哈勃發(fā)布六月威脅情報(bào):DarkComet木馬協(xié)議成最多惡意網(wǎng)絡(luò)協(xié)議
責(zé)編:mhshi |2016-07-29 17:32:42近日,騰訊安全聯(lián)合實(shí)驗(yàn)室旗下反病毒實(shí)驗(yàn)室的哈勃分析系統(tǒng),發(fā)布了《六月威脅情報(bào)態(tài)勢(shì)報(bào)告——DarkComet惡意網(wǎng)絡(luò)協(xié)議篇》(以下簡(jiǎn)稱《報(bào)告》)。《報(bào)告》顯示,哈勃分析系統(tǒng)對(duì)六月捕獲到的威脅情報(bào)進(jìn)行協(xié)議解析后發(fā)現(xiàn),DarkComet是按惡意網(wǎng)絡(luò)協(xié)議分類后最為活躍的木馬,該木馬以最新版本的變種為主,服務(wù)器主要分布在土耳其和俄羅斯。
(六月DarkComet木馬趨勢(shì)變化圖)
據(jù)了解,DarkComet木馬誕生于2008年,又稱“暗黑彗星”木馬,是國外有名的后門類木馬(也被稱為RAT,Remote Access Tool)。木馬運(yùn)行后可執(zhí)行大量的惡意行為,不僅記錄并上傳受害者輸入的密碼、攝像頭的內(nèi)容等隱私信息,還可根據(jù)服務(wù)器的指令執(zhí)行下載文件、啟動(dòng)程序、運(yùn)行腳本等控制操作,甚至還能以被控制的電腦作為跳板,對(duì)其它目標(biāo)發(fā)起DDoS等網(wǎng)絡(luò)攻擊。2012年,木馬作者停止了對(duì)于這款木馬的更新,最新版本停留在5.4.1。
(DarkComet木馬與服務(wù)器通信協(xié)議示例)
《報(bào)告》指出,木馬在使用惡意網(wǎng)絡(luò)協(xié)議與C&C服務(wù)器進(jìn)行通信的過程中,最顯著的特征存在于收發(fā)的網(wǎng)絡(luò)數(shù)據(jù)包之中。由于協(xié)議規(guī)定了數(shù)據(jù)包的內(nèi)容和格式,只有滿足這些規(guī)范的數(shù)據(jù)包,才能被網(wǎng)絡(luò)通信的另一方解碼,將信息和指令順利地傳遞過去。而DarkComet木馬在與服務(wù)器進(jìn)行通信時(shí),所有的數(shù)據(jù)均會(huì)使用RC4算法進(jìn)行加密和解密。當(dāng)木馬和服務(wù)器使用同樣的密鑰時(shí),就能互相接收對(duì)方的消息,在加密算法的保護(hù)之下,木馬和服務(wù)器會(huì)使用預(yù)定義的命令字進(jìn)行通信和交流。
命令字 含義 IDTYPE 握手包 SERVER 握手確認(rèn)包 GetSIN 請(qǐng)求機(jī)器信息 infoes 發(fā)送機(jī)器信息 QUICKUP 傳輸文件 DESKTOPCAPTURE 捕捉屏幕 GETMONITORS 請(qǐng)求顯示器信息 #KEEPALIVE# 心跳包
(DarkComet協(xié)議常用命令示例)
《報(bào)告》顯示,根據(jù)網(wǎng)絡(luò)包特征匹配對(duì)應(yīng)的密鑰,發(fā)現(xiàn)目前活躍的DarkComet木馬以最新版本為主。
密鑰 加密后數(shù)據(jù) #KCMDDC2#-890 8EA4AB05FA7E #KCMDDC2#-8900123456789 C4A6EB42FC74 #KCMDDC4#-890 B47CB892B702 #KCMDDC4#-8900123456789 00798B4A0595 #KCMDDC5#-890 1164805C82EE #KCMDDC5#-8900123456789 2ECB29F71503 #KCMDDC51#-890 BF7CAB464EFB #KCMDDC51#-8900123456789 DACA20185D99
(DarkComet常見默認(rèn)密鑰及對(duì)應(yīng)加密數(shù)據(jù))
哈勃分析系統(tǒng)在分析DarkComet木馬連接的C&C服務(wù)器情報(bào)時(shí)發(fā)現(xiàn),目前活躍的木馬基本都會(huì)使用動(dòng)態(tài)域名作為服務(wù)器域名使用,其中DarkComet木馬使用到的動(dòng)態(tài)域名以“ddns.net”和“duckdns.org”為主,占比超過了50%。
(DarkComet木馬使用動(dòng)態(tài)域名分布)
此外,通過解析域名對(duì)應(yīng)的IP,進(jìn)一步定位C&C服務(wù)器的地理位置發(fā)現(xiàn),土耳其是DarkComet相關(guān)C&C服務(wù)器數(shù)量最多的國家,占到總量的30.2%,其次是俄羅斯和美國。
(DarkComet木馬C&C服務(wù)器分布Top10國家)
根據(jù)《報(bào)告》結(jié)果,哈勃分析系統(tǒng)建議用戶,始終從正規(guī)網(wǎng)站或官方網(wǎng)站下載和使用軟件,不要輕信小型網(wǎng)站、網(wǎng)盤分享的文件,也不要輕信群、論壇等社交渠道推薦的軟件,對(duì)于不放心的軟件,可以使用哈勃分析系統(tǒng)(https://habo.qq.com/)對(duì)其進(jìn)行檢測(cè),及時(shí)發(fā)現(xiàn)風(fēng)險(xiǎn)。此外,可安裝并使用安全類軟件,并隨時(shí)留意保持其處于可用狀態(tài),例如開啟必要的安全防御措施、及時(shí)更新版本等,還可以配合使用一些防火墻類軟件,對(duì)于符合已知的惡意網(wǎng)絡(luò)協(xié)議特征的網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行監(jiān)控和攔截。
(哈勃分析系統(tǒng)首頁)
- ISC.AI 2025正式啟動(dòng):AI與安全協(xié)同進(jìn)化,開啟數(shù)智未來
- 360安全云聯(lián)運(yùn)商座談會(huì)圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營聯(lián)運(yùn)”認(rèn)證!
- 280萬人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團(tuán)賠償超4700萬元
- 推動(dòng)數(shù)據(jù)要素安全流通的機(jī)制與技術(shù)
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風(fēng)向
- 因被黑致使個(gè)人信息泄露,企業(yè)賠償員工超5000萬元
- UTG-Q-017:“短平快”體系下的高級(jí)竊密組織
- 算力并網(wǎng)可信交易技術(shù)與應(yīng)用白皮書
- 美國美中委員會(huì)發(fā)布DeepSeek調(diào)查報(bào)告
- 2024年中國網(wǎng)絡(luò)與信息法治建設(shè)回顧