d4c26462b8f1ebe1ca0a4e4b897c7f2404d0de948c2

首次出现

2020-05-25 12:42:22

该恶意软件使用硬编码SSL私钥、证书和CA证书通过相互TLS与服务器进行身份验证。所有通信均通过使用硬编码C2 IP地址和POST请求的net.http Go包执行。

向C2发送一个初始信标,其中包含一个名为first的cookie和一个包含以下内容的值:

硬编码字符串取自恶意二进制文件,MD5哈希来自受害者的IP地址,用户环境变量和前面提到的硬编码字符串。POST请求的内容由一个|分隔的字符串组成,其中包含:

示例为:

检查C2的响应是否包含任何cookie。如果有,则会尝试从响应内容中提取并运行Gzip脚本。

在初始信标之后,恶意软件会生成一个介于2到4之间的随机数,用于在后续C2连接尝试之间休眠。

每个连接尝试都会创建1,847个随机字节的数据用作POST请求的内容,阿里云有没有免费的ddos防御,并使用硬编码字符串的值将cookie名称设置为脚本。检查响应是否有Cookie,并以与初始信标相同的方式运行脚本。

运行脚本的方法是将接收到的脚本从C2保存到磁盘,并将其与/bin/sh一起传递到os.exec.Command中,并将其输出保存到.gz文件中。如果在命令执行期间发生任何错误,则恶意软件将发送一个POST请求,其中包含名为error的cookie。如果没有出现错误,则保存的文件将作为POST请求的内容发送,并带有名为inbox的cookie。

总之,WellMail后门支持以下命令:

这将保留WellMail C2支持的以下命令,未解释:

潜在的第二阶段C2