利用虛假網(wǎng)站在中國(guó)傳播的FatalRAT通信分析_第1頁(yè)
利用虛假網(wǎng)站在中國(guó)傳播的FatalRAT通信分析_第2頁(yè)
利用虛假網(wǎng)站在中國(guó)傳播的FatalRAT通信分析_第3頁(yè)
利用虛假網(wǎng)站在中國(guó)傳播的FatalRAT通信分析_第4頁(yè)
利用虛假網(wǎng)站在中國(guó)傳播的FatalRAT通信分析_第5頁(yè)
已閱讀5頁(yè),還剩2頁(yè)未讀 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

一概述近日,觀成安全研究團(tuán)隊(duì)發(fā)現(xiàn)了一個(gè)使用木馬安裝程序來(lái)傳遞FatalRAT惡意軟件的攻擊活動(dòng)。此次活動(dòng)主要針對(duì)中國(guó)大陸及香港和臺(tái)灣地區(qū)的華語(yǔ)人群,攻擊者通過(guò)在Google搜索結(jié)果中植入購(gòu)買的誤導(dǎo)性廣告,來(lái)誘騙受害者訪問(wèn)惡意的虛假網(wǎng)站如,從而下載FatalRAT遠(yuǎn)控木馬。該遠(yuǎn)控木馬全程使用TCP協(xié)議與C&C服務(wù)器進(jìn)行通信,并使用異或、加法運(yùn)算以及Zlib將數(shù)據(jù)進(jìn)行加密和壓縮后傳輸。二執(zhí)行流程表21樣本信息表樣本名稱Firefox-x64.msi樣本MD53DAC2A16F023F9F8C7F8C40937EE54BBA5E82F47威脅類型遠(yuǎn)控木馬文件類型MaliciousMSIinstaller該樣本的執(zhí)行流程分為四個(gè)階段。第一階段,執(zhí)行木馬安裝程序MSI文件并釋放多個(gè)加載FatalRAT所需組件(sccs.exe、libpng13.dll、Micr.jpg等);第二階段,通過(guò)sccs.exe程序加載libpng13.dll,在內(nèi)存中加載Micr.jpg(shellcode),shellcode的功能是釋放并執(zhí)行下一段DLL;第三階段,第二階段的DLL解密出最終載荷FatalRAT,并將其中加密的配置文件作為參數(shù)傳遞給FatalRAT的SVP7導(dǎo)出函數(shù);第四階段,F(xiàn)atalRAT將竊取的數(shù)據(jù)使用自定義方式加密后,通過(guò)TCP協(xié)議和C2服務(wù)器的8081端口通信,進(jìn)行數(shù)據(jù)傳輸。

圖2-1樣本執(zhí)行流程三通信過(guò)程FatalRAT執(zhí)行后,加密獲取到的信息,通過(guò)TCP協(xié)議上傳給C2服務(wù)器;C2服務(wù)器收到上線包后會(huì)發(fā)送控制指令,其支持的控制指令功能有捕獲按鍵信息、終止瀏覽器進(jìn)程并竊取或刪除其存儲(chǔ)的數(shù)據(jù)、下載并執(zhí)行一個(gè)文件和執(zhí)行shell命令等;受害機(jī)收到控制指令后將執(zhí)行結(jié)果回傳到C2服務(wù)器上。圖3-1通信過(guò)程3.1

上線包樣本獲取主機(jī)名、用戶名、CPU信息、安裝時(shí)間、和DLL傳遞的參數(shù),將獲取到的信息進(jìn)行多次加密處理(1.逐字節(jié)加121;2.逐字節(jié)異或0x15;3.Zlib壓縮),加密后通過(guò)TCP協(xié)議上傳到C2服務(wù)器。圖3-2上線包圖3-3獲取的信息3.2控制指令

模擬服務(wù)器下發(fā)指令0x6B,獲取當(dāng)前進(jìn)程和獲取發(fā)送鍵盤記錄情況,如下圖所示,該木馬可以正常解析并執(zhí)行控制指令。圖3-4服務(wù)器下發(fā)控制指令,F(xiàn)atal回傳執(zhí)行結(jié)果圖3-4解密后的數(shù)據(jù)3.3數(shù)據(jù)格式客戶端-->服務(wù)端客戶端發(fā)送給服務(wù)器的數(shù)據(jù)由3字節(jié)的硬編碼數(shù)據(jù)“535609”、4字節(jié)壓縮后的數(shù)據(jù)長(zhǎng)度、4字節(jié)解壓后的數(shù)據(jù)長(zhǎng)度和4字節(jié)的固定數(shù)據(jù)“A6B71200”組成。如下圖所示,樣本收集了受害機(jī)的用戶名、主機(jī)名和CPU信息等,構(gòu)造上線包并發(fā)送給服務(wù)器。圖3-5數(shù)據(jù)構(gòu)造圖3-6數(shù)據(jù)構(gòu)造舉例服務(wù)端-->客戶端服務(wù)器發(fā)送給客戶端的控制指令數(shù)據(jù)由15字節(jié)的頭部和1字節(jié)的控制指令構(gòu)成。數(shù)據(jù)構(gòu)造如下圖所示。圖3-7數(shù)據(jù)構(gòu)造圖3-8控制指令構(gòu)造舉例四產(chǎn)品檢測(cè)觀成瞰云(ENS)—加密威脅智能檢測(cè)系統(tǒng)能夠?qū)atalRAT遠(yuǎn)控木馬的惡意TCP流量進(jìn)行檢出。圖4-1TCP協(xié)議加密流量檢測(cè)五總結(jié)從2022年8月到2023年初,攻擊者利用Google搜索結(jié)果中植入的虛假網(wǎng)站鏈接在中國(guó)境內(nèi)傳播FatalRAT木馬,這種使用谷歌廣告作為分發(fā)和傳播惡意程序的活動(dòng)數(shù)量近年來(lái)持續(xù)增加,攻擊手法雖然老套,但依然十分奏效。此次攻擊采用TCP自定義加密通信,目前利用TCP等協(xié)議承載自定義加密載荷進(jìn)行攻擊的惡意軟件活動(dòng)、APT組織和各類黑客工具層出不

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論