惡意軟體通訊協定的現狀分析(二)

SOPHOS

圖片來源:SOPHOS

意外安装包

惡意軟體通信通常分為三類:下載其他的惡意軟體,竊取數據,檢索或發送指令來觸發特定的功能(命令和控制)。所有這些類型的通信都可以利用TLS加密來逃避防御者的檢測。但與惡意軟體相關的大部分TLS通信都是第一類,發送程序,加載程序和其他惡意軟體來感染目標系統,使用TLS逃避基本的有效手段檢查。

在惡意軟體中利用TLS的複雜性並不高,因為支持TLS的基礎設施可以免費提供惡意軟體或代碼片段。通常,Droppers程序和加載程序使用合法的網站和雲服務內置的TLS支持,以進一步掩蓋流量。例如,來自Bladabindi RAT傳輸器試圖從Pastebin頁面檢索其有效負載。(該頁面已不存在。)

Wireshark screen capture of dropper calling Pastebin page
TLS從Pastebin檢索第二階段程式碼的Bladabini RAT傳輸器的TLS通信

SOPHOS的研究人員觀察到通過PowerShell的LockBit勒索軟體通過TLS從谷歌文檔電子表格以及其他網站獲取額外的腳本。結果,還觀察到AgentTesla的一個傳輸器(將在本報告後面討論)通過TLS訪問Pastebin來雖然Google和Pastebin通常會迅速關閉其平台上託管的惡意軟體文檔和站點,但許多C2源在一次垃圾郵件活動後就被拋棄了,攻擊者會重新創建新的源來進行下一次攻擊。

Discord和GitHub捕獲的惡意軟體數據包

例如,在2021年2月,惡意軟體下載流量實際上佔SOPHOS觀察到的基於TLS的C2流量的大部分。至3月期間與類似惡意軟體相關的靜態C2檢測的數據非常吻合。

Leave a Comment

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *

Scroll Up