OilRig又瞄准了中东电信组织,并在其代码库中增加了带有隐写术的新型C2通道(下)

本文主要是介绍OilRig又瞄准了中东电信组织,并在其代码库中增加了带有隐写术的新型C2通道(下),希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

OilRig又瞄准了中东电信组织,并在其代码库中增加了带有隐写术的新型C2通道(下)

接上文

使用隐写术隐藏数据

有效载荷将从电子邮件附件中的C2接收数据,或将数据泄漏到C2,特别是在使用隐写术将图像隐藏在图像中的BMP图像中。有效载荷从BMP图像提取数据以从C2接收数据的方法与其隐藏数据以进行渗漏的方法相同,尽管研究人员没有观察到使用此方法发送命令的C2,但研究人员能够分析有效载荷以确定其如何发送消息并从系统中窃取数据。

要使用此C2通道发送数据,有效载荷将读取以下默认安装的Windows上可用的图像:

C:\ProgramData\Microsoft\User Account Pictures\guest.bmp

根据Windows版本的不同,“guest.bmp”图像的大小和内容也有所不同。Windows7的图像为128×128像素,其中包含一个手提箱的图像,而Windows 10的图像是448×448像素,包含一个通用的用户图标。奇热图9显示了从Windows 7和Windows 10的默认安装中提取的两个图像,后者的大小被缩小了。

OilRig又瞄准了中东电信组织,并在其代码库中增加了带有隐写术的新型C2通道(下)

左侧Windows 7和右侧Windows 10中的“guest.bmp”图像

有效载荷确定图像的高度,宽度和颜色深度,并计算需要修改多少图像以发送全部数据:

(length of data)/(width*(height-1))

它使用模运算符来检查是否有不适合前一张图像的数据,如果存在剩余数据,则会在所需的图像计数中加一。然后,有效载荷通过抓住将适合图像的数据子字符串来遍历数据。

为了说明有效载荷如何在此图像中隐藏数据,研究人员必须首先简要说明BMP文件格式。 BMP文件格式包括文件标头和用于存储图像中每个像素的红色、绿色和蓝色值的值的数组。颜色值阵列中的每个颜色值的格式取决于颜色深度,因为24位BMP图像将使用3字节值,该值用于指定像素中每个像素的红色,蓝色和绿色的强度。图片,而32位图片则使用4字节值。 RDAT有效载荷可以支持24位和32位图像,由于Windows 7和Windows 10的“guest.bmp”图像都是24位图像,因此研究人员使用每个像素的3字节颜色值观察有效载荷以隐藏数据。有效载荷会修改每个像素的3个字节,以传输一个字节的渗出数据。通过将数据字节分布在每个像素的3个字节上,对原始图像的影响很小并且难以可视化。图10比较了Windows 7中的原始图像和带有隐藏数据的修改后图像。

OilRig又瞄准了中东电信组织,并在其代码库中增加了带有隐写术的新型C2通道(下)

左侧是Windows 7的原始“guest.bmp”图像,右侧是修改后的载体图像

图10显示了查看嵌入在BMP图像中的隐藏数据有多么困难,研究人员放大了修改后的29个像素以承载数据以可视化差异,并发现它们的颜色略有不同,如图11中的比较所示。两个图像中的所有像素都是不同的。但是,某些颜色差异比其他差异更明显。

OilRig又瞄准了中东电信组织,并在其代码库中增加了带有隐写术的新型C2通道(下)OilRig又瞄准了中东电信组织,并在其代码库中增加了带有隐写术的新型C2通道(下)

此放大视图在顶部显示原始像素,在底部显示29字节数据的像素

为了隐藏图像中的数据,有效载荷将检查“guest.bmp”图像的颜色深度是否为24位或32位深度,这允许载荷确定将隐藏数据的位分散到每个像素需要多少字节。例如,像“guest”这样的24位BMP图像。Windows 7中的“bmp”,如上图10所示,在表示该像素的红、绿、蓝值的图像中,每个像素有三个字节。使用这个24位图像,有效负载将把8位的数据字节分散到这三个字节上,具体地说,就是将像素字节中的最低有效位值设置为数据字节的位值。

让研究人员使用从有效负载发送到C2的信标中的示例数据8,54351-1616479009,0,它将使用base64对OCw1NDM1MS0xNjE2NDc5MDA5LDA=进行编码,并附加@符号并嵌入到BMP图像中。O ASCII字符的十六进制值是0x4f,在base2中是01001111。然后使用base2表示的8位来为每个像素在3字节内设置特定的位:

· 数据位0和1替换第一个像素字节的位1和0;

· 数据位2、3和4替换第二个像素字节的位2、1和0;

· 数据位5、6和7替换第三像素字节的位2,1和0。

使用此逻辑,有效载荷将从“guest.bmp”图像中读取像素字节,即0xe4, 0xdf和0xbb9,并使用base2 010 011 11替换以下位:

· 将0xe4中的第2位、第1位和第0位替换为010,结果是0xe2;

· 将0xdf中的2、1和0位替换为110,将得到0xde;

· 将0xb9中的第1位和第0位替换为11,结果就是0xbb。

图12显示了这些位替换是如何发生的,以及替换最终如何改变像素字节的值。

OilRig又瞄准了中东电信组织,并在其代码库中增加了带有隐写术的新型C2通道(下)

对每个像素执行的位替换以隐藏BMP图像中的数据的直观说明

HTTP和DNS隧道C2通道

具有最新出现EWS C2通道的RDAT样本也具有HTTP和DNS隧道作为C2通道,这与研究人员收集的其他RDAT样本非常相似。HTTP C2通道使用HTTP POST请求将数据传输到C2服务器。该代码包含以下两个域:

allsecpackupdater[.]com
tacsent[.]com

应当注意,代码仅尝试将tacsent[.]com域用于其HTTP C2通道。研究人员不确定代码为何包含 allsecpackupdater[.]com域,因为它不尝试与之通信,但是它可能是该工具先前版本的构件。该域以前与OilRig威胁组有关,因为ClearSky在2017年发现了该域,并指出了它与Greenbug的ISMDOOR工具的关系。

HTTP POST请求的报头中有一个自定义的“From:”字段,该字段为被感染的系统分配了唯一标识符。HTTP POST请求将包含一个“v”参数和一个随机数的URL和一个用户代理的“chrome”。图13显示了一个HTTP POST示例,它是由载荷作为初始信标发送给C2的,其中显示了异常的用户代理“chrome”和自定义“From”字段。

OilRig又瞄准了中东电信组织,并在其代码库中增加了带有隐写术的新型C2通道(下)

RDAT样本通过其HTTP C2通道发送的初始信标

有效载荷使用AES密码对POST请求中发送的数据进行加密,特别是在CBC模式下。要解密该数据,首先将数据本身从url安全的十六进制百分比编码字符转换为它们的/、+和=字符等效。这种转换后,产生的数据是使用base64解码然后解密使用AES和从字段中的值作为一个密钥和初始化向量(IV)。例如,使用价值的密钥和IV与AES密码解密POST数据产生以下明文:

1,1543511637567325,12031\x08\x08\x08\x08\x08\x08\x08\x08

有效载荷将使用正则表达式[^,]+检查C2服务器对此HTTP POST的响应是否为a,以确定C2是否提供了命令。有效载荷一次只能溢出102400字节的数据,它在溢出响应中使用一个字段来通知C2数据的偏移量,以便C2可以重构数据。

DNS隧道协议与本文前面讨论的协议非常相似,因为它使用第二级子域作为其AES密钥,但使用四个字符而不是两个字符。它还使用与-相同的字符替换-,/与_替换为-,/-用+替换+,以删除域名中不允许的字符,就像在针对中东电信组织的攻击中使用的RDAT示例一样。此示例的DNS隧道使用DNS A记录查询,并且与HTTP C2通道具有相同的域,该域会生成一个类似于以下内容的初始信标:

P9rktZsukI5RVAdZWSR-a6uVYKeQJ-azhVLzUUfGs1TDQ-.fN26.tacsent[.]com

为了解密这个信标,C2使用第二级子域来创建一个AES密钥和fN26fN26fN26fN26的IV,这是第二级域,使用了四次来创建一个16字节的字符串。结果的明文将包含以下消息,这是一个逗号分隔的字符串,包括通信类型和唯一的系统标识符:

3,1543511637567325,0\x0c\x0c\x0c\x0c\x0c\x0c\x0c\x0c\x0c\x0c\x0c\x0c

为了使用这个DNS隧道协议溢出数据,有效载荷将添加额外的子域来查询,特别是一个用于数据序列号的字段和一个用于溢出数据的字段。例如,以下DNS查询将系统信息发送到C2:

1.44gkxXizTF3QJU0F2AllV_0qhr1xcYmy8GeMB6nnGNSw0bls7JpP0zIqvnyO.xEZlrurmSHgf
uoAcqi9blguWDzwH9oQCWZ-aTeBSBE2M-.tJ8z.tacsent[.]com

第五级子域是一个数据序列号,它允许C2服务器重组数据,数据从1开始,随着DNS隧道协议在每个DNS请求中发送60字节编码的密文,数据将递增60字节。第四级子域包含RDAT发送给C2的60字节编码密文,而第三和第二级子域与信标相同。在上面的例子中,AES密钥和IV为tJ8ztJ8ztJ8ztJ8z,它将第三级子域解密为以下明文:

2,1543511637567325,0\x0c\x0c\x0c\x0c\x0c\x0c\x0c\x0c\x0c\x0c\x0c\x0c

使用相同的AES密钥和IV,第四级子域中的明文包含系统信息,在上述示例中,系统信息将产生以下结果:

1:|2:MicrosoftWindows7Professionw\x01

不管使用哪种C2通道,RDAT样本都使用命令处理程序来解析响应,以确定要采取的措施。表3显示了命令处理程序中可用的命令,以及有效载荷将发送到C2的响应消息的结构。与针对中东电信组织的攻击中看到的示例中的三个命令相比,此RDAT示例中的命令处理程序具有更多的功能。

OilRig又瞄准了中东电信组织,并在其代码库中增加了带有隐写术的新型C2通道(下)

使用最新出现的EWS C2通道的RDAT样本中可用的命令

总结

RDAT后门已经被OilRig组织使用了至少三年时间,目标是中东地区的组织,最近已知的活动发生在2020年4月,针对的是一个电信组织。在过去的三年里,这个工具得到了持续的开发,导致了功能和可用C2通道的多种变化。大多数示例使用了HTTP和DNS隧道通道的组合,只有一个例外,研究人员发现开发人员利用Exchange Web服务使用隐写图像文件附件向参与者发送和接收电子邮件。结合隐写术使用新颖的C2通道,可以判定这个攻击者随着时间的推移不断演变和发展出不同的攻击技术。

这篇关于OilRig又瞄准了中东电信组织,并在其代码库中增加了带有隐写术的新型C2通道(下)的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/778978

相关文章

springboot循环依赖问题案例代码及解决办法

《springboot循环依赖问题案例代码及解决办法》在SpringBoot中,如果两个或多个Bean之间存在循环依赖(即BeanA依赖BeanB,而BeanB又依赖BeanA),会导致Spring的... 目录1. 什么是循环依赖?2. 循环依赖的场景案例3. 解决循环依赖的常见方法方法 1:使用 @La

使用C#代码在PDF文档中添加、删除和替换图片

《使用C#代码在PDF文档中添加、删除和替换图片》在当今数字化文档处理场景中,动态操作PDF文档中的图像已成为企业级应用开发的核心需求之一,本文将介绍如何在.NET平台使用C#代码在PDF文档中添加、... 目录引言用C#添加图片到PDF文档用C#删除PDF文档中的图片用C#替换PDF文档中的图片引言在当

C#使用SQLite进行大数据量高效处理的代码示例

《C#使用SQLite进行大数据量高效处理的代码示例》在软件开发中,高效处理大数据量是一个常见且具有挑战性的任务,SQLite因其零配置、嵌入式、跨平台的特性,成为许多开发者的首选数据库,本文将深入探... 目录前言准备工作数据实体核心技术批量插入:从乌龟到猎豹的蜕变分页查询:加载百万数据异步处理:拒绝界面

用js控制视频播放进度基本示例代码

《用js控制视频播放进度基本示例代码》写前端的时候,很多的时候是需要支持要网页视频播放的功能,下面这篇文章主要给大家介绍了关于用js控制视频播放进度的相关资料,文中通过代码介绍的非常详细,需要的朋友可... 目录前言html部分:JavaScript部分:注意:总结前言在javascript中控制视频播放

Spring Boot 3.4.3 基于 Spring WebFlux 实现 SSE 功能(代码示例)

《SpringBoot3.4.3基于SpringWebFlux实现SSE功能(代码示例)》SpringBoot3.4.3结合SpringWebFlux实现SSE功能,为实时数据推送提供... 目录1. SSE 简介1.1 什么是 SSE?1.2 SSE 的优点1.3 适用场景2. Spring WebFlu

java之Objects.nonNull用法代码解读

《java之Objects.nonNull用法代码解读》:本文主要介绍java之Objects.nonNull用法代码,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐... 目录Java之Objects.nonwww.chinasem.cnNull用法代码Objects.nonN

SpringBoot实现MD5加盐算法的示例代码

《SpringBoot实现MD5加盐算法的示例代码》加盐算法是一种用于增强密码安全性的技术,本文主要介绍了SpringBoot实现MD5加盐算法的示例代码,文中通过示例代码介绍的非常详细,对大家的学习... 目录一、什么是加盐算法二、如何实现加盐算法2.1 加盐算法代码实现2.2 注册页面中进行密码加盐2.

python+opencv处理颜色之将目标颜色转换实例代码

《python+opencv处理颜色之将目标颜色转换实例代码》OpenCV是一个的跨平台计算机视觉库,可以运行在Linux、Windows和MacOS操作系统上,:本文主要介绍python+ope... 目录下面是代码+ 效果 + 解释转HSV: 关于颜色总是要转HSV的掩膜再标注总结 目标:将红色的部分滤

在C#中调用Python代码的两种实现方式

《在C#中调用Python代码的两种实现方式》:本文主要介绍在C#中调用Python代码的两种实现方式,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教... 目录C#调用python代码的方式1. 使用 Python.NET2. 使用外部进程调用 Python 脚本总结C#调

Java时间轮调度算法的代码实现

《Java时间轮调度算法的代码实现》时间轮是一种高效的定时调度算法,主要用于管理延时任务或周期性任务,它通过一个环形数组(时间轮)和指针来实现,将大量定时任务分摊到固定的时间槽中,极大地降低了时间复杂... 目录1、简述2、时间轮的原理3. 时间轮的实现步骤3.1 定义时间槽3.2 定义时间轮3.3 使用时