江西抚州新闻网

足球免费贴士(zq68.vip):若何捕捉自界说通讯协议的RAT流量

来源:抚州新闻网 发布时间:2021-05-15 浏览次数:

攻击者在恶意软件和C&C服务器之间举行通讯时通常应用尺度应用层协议,这是由于恶意流量容易混在尺度协议(例如HTTP / S)上的正当流量中,而依赖平安装备举行防护的公司也不会费时艰辛地检查所有SSL/TLS加密的通讯流量。

但在SSL攻击大幅增进(2020年比2019年增进260%)的当下,许多平安团队也最先将注重力转向这些加密通道。现代网络平安署理、网关和防火墙已经生长到可以利便地剖析应用协议并剥离SSL层来扫描底层数据。行使机械学习手艺的扫描引擎可以更容易区域分恶意流量和正当流量。

这种征象导致一些攻击者最先将眼光转向自界说协议,虽然在恶意通讯中使用自界说协议并非新鲜事,但似乎有上升的趋势,在我们近期剖析的盛行恶意软件家族中,有近三分之一支持通过非http /S协议举行通讯,险些所有这些恶意软件都是远程接见木马(rat),不管是大规模熏染流动照样高度针对性的攻击,都是云云。

本文将剖析近期流动中观察到的一些盛行RAT中使用的自界说协议,文末链接提供辅助检测此类攻击的署名和Snort规则。

以下是Zscaler阻止非HTTP / S C&C通讯流量的统计图表,以及在三个月的时间内考察到的最活跃的RAT家族。

图1:近期由Zscaler观察到的通过非HTTP / S通讯的威胁数目

图2:近期基于非HTTP / S的RAT家族攻击次数统计

Remcos RAT

Remcos是由称为Breaking Security的组织开发流传的远控软件。Remcos RAT于2016年终泛起在黑客论坛中,之后受到了许多黑客的青睐,也被Gorgon、Elfin等APT团伙所接纳。Remcos主要通过钓鱼邮件中的恶意附件转达,它的功效局限包罗纪录击键、执行下令、窃取凭证以及捕捉麦克风和网络摄像头等。RC4密钥和加密的设置数据保留在“RCData”下的资源部门“SETTINGS”中,该设置包罗C&C地址、端口、互斥锁名称和用于C&C通讯的加密密钥。

图3:资源中的加密设置

图4:解密的设置

Remcos通过自界说协议的非HTTP / S通道/端口通讯,可以设置为以纯文本形式举行通讯,这使得检测C&C流量相当简朴。定制协议包罗标头“ [DataStart]”,后跟数据巨细,然后是提取的数据。

图5:以纯文本花样发送到C&C服务器的数据

然而在大多数情形下,通讯由设置中的密钥及RC4算法举行加密,匹配加密二进制数据中的署名是做不到的,不外基于启发式的检测照样有施展空间的。Remcos在执行时将系统信息发送给C&C服务器,服务器会响应下令来执行,由于请求和响应是用相同的对称密钥加密的,以是标头“[DataStart]”将天生相同的字节加密流来取代可执行文件天生的所有通讯标头。

图6:以RC4加密方式发送到C&C服务器的数据

例如,如上图所示,字节“ 08 b4 de f6 84 27 70 9a 57 17 5e”的二进制流取代了标头“ [DataStart]”,以是在符号RC4加密的Remcos流量时,可以注重这类在请求和响应中11字节的重复流,再配合其他条件(如熵和数据长度限制)来看。

Crimson RAT

Crimson RAT一直受到攻击者的青睐,它曾对金融、医疗保健和航空手艺领域的组织机构举行有针对性的攻击。2016年,Crimson被用于针对印度外交和军事资源的袭击,去年又泛起在对印度金融机构的袭击中。Crimson通常通过包罗恶意.doc文件或恶意可执行文件链接的钓鱼邮件发送给受害者。

图7:数据发送到C&C服务器

NetWire RAT

NetWire RAT于近10年前泛起,已经由了多次更新迭代。NetWire曾在多场攻击行动中被检测到,如APT组织SilverTerrier和The White Company的行动。NetWire RAT通常被作为第二阶段有用负载下载到已被其他恶意软件(如GuLoader)损坏的系统中。

NetWire通过TCP自界说协议通讯,通讯接纳AES加密。每个包以数据长度开头,后跟下令及加密数据。初始包发送一个32字节的种子值、16字节的IV值和以二进制指定的硬编码密码来天生AES密钥。C&C服务器为该信息天生会话密钥。

图8:以AES加密方式发送到C&C服务器的数据

由于通讯是AES加密的,因此无法扫描通讯中的署名模式,但初始数据包中有足够的信息可将流量符号为NetWire C&C通讯。

AsyncRAT

AsyncRAT是一个开源的RAT,旨在通过平安加密毗邻远程监控和控制其他盘算机。AsyncRAT提供了键盘纪录器、屏幕查看器、下令执行等功效。由于其平安通讯的特征,AsyncRAT被犯罪分子被武器化并用于APT流动(如“ Spalax Spalax”)中。AsyncRAT可通过种种方式转达,如鱼叉式网络钓鱼、恶意广告和开发工具包。

AsyncRAT通过平安的TCP通道举行通讯。由于自界说证书由二进制文件自己携带并与C&C证书匹配,因此无法在署理/网关级别剥离TLS层,然则可以将此类自界说证书过滤掉,并通过其他阻止控件来阻止通讯。

图9:证书持有者名称和签发者名称为“ AsyncRAT服务器”的服务器证书

Quasar RAT

Quasar是一个开源RAT,曾被Gorgon、Patchwork等APT组织运用在攻击流动中。它的功效包罗远程桌面、键盘纪录、密码窃取等。Quasar使用AES算法对通讯举行加密,该算法使用客户端二进制中硬编码的预共享密钥,无法扫描AES加密流量上的署名模式,然则可以行使加密数据包的怪异特征来符号Quasar的AES加密流量。

图10:以AES加密方式发送到C&C服务器的数据

,

免费足球推荐

免费足球贴士网(www.zq68.vip)是国内最权威的足球赛事报道、预测平台。免费提供赛事直播,免费足球贴士,免费足球推介,免费专家贴士,免费足球推荐,最专业的足球心水网。

,

有用负载的前4个字节可以用来识别Quasar流量。详细来说就是:前4个字节可以标识在TCP握手之后从服务器发送到客户端的第一个数据包,此数据包用于启动服务器/客户端身份验证历程。TCP有用负载的前4个字节包罗“ 40 00 00 00”,这是后面以小尾数示意的数据的巨细。

Agent Tesla RAT

Agent Tesla RAT一直异常活跃,在已往的几年中被放肆用于大规模钓鱼流动中。Agent Tesla随着时间的推移不停演变,在差其余流动中显示各异。犯罪分子使用此RAT来窃取用户凭证,并通过截屏、键盘纪录和剪贴板捕捉监视受害者,从浏览器到邮件客户端,VPN到钱包等,种种软件均受影响。

Agent Tesla通过HTTP、FTP、SMTP和Telegram API向其C&C服务器通讯和泄露数据。所有网络的数据都封装到HTML页面中,该HTML页面通过上述协议之一发送给C&C。为了通过FTP举行通讯,HTML页面将作为文件发送到FTP C&C服务器。文件名的天生花样为“ PW_

图11:通过FTP发送的数据

 

图12:通过FTP的数据泄露

为了通过SMTP举行通讯,HTML页面将作为邮件正文发送到C&C服务器。邮件主题以“ PW_

图13:通过SMTP的数据泄露

CyberGate RAT

CyberGate允许攻击者浏览及操作受害者机械上的文件、装备和设置,以及下载和执行其他恶意软件。它还具有普遍的信息窃取能力,包罗浏览器凭证偷窃、键盘纪录、屏幕捕捉和远程启用网络摄像头。

CyberGate RAT在TCP上使用自界说协议举行通讯。CyberGate凭证从C&C服务器吸收到的下令网络信息,通过ZLib压缩数据,使用硬编码密钥通过RC4对其加密,然后发送给C&C服务器。

 

图14:发送给C&C的压缩加密数据

数据包以数据长度开头,后面是一个符号,然后是一个新的行脱离符,最后是加密的数据。要符号CyberGate RAT流量,可以思量使用数据长度、符号符和脱离符的组合。

NanoCore RAT

NanoCore RAT约莫在十年前就泛起了,迄今为止依然是最盛行的RAT之一。NanoCore RAT是模块化恶意软件,带有扩展其功效的插件。基本插件具有远程监控、网络摄像头监控、捕捉音频等功效,另有可用于加密钱币挖掘、勒索软件攻击、凭证窃取等的插件。NanoCore RAT通过包罗.doc宏的钓鱼邮件转达,使用无文件熏染手艺加载到受害者机械。

NanoCore通过TCP上的自界说协议举行通讯,并使用具有硬编码密钥和IV值的DES算法来加密bot及其C&C服务器之间的通讯。通讯数据包以4字节的数据长度开头,然后是该长度的DES加密数据。

图15:加密的数据C&C通讯

DES加密数据中的模式无法扫描,但我们考察到公然可用的bot天生器没有设置DES密钥的选项,因此往后bot天生器天生的所有样本都将拥有相同的DES密钥,即“72201878c294897”。这将导致由此bot构建器天生的所有bot之间发生相同的加密流量。好比来自服务器的下令是“is alive”,即0x600,用密钥加密后为“c1 c3 d0 32 43 59 a1 78”。

然则,地下论坛另有其他自界说的bot天生器,允许用户设置密钥。对于更通用的检测,我们需要对TCP数据包巨细和数据长度值举行试探磨练。服务器的第一个响应将始终为0x24字节,前4个字节始终为“ 20 00 00 00”,该响应包罗该bot将加载的插件的GUID,bot以0x12字节的数据响应此操作,该数据总是以4字节省“08 000 000 000”最先。可以行使这些特征举行检测。

图16:来自C&C服务器的牢靠长度优先响应

Gh0st RAT

Gh0st是一个开源RAT,曾被TA459、APT18等APT组织使用,其功效包罗包罗远程桌面、纪录按键、窃取凭证、捕捉麦克风和网络摄像头等。Gh0stRAT的源代码是公然的,攻击者就其需要修改,因此泛起了许多变种。

Gh0st在TCP上使用自界说协议举行通讯。它使用字节到字节加密算法来加密与C&C服务器的通讯,在执行时网络系统数据,如系统信息、版本、处置器形貌、安装的防病毒产物等,然后在这些数据前添加一个符号和数据长度,最后对采集到的数据举行单字节XOR和SUB运算,对每个字节举行加密。

图17:加密之前和加密之后网络的数据

njRAT

njRAT(也称为Bladabindi)也泛起于近十年前,是当今最活跃的远程接见木马。它的功效包罗远程桌面、纪录按键、窃取凭证、捕捉麦克风和网络摄像头等。njRAT通常是通过钓鱼邮件的恶意附件转达,也有通过伪装成正当的应用安装程序来提供的。

自2013年源代码泄露以来,njRAT已被包罗Gorgon、APT41在内的APT组织普遍接纳。多年来泛起了许多变种,一些通过尺度HTTP协议通讯,另有一些通过TCP自界说协议通讯。数据包以十进制花样的数据长度最先,以空字符末尾,中央是下令、脱离符和提取的数据。

图18:来自C&C服务器的牢靠长度优先响应

结论

上面讨论的所有RAT都是在TCP上的自界说加密协议上通讯的。当通讯被加密时,很难在网络流量中扫描它们的署名模式,但我们已经讨论了基于加密数据的启发式符号RAT流量的替换方式。对于非http /S上的大多数RAT流量来说,有四个配合的属性:

· 数据包以一定长度的加密数据最先。在前4的小端值上加上4应该给出TCP数据的总长度。

· 数据长度较高后,数据的熵随之增添。

· C&C服务器以与客户机相同的数据包花样响应。

· 通常,服务器响应仅发送死令,因此长度在特定局限内。

上述RAT的Cloud IPS(非HTTP / S)署名和Snort规则请参见此处。

本文翻译自:https://www.zscaler.com/blogs/security-research/catching-rats-over-custom-protocols

Max pool

Max pool网(www.ipfs8.vip)是FiLecoin致力服务于使用FiLecoin存储和检索数据的权威平台。IPFS网实时更新FiLecoin(FIL)行情、当前FiLecoin(FIL)矿池、FiLecoin(FIL)收益数据、各类FiLecoin(FIL)矿机出售信息。并开放FiLecoin(FIL)交易所、IPFS云矿机、IPFS矿机出售、租用、招商等业务。

发表评论
请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。
评价:
表情:
用户名: 验证码:点击我更换图片