首页 > 商业 > 内容

白金APT在文本中隐藏后门通信

商业 2020-02-07 15:45:08

白金高级持续威胁(APT)小组带着新技术回来了,这些新技术使用隐写术将他们的动作隐藏在文本中。

周三,卡巴斯基的研究人员表示,这一发现是在本月追踪亚洲各国的黑客活动时发现的,该团队特别感兴趣的伪装方法是一种“以前从未见过的隐藏通信的隐写术”。


这并不是Platinum第一次与晦涩或新奇的攻击技术联系在一起——考虑到该组织过去曾在Windows中使用一种现在已被弃用的功能,即hotpatching——但这是第一次使用隐写术。

当数据隐藏在其他表单中时,隐写术是一个广泛使用的术语。在网络安全领域,这可能意味着通过将恶意代码隐藏到图像、音频或视频文件中,或者在这种情况下,通过合法文本隐藏恶意代码。

卡巴斯基是通过追踪网络安全公司Platinum最初认为的两个独立活动,偶然发现了该公司的最新漏洞。在其中一个例子中,PowerShell脚本被滥用于指纹系统,用于基本数据盗窃(比如系统信息),以及安装后门将这些信息发送到硬编码的命令和控制(C2)地址。

第二个问题是存在一个实现为. dll文件的后门,它还充当WinSock NSP (Nameservice提供者)来维护持久性。

该团队将这些点连接起来,因为这两个系统都使用硬编码的活动时间来处理恶意软件,并滥用免费主机和域服务来建立固定的C2地址。

然而,第二个后门,现在被认为是在初步的PowerShell感染窃取了基本的PC规范之后的第二步感染,是Platinum最新攻击中最有趣的元素。研究人员表示,这个后门可以通过文本隐写术隐藏所有C2通信。

dll后门是通过一个恶意软件下载器安装的,同时安装后门和配置文件。

参见:俄罗斯花式熊APT连接到耳朵虫黑客集团

选择Active hours,在使用时,后门连接到C2并下载一个HTML页面,乍一看,这个页面似乎显示C2不可用。

然而,这就是隐写术发挥作用的地方。HTML页面实际上包含了被加密的嵌入式命令,其中用于解锁命令的密钥也隐藏在同一个页面中。

放在<——1234567890比;研究人员说,有两种技术在起作用,第一种是“基于HTML不关心标签属性顺序的原则”。

在页面的第31行,属性“align”、“bgcolor”、“colspan”和“rowspan”按字母顺序列出,而在下一行中,相同的属性按不同的顺序列出。

如果属性以特定的方式排列,这意味着可以对消息进行编码和隐藏。

第二种速记技术称为SNOW,然后用于解码消息和加密密钥。这可以通过添加到行的末尾的空白来实现。

TechRepublic:iOS开发者仍未能在应用程序中构建端到端加密

“后门逐行解码,并为数据收集一个加密密钥,该密钥也被放置在HTML标记之后,处于编码状态,”研究人员说。“结果是要执行的命令列表,保护方式与后门配置文件相同。”

然后提取并执行这些原始命令。后门不仅可以传输偷来的数据,还可以下载和执行额外的有效载荷,升级和卸载自己,以及修改自己的配置文件。

CNET:据报道,面部识别技术下周将登陆纽约校区

卡巴斯基还发现了一个为后门设计的工具,这是一个管理工具集超过150个选项和另一个后门,能够嗅探网络流量和潜在的连接受害者系统到P2P网络。

卡巴斯基说:“几年前,我们预测会有越来越多的APT和恶意软件开发者使用隐写术,现在有证据表明:在APT中,参与者使用了两种有趣的隐写术技术。”“一个更有趣的细节是,参与者决定将他们需要的实用工具作为一个巨大的集合来实现——这提醒我们,基于框架的架构正变得越来越流行。”

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时候联系我们修改或删除,多谢。