“孔夫子”用密码本隐藏C&C服务器地址 洋间谍开始学中国黑话 安全公司用这个特征成为听风者

释放双眼,带上耳机,听听看~!
大多数时候,恶意软件在窃取到数据之后,需要连接自己的远端服务器回传数据,但需要解决两个问题,1当前环境是否可以连接互联网;2怎么隐藏自己的服务器地址,避免被抓到;3如何加密回传的数据,避免被人半路劫道。第一个问题简单,尝试连接一下互联网的服务就行,当然不能直接连接自己的服务器地址,不然就被抓

大多数时候,恶意软件在窃取到数据之后,需要连接自己的远端服务器回传数据,但需要解决两个问题,1当前环境是否可以连接互联网;2怎么隐藏自己的服务器地址,避免被抓到;3如何加密回传的数据,避免被人半路劫道。

第一个问题简单,尝试连接一下互联网的服务就行,当然不能直接连接自己的服务器地址,不然就被抓到

我们这里要说的是第二个问题,一些低端的恶意软件,可能会在源代码里将C&C服务器的IP地址进行硬编码,高级点的则会使用动态域名生成算法(DGA),来隐藏C&C服务器的真实IP地址。

但Palo Alto Network公司研究人员,在某些样本中发现黑客使用了一种有意思的新方法,用密码本隐藏恶意软件的C&C服务器地址,并用这个特征找到了看起来不相关的两个恶意软件。

CONFUCIUS“孔夫子”恶意软件的密码本

要说,还是中国的学问博大精深,黑客不仅学着中国江湖黑话,也给这恶意软件起了个中国名字叫做CONFUCIUS(孔夫子)。研究人员表示,他们没有发现恶意软件源代码里存在异常的域名/IP地址,也没有在其中发现复杂的动态域名生成算法。

然而,他们很快意识到,恶意软件对应的C&C服务器地址可能是通过合法网站进行获取的。

事实证明他们的猜测是对的,这两个恶意软件会向知名的网站发起查询,比如发送请求给雅虎和Quora(某著名问答社区)。

啥叫切口黑话

黑话,是在中国封建社会时期,民间社会各种集团或群体,特别是秘密社会,自出于各文化习俗与交际需要,而创制的一些以遁辞隐义、谲譬指事为特征的隐语。 当前由于网络的发展,一些网络用语也被称为“网络黑话”。

恶意软件玩的密码表游戏

研究人员表示,这两个恶意样本采用了不同的获取方式。CONFUCIUS_A,也就是第一个样本,它会访问雅虎或者Quora特定的某些页面,然后试图寻找两个特定标记/关键词之间的内容,这些内容中会含有四个以上的单词。

在下面这个例子里面,这段内容的开头是用 suggested options are 开头,用 hope it will help ,中间的内容 “ fill plate clever road house ” 就是ip地址

研究人员在恶意软件源代码里面找到一个密码映射表,在这个密码本里面,用上面的那两个特殊标记作为开头,之后加上255个单词,每个单词都对应一个数字,例如prudent对应255。用这个方法,就可以从quora的问答文字里面找到并翻译出对应的C&C服务器IPv4地址。在这个例子里面, fill plate clever road house 翻译过来的地址是 91.210.107[.]104

小编:黑客故意在4段地址中加了一个点,不知道是什么特殊含义

CONFUCIUS_A样本中的密码本

向C&C服务发送的Http请求头部

另外一个“孔夫子”的春秋

黑客现在Quora上做好这篇问答,他的C&C的地址就写在这篇文档里面。 当然这篇问答一般都是用一段时间就删除了,你是找不到的。

在恶意软件样本里面是这样写的。怎么样,看起来是不是向江湖的黑话、切口?

大家找到规律了吗? 对应的密码本就是这样的

love 0
hate 1
fire 2
couple 3
green 4
weed 5
block 6
party 7
natural 8
hopeful 9
or .

Quora是什么

Quora是一个问答SNS网站,由Facebook前雇员查理·切沃(Charlie Cheever)和亚当·安捷罗(Adam D’ Angelo)于2009年6月创办。在2009年12月推出测试版,随后在2010年6月21日向公众开放。2010年3月,Quora得到基准资本公司的创业资金,估价高达8600万美元。2012年5月, Quora在B轮筹资中募集了五千万美金。

国内与之类似的站点应该就是 知乎

黑客为什么要用Quora作为密码本?

就像当年特工们喜欢用圣经作为密码本一样,小编揣测可能有这么几个原因

  • Quora全球大部分地区都可以访问且访问比较稳定
  • 问答内容审核比较宽松
  • 页面内容较为简单,比较容易追踪分析
  • 黑产交易中的寻求,一个问一个答,像不像谍战片?
  • 纯属黑客自己的喜好

网络间谍活动中的恶意软件 “听风者”们正在破译它们的密码

恶意软件用密码本隐藏自己的IP地址及通信活动,安全公司则成为“听风者”不断破译它们的密码。

Palo Alto的研究人员表示,这类用文字游戏去拼凑IP地址的法子,很可能是同一个或者同一批恶意软件作者撰写的后门。

CONFUCIUS_A的样本是由Rapid7在2013年巴基斯坦官员被攻击时发现的。这种攻击手法被称为SNEEPY,或者ByeByeShell,被攻击者的数量在2014年初开始下降。

而CONFUCIUS_B样本则是与Operation Patchwork和The Hangover Report有关,其针对的大多数是印度的邻国。

研究这些网络间谍事件的公司表示,这些攻击很可能来自于印度的某股势力。

给TA买糖
共{{data.count}}人
人已赞赏
HackerNews

国际原子能机构首次承认 核电站成为网络攻击目标 德国核电站计算机4月份感染病毒

2016-10-17 12:32:11

HackerNews

赛门铁克说木马Odinaff正在进攻SWIFT成员银行 该木马瞄准全球各大金融组织

2016-10-17 12:39:57

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索