TA的每日心情 | 奋斗
2023-9-22 14:51 |
|---|
签到天数: 341 天 [LV.8]以坛为家I
|
本文将根据360N报告中提到的RJ后门特点以及微步报告中描述的B后门特点对二者关联分析。经分析,两种后门的相似之处如下:[url]http://www.yxfzedu.com/VT[/url]的相关问题可以到网站了解下,我们是业内领域专业的平台,您如果有需要可以咨询,相信可以帮到您,值得您的信赖![align=center]http://resources.yxfzedu.com/images/other_images/mengya_lunbo.png[/align]
单一例RJ通过文件锁来现单一例,具体现如下图左所示。图右为B单一例现方式
发包与收包RJ后门将构造上线信息加密发送至C2,其中函数如下同样的,函数也十分相似
然而,RJ与B的不同之处似乎更多
C2解密算法OLRJ样本中调用AES+RL解密C2,对抗技巧之一:使用技术存储加密的敏感资源信息。其与解密相关的各种参数如下图所示,密文长度为32字节,明文长度为字节AES解密,其中_的采用的是AES-6,CBC模式,都是硬编码。R为循环移位,此处使用的循环左移,其中移位的次数由_(明文长度)7的值决定AES解密后得到以下“次级密文”:从次级密文中取出有效密文,其中有效密文从第8字节开始,长度为明文长度减8,此处即为-8=字节。比较后通过明文长度可以计算7=2,得到移位的次数,将上述有效密文逐字节左移2位之后得到C2明文。而B后门中使用的C2加密算法为XOR与0B1异或结果为:443
结构化流量络通信包RJ的络通信包由H,K,P部分组成。其中是必须的,长度为82字节,而部分是可选的。采用的XORR加密,采用AESZLIB加密压缩。
通过逐字节左移3位,然后和异或进行解密解密后可得0,4-00,2-0,4-的长度为字节,的长度为0字节,要执行的指令码为8,即上报设备信息
使用和一样的解密方法,解密后作为AES的密钥来解密
使用解密后的做为AES-6的密钥,以CBC模式解密,第8字节起即为ZLIB压缩数据,进行解压解压后做为新的AES密钥,配合参数解密样本中硬编码的加密指令比较后发送至C2的数据包仍以上述结构组成,其中经解密为上述指令执行的结果
B则是通过逐字节接收的方式解析流量结构解析结果如下,要执行的指令码为0B的通信流量特征与RJ相似度较低
进程伪装RJ进程伪装对-做了区分针对用于伪装的文件:-或-;针对-:$HOME-和$HOME-B通过随机函数产生6-的随机长度字符串,调用函数设置随机进程称,伪装成系统进程
再来看RJ与年PA披露的海莲花OS后门的相同之处
C2会话建立函数RJ与海莲花OS后门均使用了相对小众的()函数,B后门中则使用L常见的域解析函数()。
上线包构造手法RJ和海莲花的络数据包都是由H,K,P部分组成,其中H是必须的,长度为82字节,而K和P则是可选的。H中的关键字段包括:偏移1,DWORD类型,存放一个;偏移9,DWORD类型,存放P长度;偏移,WORD类型,存放K长度;偏移,DWORD类型,存放消息码。RJ通过一个单独的函数初始化上线包的H,海莲花样本中也存在一个专门初始化上线包H的函数比较终上线包如下,RJ与海莲花上线包明文结构一样,关键字段值基本相同B上线包如下
均存在函数RJ和海莲花都存在一个“()”的函数,用于加解密,B后门不包含该特征
相同的指令码RJ和海莲花都用DWORD类型的指令码来指定消息的功能,并且共享了多个语义相同的指令码。B指令码为WORD类型,未发现指令码共享
研究人员将B后门归因为海莲花的主要原因是其与RJ后门存在相似之处。经分析,B后门与RJ后门的关联性较低,只有创建文件锁、发包与收包函数相似,在其他方面例如加解密算法:RJ样本中几乎没有明文存在,C2地址以及执行指令均经过加密,涉及到的算法包括动态AES、RL、ZLIB,而B中的指令以明文硬编码存在,C2地址仅以异或加密,上线包特征,指令特征,持久化现、进程伪装等方向均重合之处,因此笔者认为B后门或不足以归因为海莲花 |
|
|手机版|小黑屋|Archiver|山东001在线
( ICP11027147 )
窥视卡
雷达卡
发表于 2023-3-29 18:40:35
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡