哈勃發布六月威脅情報:DarkComet木馬協議成最多惡意網絡協議
責編:mhshi |2016-07-29 17:32:42近日,騰訊安全聯合實驗室旗下反病毒實驗室的哈勃分析系統,發布了《六月威脅情報態勢報告——DarkComet惡意網絡協議篇》(以下簡稱《報告》)。《報告》顯示,哈勃分析系統對六月捕獲到的威脅情報進行協議解析后發現,DarkComet是按惡意網絡協議分類后最為活躍的木馬,該木馬以最新版本的變種為主,服務器主要分布在土耳其和俄羅斯。
(六月DarkComet木馬趨勢變化圖)
據了解,DarkComet木馬誕生于2008年,又稱“暗黑彗星”木馬,是國外有名的后門類木馬(也被稱為RAT,Remote Access Tool)。木馬運行后可執行大量的惡意行為,不僅記錄并上傳受害者輸入的密碼、攝像頭的內容等隱私信息,還可根據服務器的指令執行下載文件、啟動程序、運行腳本等控制操作,甚至還能以被控制的電腦作為跳板,對其它目標發起DDoS等網絡攻擊。2012年,木馬作者停止了對于這款木馬的更新,最新版本停留在5.4.1。
(DarkComet木馬與服務器通信協議示例)
《報告》指出,木馬在使用惡意網絡協議與C&C服務器進行通信的過程中,最顯著的特征存在于收發的網絡數據包之中。由于協議規定了數據包的內容和格式,只有滿足這些規范的數據包,才能被網絡通信的另一方解碼,將信息和指令順利地傳遞過去。而DarkComet木馬在與服務器進行通信時,所有的數據均會使用RC4算法進行加密和解密。當木馬和服務器使用同樣的密鑰時,就能互相接收對方的消息,在加密算法的保護之下,木馬和服務器會使用預定義的命令字進行通信和交流。
命令字 含義 IDTYPE 握手包 SERVER 握手確認包 GetSIN 請求機器信息 infoes 發送機器信息 QUICKUP 傳輸文件 DESKTOPCAPTURE 捕捉屏幕 GETMONITORS 請求顯示器信息 #KEEPALIVE# 心跳包
(DarkComet協議常用命令示例)
《報告》顯示,根據網絡包特征匹配對應的密鑰,發現目前活躍的DarkComet木馬以最新版本為主。
密鑰 加密后數據 #KCMDDC2#-890 8EA4AB05FA7E #KCMDDC2#-8900123456789 C4A6EB42FC74 #KCMDDC4#-890 B47CB892B702 #KCMDDC4#-8900123456789 00798B4A0595 #KCMDDC5#-890 1164805C82EE #KCMDDC5#-8900123456789 2ECB29F71503 #KCMDDC51#-890 BF7CAB464EFB #KCMDDC51#-8900123456789 DACA20185D99
(DarkComet常見默認密鑰及對應加密數據)
哈勃分析系統在分析DarkComet木馬連接的C&C服務器情報時發現,目前活躍的木馬基本都會使用動態域名作為服務器域名使用,其中DarkComet木馬使用到的動態域名以“ddns.net”和“duckdns.org”為主,占比超過了50%。
(DarkComet木馬使用動態域名分布)
此外,通過解析域名對應的IP,進一步定位C&C服務器的地理位置發現,土耳其是DarkComet相關C&C服務器數量最多的國家,占到總量的30.2%,其次是俄羅斯和美國。
(DarkComet木馬C&C服務器分布Top10國家)
根據《報告》結果,哈勃分析系統建議用戶,始終從正規網站或官方網站下載和使用軟件,不要輕信小型網站、網盤分享的文件,也不要輕信群、論壇等社交渠道推薦的軟件,對于不放心的軟件,可以使用哈勃分析系統(https://habo.qq.com/)對其進行檢測,及時發現風險。此外,可安裝并使用安全類軟件,并隨時留意保持其處于可用狀態,例如開啟必要的安全防御措施、及時更新版本等,還可以配合使用一些防火墻類軟件,對于符合已知的惡意網絡協議特征的網絡數據包進行監控和攔截。
(哈勃分析系統首頁)