惡意軟體通訊協定的現狀分析(三)

SOPHOS

圖片來源:SOPHOS

秘密通道

惡意軟體運營商可以使用TLS來替換命令和控制流量。
通過發送HTTPS請求或通過基於TLS的代理服務連接,惡意軟體可以創建一個反向Shell,允許將命令傳遞給惡意軟體,或允許惡意軟​​體檢索腳本塊或特定功能所需的密鑰。命令和控制服務器可以是遠程專用的Web服務器,也可以基於合法雲服務中的一個或多個文檔。例如,Lampion銀行木馬使用谷歌文檔文本文檔作為一個密鑰通過利用Google Docs,Lampion背後的攻擊者能夠隱藏對惡意軟件的控制通信,並通過使用一個可靠的主機逃避進行信譽的檢測。

Google Docs screenshot
(目前此文檔已被刪除)攻擊者利用Google文檔存放Lampion銀行木馬的密鑰

惡意軟體可以利用同樣的連接來竊取敏感信息,將用戶憑證,密碼,cookie和其他收集到的數據傳給惡意軟體的操作人員。為了隱藏數據竊取,惡意軟體可以將其封裝在一個基於TLS的HTTPS POST中,或通過TLS連接將其導入到一個雲服務API,如電報或Discord的“機器人” API。

Leave a Comment

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *

Scroll Up