惡意軟體通訊協定的現狀分析(四)

SOPHOS

圖片來源:SOPHOS

SystemBC

攻擊者如何惡意使用TLS的一個例子是SystemBC,這是一個多功能的惡意通信工具,在最近的一些勒索軟體攻擊中被用到。網絡代理,為攻擊者創建了一個相當於虛擬專用網絡連接的網絡,該網絡連接基於SOCKS5遠程代理連接,使用tls加密,為其他惡意軟體提供隱藏的通信。樣本是功能更全面的遠程訪問木馬(rat),一旦部署,就為攻擊者提供了一個持久的後門。除了替代網絡代理之外,SystemBC的最新版本可以發送Windows命令,傳遞和運行惡意腳本,可執行程序。

然而,SystemBC並非完全隱身。它產生了許多非TLS,非Tor流量。SOPHOS最近分析的樣本有一個TCP“心跳”,SystemBC RAT會通過49630端口連接到硬編碼的控制服務器。

第一個TLS連接是對IPify代理的HTTPS請求,IPify是一種API,可用於獲取受感染系統的公共IP地址。但是這個請求不是在標準HTTPS端口443上發送的,或者在端口49271上發送的。這種非標準端口的使用是特徵的開始。

WIRESHARK SCREENSHOT
SystemBC使用TLS和HTTPS連接到IPify以獲取系統的公網地址

然後SystemBC嘗試獲取有關當前Tor網絡共識的數據,通過一個HTTP GET請求從端口49272和49273連接到硬編碼的IP地址。SystemBC使用這些鏈接來下載關於當前Tor網絡配置的信息。

SystemBC收集Tor網絡數據

接下來,SystemBC與Tor網關建立TLS連接。同樣,它使用另一個非標準端口:49274。在Sophos分析的樣本中,它試圖通過標準端口上的一個打開的HTTP請求獲取另一個惡意程式。

Flow chart of SystemBC network behavior

這個樣本下載到的文件henos.exe是另一個後門,它通過標準端口(443)上的TLS連接到一個電報頻道-這表明SystemBC背後的攻擊者正在發展其戰術。SystemBC可能會繼續發展,因為它的開發人員解決了HTTP和TLS的混合使用以及其在某種程度上可預測的非標準端口的問題,這些非標端口很容易導致System BC被識別。

Leave a Comment

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *

Scroll Up