运用卷序列号作为加密密钥:APT歹意软件LOWKEY剖析_申搏官网开户 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

运用卷序列号作为加密密钥:APT歹意软件LOWKEY剖析_申搏官网开户

申博_安全工具 申博 90次浏览 已收录 0个评论

申搏官网开户

进入申搏官网开户,就是选对了投资的好方向!申博sunbet官网,永远拥有最新的投注游戏方式,真人荷官直播发牌、千万网友一起监督一起玩,透明公开,经得住检验!申博官网拥有最庞大的游戏客户群,好网站值得你信赖,代理加盟请联系我们,收入翻番,省心省力,尽在申博sunbet官网!

,

概述

在2019年8月,FireEye宣布了有关最新发明的要挟组织——APT41的“Double Dragon”报告。APT41是一个与亚洲某国度联络严密的两重特务组织,聚焦于财务范畴,该歹意组织重要针对游戏、医疗保健、高科技、高等教育、电信和旅游效劳等行业。

本文重要剖析了我们发明的一个庞杂、被动型后门,在关于APT41的报告中曾提到,而且在近来的FireEye Cyber Defense Summit集会上与人人举行了分享。我们观察到,LOWKEY被用于一些针对性异常强的现实进击当中,并应用仅能在特定体系上运转的Payload。文章中还运用了其他歹意软件家属称号,并举行了扼要形貌。有关APT41运用的歹意软件的完全概述,请参阅APT41报告中的手艺附录部份。

本文重要分为三个部份:第一部份形貌了我们怎样剖析加密的Payload;第二部份重要形貌了我们在多个样本的差别位置中发明的加载器,该加载器经过一层殽杂;末了一部份剖析LOWKEY后门,该后门有两个变种,分别是针对IIS的被动TCP监听器和被动HTTP监听器。

DEADEYE – RC5

我们延续跟踪过去几个月中的APT41歹意运动,观察到有多个样本都具有两个奇特的处所:(1)运用不常见的RC5加密算法;(2)包含唯一的字符串“[email protected]!rCto R$.”。基于此,我们将这些样本定名为DEADEYE。

DEADEYE有多个变种:

(1)DEADEYE.DOWN可以下载其他Payload;
(2)DEADEYE.APPEND附加了其他Payload;

(3)DEADEYE.EXT可以加载体系上已存在的Payload。

接下来,我们分别对这些变种举行细致剖析。

(1)DEADEYE.DOWN

经过历程对一个DEADEYE.DOWN样本(MD5:5322816c2567198ad3dfc53d99567d6e)举行剖析,我们发明它在初次实行歹意软件时,会下载两个文件。

第一个文件是从hxxp://checkin.travelsanignacio[.]com/static/20170730.jpg下载的。起首歹意软件会运用密钥“wsprintfA”对RC5的敕令和掌握(C2)效劳器举行解密,随后运用其他密钥对RC5举行加密,并将其以<MODULE_NAME>.mui的情势写入磁盘中。

RC5密钥是基于C盘驱动器的卷序列号组织的。卷序列号是一个长度为4字节的值,一般基于体系装置时间生成。卷序列号与硬编码后的常量“[email protected]!rCto R$.”举行异或,然后转换为十六进制,生成最长为28个字节的密钥。假如异或后的值包含嵌入式的零字节,则秘钥长度可以会有所差别,因为lstrlenA API挪用会肯定密钥的长度。请注意,在将效果转换为十六进制之前,就会先举行lstrlenA API挪用。假如字节模4的索引为0,则十六进制转换为大写示意。下面展现了密钥派生的历程。

卷C驱动器的序列号,我们以0xAABBCCDD为例。

F ^ 0xAA = 0xCC 大写
@ ^ 0xBB = 0xFB 小写
U ^ 0xCC = 0x99 小写
k ^ 0xDD = 0xB6 小写
d ^ 0xAA = 0xCE 大写
! ^ 0xBB = 0x9A 小写
r ^ 0xCC = 0xBE 小写
C ^ 0xDD = 0x9E 小写
t ^ 0xAA = 0xDE 大写
o ^ 0xBB = 0xD4 小写
(0x20) ^ 0xCC = 0xEC 小写
R ^ 0xDD = 0x8F 小写
$ ^ 0xAA = 0x8E 大写
. ^ 0xBB = 0x95 小写

终究取得密钥:CCfb99b6CE9abe9eDEd4ec8f8E95。

第二个文件是从hxxp://checkin.travelsanignacio[.]com/static/20160204.jpg下载的。在将C2的响应保留到C:\Windows\System32\wcnapi.mui之前,起首运用密钥“wsprintfA”举行RC5解密,然后将其与0x74举行异或。

随后,该样本肯定其本身的模块称号,将扩展名mui附加到其背面,并尝试运用RC5算法对改文件解密。如许一来,此前下载并存储在体系上的歹意软件文件就已被有用解密。因为已运用基于卷序列号的密钥对文件举行了加密,因而只能在下载了该文件的体系上,或许是具有雷同卷序列号的体系上实行该文件,后者的可以性异常小。

我们的样本mui文件,MD5值为e58d4072c56a5dd3cc5cf768b8f37e5e。在十六进制编辑器中检察加密的文件,我们发明显现的熵(Entropy)异常高(7.999779/8)。RC5在默许情况下会运用电子暗码本(ECB)形式,也就意味着雷同的明文块始终会发生雷同的密文,而与其在二进制文件中的位置无关。该文件合计792933字节,但几乎没有反复的暗码块,这意味着数据可以有分外的加密层。

假如没有准确的卷序列号,或许假如没有任何关于明文的线索,那末我们没法仅依附样原本解密Payload(e58d4072c56a5dd3cc5cf768b8f37e5e)。

(2)DEADEYE.APPEND

荣幸的是,连系RC5中的组件,经过历程搜刮唯一的字符串“[email protected]!rCto R$.”我们可以发明更多样本。个中的一个样本是DEADEYE.APPEND(MD5:37e100dd8b2ad8b301b130c2bca3f1ea),此前已由Kaspersky举行过剖析。该样本与其他样本有所差别,因为它受到了VMProtect的庇护,并附加了殽杂的二进制文件。嵌入式二进制文件从偏移量3287552最先,以下图所示,个中文件大小与PE大小差别。

运用卷序列号作为加密密钥:APT歹意软件LOWKEY剖析_申搏官网开户

加密后Payload的熵稍低,为7.990713。在十六进制编辑器中,我们检察嵌入式二进制文件,会发明屡次涌现一连字节“51 36 94 A4 26 5B 0F 19”(以下图所示)。假如在加密数据中心一连运用两次,而且运用的是ECB形式,那末我们猜想明文应该是00 00 00 00 00 00 00 00。

37e100dd8b2ad8b301b130c2bca3f1ea样本中反复涌现的一连字节:

RC5暴力破解

有了这些学问后,我们决议采用RC5的参考完成,并增加一个重要函数,该函数说清楚明了歹意软件样本所运用的密钥派生算法(以下图所示)。因为密钥是从单个DWORD派生的,因而就存在暴力破解的可以性。纵然终究密钥长度是28个字节,那末也只要4294967296个可以的密钥。下图展现的代码会生成一切可以的卷序列号,并从中导出密钥,然后尝试解密从51 36 94 A4 26 5B 0F 19到00 00 00 00 00 00 00 00。在运转RC5暴力破解递次几分钟后,我们就取得了歹意样本中准确的卷序列号,也就是0xc25cff4c。

请自行挑选是不是要运用暴力破解的体式格局。

我们在参考完成中运用的密钥的DWORD由全局c示意,我们必需将其更改成7,以婚配歹意软件28字节的密钥长度。转换历程当中涌现了一些问题,因为在歹意软件中,生成密钥内的零字节终究会致使密钥长度变短。我们的完成运用硬编码的密钥长度(c),因而这里生成了c = 6,c = 5,c = 4…如许的多个可实行文件,因为这些可实行文件一般只运转了几分钟才掩盖悉数密钥空间。附录1中触及的一切样本,都可以运用c = 7或c = 6计算出来。

RC5暴力破解东西的重要函数:

运用卷序列号作为加密密钥:APT歹意软件LOWKEY剖析_申搏官网开户

解密后的Payload属于歹意软件家属POISONPLUG(MD5:84b69b5d14ba5c5c9258370c9505438f)。POISONPLUG是具有插件功用、经过高度殽杂的模块化后门。该歹意软件具有注册表/效劳持久性、自我删除、实行插件和转发收集衔接的功用。我们已观察到POISONPLUG最先运用交际平台上托管的编码后敕令和掌握敕令。

我们确认了Kaspersky此前的发明,而且发清楚明了第二个敕令和掌握URL,是hxxps://steamcommunity[.]com/id/oswal053,我们在APT41的报告中也说清楚明了这一点。

综合斟酌我们研讨DEADEYE.APPEND(MD5:37e100dd8b2ad8b301b130c2bca3f1ea)所取得的效果,我们决议再次检察加密的mui文件(e58d4072c56a5dd3cc5cf768b8f37e5e)。我们尝试强即将第一个字节与解密后POISONPLUG Payload的字节婚配,没有发生任何效果。

荣幸的是,我们发清楚明了运用雷同加密计划的其他样本。在个中一个样本中,歹意软件作者举行了两次搜检,以考证解密后的Payload。下面是DEADEYE.APPEND(MD5:7f05d410dc0d1b0e7a3fcc6cdda7a2ff)在指定偏移量处的预期纯文本。

偏移量及解密后的预期字节:

0     0x48
1     0x8B
0x3C0     0x48
0x3C1     0x83

将上述束缚应用到我们的暴力破解东西中,然后再尝试对mui文件(e58d4072c56a5dd3cc5cf768b8f37e5e)举行解密,这将再次致使胜利掷中所需尝试的次数削减,我们可以手动对其举行确认。我们已晓得,加密mui的准确卷序列号是0x243e2562。经过剖析,确认解密后的文件是XMRig挖矿东西。这也诠释了为何投放东西会下载两个文件。第一个<MODULE_NAME>.mui是加密钱银挖矿东西,第二个C:\Windows\System32\wcnapi.mui是设置。解密的mui包含另一层殽杂,并终究运用敕令x -c wcnapi.mui实行。在本文的下一章,我们将诠释怎样猎取敕令以及附加的殽杂层。

有关带有响应卷序列号的歹意样本列表,请参考附录1。

附加的RC4层

在APT41运用的投放东西中,我们还发清楚明了分外的RC4层,我们在内部将其定名为DEADEYE。ESET此前已在文章中细致引见了该层,因为我们胜利对一些样本举行了暴力破解,因而我们愿望分享关于附加层的一些分外信息。

附加层是包含反射型DLL加载东西的Shellcode,这段Shellcode自力运转,与涌现位置无关。加载递次解密RC4加密的Payload,并将其加载到内存中。这段代码本身是一个简朴的加载东西,但我们在剖析历程当中发清楚明了个中包含一些值得关注的组件。

正如ESET在文章中提到的那样,加密的Payload前面带有标头。个中包含RC4加密密钥和两个长度可变的字段,这些字段此前已被标识为文件名。这两个字段运用雷同的RC4加密密钥举行加密,该密钥也被用于解密Payload。下面列举了这些标头,并申明其详细寄义:

0 - 15:以0x37编码后运用RC4密钥举行异或
16 - 19:标头之前的加载东西的存根(Stub)大小
20 - 23:RC4密钥大小
24 - 27:敕令ASCII大小(CAS)
28 - 31:敕令UNICODE大小(CUS)
32 - 35:加密Payload的大小
36 - 39:实行范例
40 - (40+CAS):敕令ASCII
(40+CAS) – (40+CAS+CUS):敕令UNICODE
(40+CAS+CUS) – (40+CAS+CUS+加密Payload的大小):加密的Payload

经过历程检察隐蔽在RC5层背面的Payload,我们观察到这些字段不仅限于文件名,还可以包含反射型加载递次运用的敕令。假如未指定敕令,则默许参数是已加载的Payload的文件名。在某些情况下,这里表现了开辟环境下的完全文件途径和文件名。下面列举了一些途径和文件名,这也是我们从文章第一部份中找到的用于启动解密后mui文件的敕令(x -c wcnapi.mui)。

解密后的途径和文件名:

7f05d410dc0d1b0e7a3fcc6cdda7a2ff - E:\code\PortReuse\3389-share\DeviceIOContrl-Hook\v1.3-53\Inner-Loader\x64\Release\Inner-Loader.dll
7f05d410dc0d1b0e7a3fcc6cdda7a2ff - E:\code\PortReuse\3389-share\DeviceIOContrl-Hook\v1.3-53\SK3.x\x64\Release\SK3.x.exe
7f05d410dc0d1b0e7a3fcc6cdda7a2ff - UserFunction.dll
7f05d410dc0d1b0e7a3fcc6cdda7a2ff - ProcTran.dll
c11dd805de683822bf4922aecb9bfef5 - E:\code\PortReuse\iis-share\2.5\IIS_Share\x64\Release\IIS_Share.dll
c11dd805de683822bf4922aecb9bfef5 - UserFunction.dll
c11dd805de683822bf4922aecb9bfef5 - ProcTran.dll

LOWKEY剖析

末了,我们对DEADEYE.APPEND(MD5:7f05d410dc0d1b0e7a3fcc6cdda7a2ff)解密后的被动后门LOWKEY(MD5:8aab5e2834feb68bb645e0bad4fa10bd)举行剖析。LOWKEY是一个被动型的后门,它支撑反向Shell、上传和下载文件、列出并停止历程以及文件治理等敕令。现在,我们已肯定LOWKEY后门的两个变种。

第一个是侦听53端口的TCP变种,第二个是侦听TCP/80端口的HTTP变种。HTTP变种阻拦与URL后缀http://+:80/requested.html相婚配的URL要求。该URL中的“+”示意它可以与任何主机名相婚配。Kaspersky此前将其简称为“未知后门”。

这两个变种都是由前文所述的反射型加载东西加载。这也就意味着,我们可以提取原始文件名。在原始文件名中包含着有意义的称号,可以给我们有关后门操纵体式格局的第一条提醒。

WordPress WP Statistics插件存储型XSS漏洞分析

WordPress插件 WP Statistics安装量超过50万,12.6.7之前版本中存在非授权的存储型XSS漏洞。该漏洞默认设置下是不受该漏洞影响的,只有特定配置下才受该漏洞的影响。 时间轴 2019/06/26 – 发现漏洞并联系开发者 2019/06/27 – 开发者回应,公开漏洞 2019/06/30 – 补丁开发完毕 2019/07/01 – 12.6.7版本发布,漏洞修复 通过IP操作的存储型XSS 该插件在特定配置下,网站可以用header来找到访问者的IP地址。 但是如果访问者使用防火墙时,网站看到的IP地址其实是防火墙的,而不是用户自己的

HTTP变种(MD5:c11dd805de683822bf4922aecb9bfef5) – E:\code\PortReuse\iis-share\2.5\IIS_Share\x64\Release\IIS_Share.dll

TCP变种(MD5:7f05d410dc0d1b0e7a3fcc6cdda7a2ff) – E:\code\PortReuse\3389-share\DeviceIOContrl-Hook\v1.3-53\SK3.x\x64\Release\SK3.x.exe

值得关注的部份以下图所示,PortReuse形貌了后门的通用思绪,在经常使用的端口上举行操纵。在其途径中,还包含版本号2.5和v1.3-53。IIS_Share用于HTTP变种,而且形貌了目的应用递次,DeviceIOContrl-Hook被用于TCP变种上。

概述可实行途径的重要部份:

两个LOWKEY变种在功用上均雷同,但有一个处所破例。TCP变种依赖于第二个组件,也就是可以阻拦传入TCP衔接的用户形式Rootkit。开辟职员在开辟历程当中为该组件制订的内部称号是:

E:\code\PortReuse\3389-share\DeviceIOContrl-Hook\v1.3-53\NetAgent\x64\Release\NetAgent.exe。

LOWKEY组件:

运用卷序列号作为加密密钥:APT歹意软件LOWKEY剖析_申搏官网开户

关于Inner-Loader.dll

Inner-Loader.dll是LOWKEY后门的保卫递次。它应用GetExtendedTcpTable API检索存在翻开的TCP衔接的一切历程。假如某个历程正在侦听TCP/53端口,就会将NetAgent.exe注入到该历程中。这是在10秒的耽误时间内完成的。在胜利注入NetAgent.exe以后,加载递次退出轮回。在注入以后,它将为LOWKEY后门(SK3.x.exe)竖立一个新的线程。

保卫递次陷入了一个死轮回当中,会每隔20分钟实行一次,并确保NetAgent.exe和LOWKEY后门依然处于运动状况。假如任何一个递次未处于运动状况,那末它会从新启动后门,或从新注入NetAgent.exe。

关于NetAgent.exe

NetAgent.exe是一个用户形式的Rootkit,供应与LOWKEY后门组件的隐秘通讯。在收到字节序列FF FF 01 00 00 01 00 00 00 00 00 00后,它将传入的数据包转发到定名管道\\.\pipe\Microsoft Ole Object {30000-7100-12985-00001-00001}。

这个组件经过历程挂钩NtDeviceIoControlFile来事情。它经过历程分派一个可疑的大内存地区(用作全局挂钩标)来完成。该表由0x668A0字节构成,并具有读取、写入和实行权限的鸠合。

每一个挂钩的表条目都包含3个指针。个中,第一个指向包含每一个已挂钩函数的原始11个字节的内存,第二个指向包含指向其他原始指令的指针,第三个指向存储函数挂钩的指针。歹意软件只会以这类体式格局对个中的一个函数举行挂钩,因而会分派没必要要的大批内存。这类歹意软件旨在经过历程何种体式格局,衔接过多达10000个功用。

挂钩函数从迭代全局挂钩表最先,然后将指向挂钩函数的指针与其本身相比较。如许一来,就可以找到已装置挂钩的原始申明,在本文示例中为NtDeviceIoControlFile。随后,歹意软件实行已保留的指令,从而致使通例的NtDeviceIoControlFile API挪用。以后,将NtDeviceIoControlFile与0x12017(AFD_RECV)举行比较。

假如IoControlCode不婚配,那末就返回原始API挪用效果。

假如婚配,歹意软件将比较传入数据的12个字节。因为它实质上是一个TCP数据包,因而它也正在剖析TCP标头来猎取该数据包的数据。将数据的前12个字节与硬编码的字节形式举行比较,取得:FF FF 01 00 00 01 00 00 00 00 00 00。

假如它们婚配,则希冀吸收没有运用的附加数据,然后以十六字节的标头响应00 00 00 00 00 91 03 00 00 00 00 00 80 1F 00 00,示意以下数据包被转发到定名管道\\.\pipe\Microsoft Ole Object {30000-7100-12985-00001-00001}。后门组件(SK3.x.exe)吸收数据,并将数据发送到定名管道。挂钩函数会将一切吸收到的数据从定名管道转发还套接字,从而有用地许可定名管道与套接字之间举行隐秘通讯。

关于SK3.x.exe

SK3.x.exe是现实的后门组件,它支撑写入和读取文件、修正文件属性、交互式敕令Shell、TCP中继功用以及列出正在运转的历程。后门将翻开一个定名管道\\.\pipe\Microsoft Ole Object {30000-7100-12985-00001-00001}以举行通讯。

后门在收到数据后,运用密钥“CreateThread”经过历程RC4举行加密,然后与0x77举行异或。后门发送的一切数据都邑以相反的递次(起首运用0x77举行异或,然后运用密钥“CreateThread”对其举行RC4加密)运用雷同的加密体式格局举行处置惩罚。加密的数据是一个16字节的标头,该标头未经加密,包含标识符及后续加密后数据包的大小。

标头示例以下所示:

00 00 00 00 00 FD 00 00 10 00 00 00 00 00 00 00

标头的子组件,标头示例及寄义:

00 00 00 00 00 – 未知。
FD 00 – 第5-6个字节是敕令标识符,有关一切受支撑的标识符清单,请参考下一章。
00 – 未知。
10 00 00 00 – 标头背面要发送的加密后数据包的大小。
00 00 00 00 – 未知。

该后门支撑悉数下表所列出来的敕令。个中,大多数敕令在开首时都愿望有一个字符串,该字符串可以形貌了该敕令,而且为操纵职员供应了方便,但该字符串没有被歹意软件主动运用,多是任何内容。比方,KILL <PID>也可以示意成A <PID>。个中一些敕令依赖于嵌入在后门中的两个Payload(UserFunction.dll和ProcTran.dll),这些Payload终究会被注入到另一个历程,或许直接启动另一个历程。

关于UserFunction.dll

UserFunction.dll会启动一个隐蔽的cmd.exe历程,竖立定名管道\\.\pipe\Microsoft Ole Object {30000-7100-12985-00000-00000},并将一切吸收到的数据都从管道转发到cmd的规范输入.exe历程。历程的一切输出都将重定向回定名管道,这将许可定名管道上与外壳举行交互。

关于ProcTran.dll

该组件翻开到指定主机和端口的TCP衔接,竖立定名管道\\.\pipe\Microsoft Ole Object {30000-7100-12985-00000-00001},并将一切吸收到的数据都经过历程管道转发到翻开的TCP衔接。而且,将从衔接上收到的一切数据包都转发到定名管道。如许一来,将会许可经过历程定名管道与TCP衔接举行交互。

0xC8(<cmd> <arg1> <arg2>):供应一个简朴的Shell递次,支撑dir、copy、move、del、systeminfo和cd敕令。这些与Shell中规范敕令的功用相婚配。而且在这里,是唯一一次运用到<cmd>。

0xC9(<cmd><arg1>):该参数被诠释为历程ID(PID)。后门将UserFunction.dll注入到历程中,该历程是一个交互式Shell东西,它将一切输入输出数据转发到Microsoft Ole Object({30000-7100-12985-00000-00000})。然后,后门会将传入的数据转发到定名通道,以便于翻开的Shell举行通讯。假如未供应PID,那末会将cmd.exe作为后门历程的子历程启动,其输入和输出会重定向到定名管道Microsoft Ole Object {30000-7100-12985-00001-00001}。

0xCA(<cmd> <arg1> <arg2>):将数据写入文件。第一个参数是文件名,第二个参数是文件的偏移量。

0xCB(<cmd> <arg1> <arg2> <arg3>):从文件读取数据。第一个参数是文件名,第二个参数是文件的偏移量,第三个参数为可选,我们还临时不清楚其真正用处。

0xFA:列出正在运转的历程,包含历程称号、PID、历程一切者和可实行文件途径。

0xFB(<cmd> <arg1>):运用供应者的历程ID(PID)停止该历程。

0xFC(<cmd> <arg1> <arg2>):从第二个参数复制文件CreationTime、LastAccessTime和LastWriteTime,并将上述内容更新到第一个采用数的文件途径中。

0xFD:经过历程实行WMI查询SELECT Name,ProcessId,SessionId,CommandLine,ExecutablePath FROM Win32_Process,列出正在运转的历程以及其他细致信息,比方SessonId和CommandLine。

0xFE:在ping敕令后,歹意软件将运用以下字节序列(00 00 00 00 00 65 00 00 00 00 00 00 06 00 00 00)举行响应。对后门举行的胜利实践表明,标识符65好像表明操纵胜利,而66测示意操纵毛病。

接下来列出的敕令,都是用来供应TCP通讯终端的功用。如许一来,歹意组织就可以应用后门,经过历程TCP协定与另一台主机举行通讯。这一技能可以用于现实的红蓝匹敌当中。比方,后门的一个实例可以作为跳转主机运用,而且可以经过历程TCP流量中继抵达目的收集中的其他主机。请注意,下面列出的敕令0xD2、0xD3和0xD6可以直接在后门主线程上运转,而没必要运用ProcTran.dlll。

0x105(<cmd> <arg1>):该参数被诠释为历程ID(PID)。后门将ProcTran.dll注入到这一历程中,该历程是一个TCP通讯中继组件,它将一切输入和输出数据转发到Microsoft Ole Object {30000-7100-12985-00000-00001}。可以将敕令0xD2、0xD3、0xD6与该组件配合运用。

0xD2(<arg1> <arg2>):翻开到指定主机和端口的衔接,第一个参数是主机,第二个参数是端口。胜利后,将返回标头被设置为0xD4(00 00 00 00 00 D4 00 00 00 00 00 00 00 00 00 00)的数据包。如许一来,就有用地竖立了一个TCP通讯中继,使进击者可以经过历程后门主机与另一个体系举行通讯。

0xD3(<arg1>):经过历程0xD2敕令翻开的衔接吸收和发送数据。起首运用密钥“CreateThread”对吸收到的数据举行RC4解密,然后运用0x77对单字节举行异或以解码。传回的数据直接发出,无需举行任何其他加密。

0xD6:封闭由0xD2敕令竖立的套接字衔接。

0xCF:封闭与注入的ProcTran.dll通讯的定名管道Microsoft Ole Object {30000-7100-12985-00000-00001},详细是经过历程0x105敕令停止了目的历程中的线程。

总结

TCP LOWKEY变种被动侦听TCP/53端口上是不是涌现字节组合“FF FF 01 00 00 01 00 00 00 00 00 00”,一旦发明就会激活。经过测试,发明后门最多运用三个定名管道举行通讯。个中,一个管道用于后门的重要通讯,其他管道则按需用于嵌入式Payload。

\\.\pipe\Microsoft Ole Object {30000-7100-12985-00001-00001} – 主通讯管道

\\.\pipe\Microsoft Ole Object {30000-7100-12985-00000-00001} – 定名管道,用于与TCP中继模块ProcTran.dll举行交互

\\.\pipe\Microsoft Ole Object {30000-7100-12985-00000-00000} – 定名管道,用于与交互式Shell模块UserFunction.dll举行交互

下图总结了LOWKEY组件怎样互相交互:

运用卷序列号作为加密密钥:APT歹意软件LOWKEY剖析_申搏官网开户

附录

运用卷序列号作为加密密钥:APT歹意软件LOWKEY剖析_申搏官网开户

本文翻译自:https://www.fireeye.com/blog/threat-research/2019/10/lowkey-hunting-for-the-missing-volume-serial-id.html


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明运用卷序列号作为加密密钥:APT歹意软件LOWKEY剖析_申搏官网开户
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址