惡意軟體通訊協定的現狀分析(五)

SOPHOS

圖片來源:SOPHOS

AgentTesla

與SystemBC一樣,agenttesla(訊息竊取者),在某些情況下還可以放置RAT。活躍了七年多的AgentTesla最近進行了更新,可以使用Tor匿名網絡來隱藏TLS的流量。

AgentTesla在最近的一個下載程式中使用了TLS,因為開發人員使用合法的Web服務在Pastebin和一個稱為Hastebin的類似服務中存儲以base64格式編碼的惡意軟體程式區塊。修補Windows的反惡意軟體接口(AMSI)來逃避檢測,以防止對下載的程式區塊進行合併和解碼時在內存中被檢出。

Wireshark screenshot-agenttesla installer
從AgentTesla的安裝程式中捕獲試圖通過TLS連接到Pastebin的數據包

在AgentTesla中還有另一個可選的C2協議,可能是受到TLS保護的Telegram Bot API,使用一個HTTPS服務器來接收消息。然而,AgentTesla的開發者並沒有在惡意軟體中實現HTTPS通信(至少現在是這樣)-它沒有執行TLS握手。電報接受發送到其機器人API的未加密HTTP消息。

Dridex

Dridex最初在2011年被發現,主要是一個銀行木馬,但它已經發生了很大的變化。木馬。Dridex模塊可能會在受感染的系統中一起下載,或者稍後由主加載器模塊檢索。每個模塊負責執行特定的功能:竊取憑證,竊取瀏覽器cookie數據或數字證書,記錄鍵盤輸入或截屏。

Dridex的加載程式已經更新,以隱藏通信,並使用TLS進行封裝。它使用端口443上的HTTPS從C2服務器下載其他的模塊,可以收集到的數據提取到C2服務器。另外,可以使用RC4 Dridex還有一個備用的命令和控制(C2)服務器基礎設施,如果原來的C2服務器停機機,可以允許安裝的惡意軟體故障轉移到備份。

這些更新使Dridex成為一個持續的威脅,Dridex是使用TLS通信的最常見的惡意軟體家族之一。

Leave a Comment

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *

Scroll Up