安全是有分量的

高防ip_香港高防ip哪家的速度快_如何防

2022-01-14 19:20栏目:行业

高防ip_香港高防ip哪家的速度快_如何防

17/08/20

7月,国家网络安全中心报告称,威胁行为体一直在使用被称为WellMess的恶意软件来攻击参与COVID-19疫苗开发的组织。

我们之前发布了对WellMess恶意软件的分析,包括其能力和功能的详细信息。在我们的调查过程中,我们从共享程序数据库(PDB)路径中确定了另一个二进制文件,它很可能是用于将数据传递到第二阶段C2的第一阶段指挥和控制(C2)服务器。此分析详细说明了第一阶段WellMess控制器的功能和局限性,我们的私人情报报告服务提供了更深入的报告。

WellMess C2分析

在调查WellMess恶意软件家族时,我们发现,大多数样本包含以以下开头的PDB路径:

在此字符串上旋转返回的附加文件不在我们之前的报告或2020年7月NCSC关于WellMess的咨询中。

文件名

mwdg.sh

文件类型

ELF 64位

SHA-256

B10FA150E9F0228347115D39FA672440C740A0149147B79464B68DCC2D55

第一个参见

2020-05-04 03:20:12

Go版本

1.8

此文件包含通过HTTP和HTTPS通信方法与WellMess恶意软件通信的功能,接收初始信标,然后处理和响应我们上一篇文章中详述的rc命令。此文件还包含用于处理之前未在WellMess恶意软件中看到的其他命令的代码,这些命令可能是由威胁参与者控制的基础设施发送的命令。

我们评估此文件可能被用作中间C2服务器,WellMess恶意软件在将数据传递到服务器之前与之通信第二阶段C2。这一第一阶段C2软件可能有不同的变体,也支持WellMess的DNS协议。

WellMess服务器是用Go编写的,并导入两个软件包,lumberjack和garhttp,这两个软件包不是标准Go软件包的一部分。lumberjack软件包是一个开源日志模块,可在github上获得。garhttp包在开源中不可用,它包含用于在服务器和WellMess二进制文件之间通信的功能。

WellMess服务器使用lumberjack包在当前目录中创建development.log文件。该文件用于存储有关与C2的所有连接以及所采取的端口和操作的信息。此外,如果服务器遇到任何错误,我的世界ddos防御,那么日志文件将包含导致该错误的Go错误类型和相关调用历史记录。带有错误的示例日志文件如图1所示。

图1-错误日志内容

服务器使用当前目录中的文件夹存储从WellMess后门发送和接收的信息,文件夹布局如图2所示。此外,在相互TLS连接期间,服务器使用位于当前工作目录中的私钥和证书。

图2-服务器目录内容

基于二进制字符串,文件夹名称可能代表答案、垃圾、问题和安全。当服务器以HTTP模式从WellMess后门接收通信时,它将使用a文件夹存储从恶意软件接收的数据。它使用Q文件夹存储准备发送到WellMess恶意软件的问题或查询,并在数据发送后可选择将文件从A和Q文件夹移动到G文件夹。

S文件夹包含另一组A,当服务器通过HTTPS通信协议接收和发送数据时使用的G和Q文件夹。

当接收HTTP命令时,WellMess服务器设置为接收包含RC6加密cookie的POST请求。服务器使用硬编码的RC6密钥解密Cookie,并期望解密的数据包含不超过四个标记。由于RC6密钥是硬编码的,服务器没有任何功能在运行时对其进行修改,WellMess背后的威胁参与者不太可能在初始访问后更改WellMess恶意软件的RC6密钥,因为这也需要更改服务器软件。

这四个标记与之前在WellMess后门中报告的格式相对应,可能的标记名称为:

标记正则表达式

描述

a:\d{1,}_\d{1,}

将接收到的数据保存到A文件夹中,作为.tmp文件

q:\d{1,}\d{1,}

将收到的数据以.tmp文件的形式保存到Q文件夹中

rc

检查Q文件夹中的.tmp文件是否以

rcc

响应

检查服务标签中指定的文件夹中的.tmp文件是否以

rs

响应

检查a文件夹中的.tmp文件是否以

rsc

响应

检查服务标签中指定的文件夹中的.tmp文件是否以响应使用

del

删除由服务标签

中的相对或绝对文件路径指定的文件。WellMess后门支持a:\d{1,}\d{1,}和rc命令,因为初始信标使用标题标签a:1_0和a:1_1,服务器的命令请求使用rc命令发送。其他值似乎未被WellMess后门使用,根据功能,可能用于管理此中间C2服务器的操作。

当服务器接收到a:\d{1,}\d{1,}标记时,它会在head标记中创建一个带有路径(相对或绝对)的文件夹。它将接收到的信息存储在名为tmp1_0.tmp的文件中,wayos如何防御ddos攻击,文件名中的数字取自标题标签中的数字。

例如,如果初始信标的cookie为:

,则标题标记将用于将文件命名为tmp1_0.tmp,MD5_hash/p的头标记将用于创建目录以存储接收到的数据。