DeimosC2工具加密通信分析
DeimosC2是一个开源的C&C框架,使用go语言编写。该C2工具实现了多种协议通信方法,例如HTTPS、QUIC、TCP、DOH、PIVOTTCP等。DeimosC2创建的每个监听器都有自己的RSA公钥和私钥对,用于加密随机生成的AES会话密钥,再用AES算法加密木马与C2之间的通信,外层使用HTTPS等加密协议封装,因此,即使HTTPS证书卸载后看到的C&C信息依然是加密的。
Lazarus组织木马化开源软件的加密通信分析
Lazarus组织近期利用社交平台实施新型钓鱼攻击,通过社交平台诱导受害者使用被改造成木马的开源软件,从而获取到受害主机的控制权限。观成科技安全研究团队发现该组织在某次攻击活动中使用了被改造成木马的开源软件UltraVNC。UltraVNC是一款开源的远程管理工具,Lazarus组织在该工具中嵌入了恶意下载器。下载器会从C&C服务器(互联网失陷主机)获取恶意DLL并在内存中加载,与服务器的C&C通信全程使用HTTPS加密协议,加密载荷里的通信交互数据本身又使用了自定义的加密方式进行二次加密。
另辟蹊径:揭秘一款通过公开笔记中转通信的新型远控工具
近期发现一款通过独特方式进行远程控制的工具,它通过公开笔记作为控制命令中转平台来隐匿远程控制行为,该工具不仅具有一定的免杀能力,在流量侧由于全程通过HTTPS协议进行通信,因此还具备一定的防检测、防溯源的能力。另外,在HTTPS加密载荷中的控制命令本身还使用AES算法进行了加密,可以进一步防止解密后的检测。
Donot组织多阶段通信过程分析
Donot(肚脑虫)是一个从2016年开始一直活跃至今的APT组织。该组织主要针对巴基斯坦、中国、克什米尔地区、斯里兰卡、泰国等南亚国家和地区发起攻击,攻击目标包括政府机构、国防军事部门、外交部以及大使馆。Donot组织主要使用钓鱼邮件作为初始接入的手段,利用宏代码加载下一阶段载荷,通过下载者下载各类功能插件,包括:键盘记录、屏幕捕捉、文件窃取、浏览器信息窃取以及反向shell等插件。
基于Gost工具的ICMP隐蔽隧道通信分析
近期,观成科技安全研究团队在现网中检测到了利用Gost工具实现加密隧道的攻击行为。Gost是一款支持多种协议的隧道工具,使用go语言编写。该工具实现了多种协议的隧道通信方法,例如TCP/UDP协议,Websocket,HTTP/2,QUIC,TLS等。2022年11月,Gost更新了V3新版本,在新版本中新增了ICMP隧道功能。ICMP隧道是利用ICMP协议的Echo类型报文(ping命令所采用)进行数据传输,Gost在ICMP之上利用QUIC协议来实现安全可靠的数据传输,因此该ICMP隧道可以看作是QUIC-over-ICMP数据通道。QUIC协议是一种加密协议,所以该隧道也是一种加密隧道。
响尾蛇组织窃密木马通信分析
2022年11月22日,响尾蛇组织对我国高校发起攻击活动,利用疫情相关信息包装钓鱼邮件,诱导受害者打开邮件附件,十分具有迷惑性。本次攻击活动仍然采用以往的攻击流程,利用LNK文件下载HTA文件,最终完成窃密行为或实现远程控制。观成科技安全研究团队对响尾蛇组织在类似攻击活动中常用的窃密木马家族进行逆向分析,搭建服务器模拟木马控制端,复现了其通信过程。
Zscaler:85%的攻击使用加密通道
根据Zscaler的最新报告,加密攻击仍然是世界各国网络安全专家面临的一个重大威胁。美国、印度和日本在过去12个月中遭受的加密攻击增幅最大。“随着企业网络安全防御的成熟,对手也变得越来越复杂,特别是在规避策略方面。”Zscaler首席信息安全官兼安全研究和运营副总裁DeepDesai指出。“越来越多的威胁隐藏在加密流量中,由托管服务提供支持,这大大降低了攻击的技术门槛。对企业来说,云原生零信任架构至关重要,可以对所有互联网绑定流量进行一致检查并有效缓解这些攻击。”Desai说道。
ABPTTS加密HTTP隧道工具流量分析
在企业面对的攻击事件中,攻击者经常构造HTTP加密隧道进行通信。实现HTTP加密隧道的工具比较多,其中ABPTTS比较常见。ABPTTS支持在HTTP加密隧道中承载RDP、SSH、Meterpreter等协议、工具的交互与连接,逃避防火墙和IDS等明文流量检测设备的审计。ABPTTS产生的HTTP隧道流量具备两个显著特点,第一是每次使用会随机生成HTTP请求头来模拟正常的HTTP请求;第二是HTTP请求体内容加密,在不掌握密钥的前提下无法进行解密,因此利用明文字段校验匹配等检测手段很难识别。
疑似OilRig组织Powershell后门分析
近期,观成科技安全团队针对疑似OilRig组织恶意文档进行了分析,并还原了该文档释放的恶意Powershell后门与服务器之间的通信过程。该文档通过两个Powershell脚本来分别进行命令获取与执行,命令和执行结果都使用AES-256-CBC算法进行加密,通信使用HTTP隐蔽隧道,将加密后的数据隐藏在HTTP协议载荷部分传输。
Brute Ratel C4(BRC4)攻击框架TLS加密流量分析
Brute Ratel C4(以下简称BRC4)是是由Mandiant和CrowdStrike的前红队队员Chetan Nayak发布的工具包,用以替代因使用广泛而被安全公司重点防范的Cobalt Strike框架。BRC4没有提供漏洞生成特性或者漏洞扫描特性,但是使用了众多用于规避和检测EDR的技术,其外部 C2核心通信逻辑是将有效负载输出隐藏在合法网络流量中。
【观成科技】Shadow-TLS隐蔽加密通道工具技术分析
观成科技安全研究团队近期发现一款加密通信工具——Shadow-TLS。Shadow-TLS工作于客户端与服务端两种模式,利用TLS1.3协议、回放知名白网站流量等技术,在客户端和服务端间建立隐蔽加密通道,规避检测设备。
FakeTLS恶意加密流量分析
FakeTLS技术在较知名的几个APT组织中曾经有过使用。大致分为两类,一类是建立TCP连接,伪装整个密钥协商过程和加密数据交互过程;另一类是建立TLS连接,正常进行密钥协商过程,但是后续加密数据交互过程并不是密钥协商后的TLS连接,而是直接利用TCP连接进行伪装。本文所述的工具为第一类FakeTLS。此工具通过TCP连接伪装TLS的流量通信,按照TLS协议规范固定结构的硬编码和非固定结构的随机编码相结合,辅之以在Server Name扩展中填入知名网站,让流量看起来与正常的TLS通信极其相似。
攻防演练 | 隐蔽隧道怎么防?
在过去的一周,我们在攻防演练的实战现场发现多起隐蔽隧道攻击事件。攻击队完成初始打点后,通常会建立外联隐蔽隧道维持权限,并进一步通过横向移动最终获得靶标。隐蔽隧道具备如下特点:1、常见、冷门协议均可利用;2、数据加密方式多变,可深度定制、魔改;3、各种工具、脚本繁多,容易获得;上述特点导致隐蔽隧道千变万化,令防御方防不胜防,因此受到攻击队的青睐。
攻防演练 | 观成瞰云有效检出冰蝎4.0加密流量
知名Webshell管理工具“冰蝎”( Behinder)发布了4.0版更新,增加了诸多特性,如取消硬编码通信协议,传输协议完全自定义等。观成科技安全研究团队立刻针对新版冰蝎加密流量展开了研究。冰蝎4.0加密流量特征与3.0版相差比较大。首先是加密方式,客户端自带xor、xor_base64、aes、json和image等五种加密方式,每种加密方式都支持自定义加解密代码;其次是传输方式,冰蝎4.0引入了okhttp3客户端,因此HTTP协议交互、TLS协议交互与3.0的客户端也有显著不同。
SideWinder诱饵文档加密流量分析
近期获得一个SideWinder组织关联样本(MD5:267870d2a7deec193cf6c2b6926f0451)。我们对此样本及其产生的加密流量进行了简要分析。在此次攻击中,SideWinder组织伪造某国官方Office文档作为攻击的诱饵。诱饵文件利用CVE-2017-0199漏洞,通过HTTPS协议访问远程对象并直接执行代码,产生TLS加密流量。
一种使用TCP自定义加密通信的APT样本分析
为了确保通信安全和隐私以及应对各种窃听和中间人攻击,越来越多的网络流量被加密,然而,攻击者也可以通过这种方式来隐藏自己的信息和行踪。近期我们捕获了一个样本,此样本就是使用了加密通信,为了深入研究此样本的加密通信机制,接下来我们来逐层剖析它。
利用Follina漏洞网络攻击的加密流量分析
2022年5月27日,我们发现有安全研究人员公开了一个新的Office漏洞,称为Follina,由白俄罗斯的一个IP地址上传。该漏洞的原理是利用Microsoft Office将远程HTML页面作为OLE对象插入的功能,文档打开后将访问远程HTML页面并执行其中的代码,攻击者利用js代码将页面重定向,使其通过"ms-msdt:"协议访问URL链接,调用本地msdt.exe并传入攻击者构造好的参数,最终执行任意PowerShell代码。值得注意的是,该漏洞在宏被禁用的情况下仍可被利用,具有较大的安全隐患。
攻防演练场景中的加密流量检测技术
在对抗日益激烈、加密手段逐渐成为主流的今天,攻防演练场景中的加密流量也已逐渐成为主流,对加密流量检测的技术变得愈发重要。目前针对攻防演练场景的加密流量检测主要分为解密后检测和不解密检测两大类,传统的解密检测拥有可以直接将加密流量转化为明文后采用完善的传统手段继续检测的优势,但也有诸如性能耗损、隐私泄露以及可以解密的流量有限等缺点,基于上述问题,不解密检测的方法逐渐受到业界重视,本文将从不解密的前提下讨论加密流量检测技术。
新型Android APP注入工具产生恶意加密流量
最近在发现某新型Android APP注入工具,原理是通过MSF生成加密反弹Payload然后注入到目标apk里,在目标apk安装完毕运行后可连接到远程C2获取权限,造成较大安全隐患。长期以来,我们对类似的后门app进行了持续跟踪。例如MSF默认生成的Android apk,也可以实现类似的功能不过这款工具跟MSF相比,主要有以下几点优势:1.原始MSF生成的app程序只在桌面上有一个图标,点击后没有任何app界面。这款工具可以注入各类商业app,实现完全无感知的运行;2.原始MSF生成的app程序,安装时手机管家会有安全警示,这款工具注入后的app在安装时,手机管家不会有任何安全提示。
攻防演练场景下的加密流量概况
近年来,攻防演练持续开展,对抗烈度逐渐增强,攻防演练场景下的产生的加密流量也逐年增多。本文针对攻防演练场景下的加密流量进行大致梳理。攻防演练场景中,攻击者一般会经历初始信息搜集、初始打点、横向移动、命中靶标等几个阶段。在几个阶段中,均会产生不同的加密流量。根据加密流量的流向,我们将攻防演练场景下的加密威胁划分为出联,入联和横向三类。
【涨知识】SiMayRAT:利用云文档HTTPS加密传输的远控家族
近期,我们观察到SiMayRAT家族在2022年4月有所活动,SiMayRAT是一个远控家族,攻击者通过邮件鱼叉钓鱼方式将病毒植入到受害者后,病毒通过从云端下载第二阶段的控制代码执行,从而达到控制主机的目的。该家族的一个有趣的特点在于样本(MD5:d9b0afa3d0935c50591acb98487d111d)在此次活动中利用了某云文档进行恶意代码的中转。
Ghostwriter攻击活动中的加密通信
今年2月份,俄乌冲突爆发后,在物理战场之外,以俄乌为主的多方势力在网络空间也展开了激烈较量。3月初,在社交平台上,研究人员公开了一个针对乌克兰的攻击样本(MD5:2556A9E1D5E9874171F51620E5C5E09A)。随后,乌克兰CERT也发布通告,将该攻击样本归属于APT组织UNC1151,该组织疑似隶属于某东欧国家。
利用DoH技术加密传输的DNS隧道流量检测分析
DNS over HTTPS(DoH)由RFC8484定义,其目标之一是增加用户的隐私,通过 HTTPS 解析 DNS 查询。目前国外厂商如Adguard、Cloudflare、Google、Quad9等对公提供DoH服务,国内也有厂商陆续提供DoH服务。此外,也可以通过自建DoH服务器的方式进行DoH传输。以腾讯云DoH服务器(https://doh.pub/dns-query)为例,运用浏览器访问百度,同时进行抓包分析,结果如下:解密前,只能看到与DoH服务器间的TLS Application Data消息,数据被加密。
信息安全研究 | 基于机器学习多模型的SSL加密威胁检测技术研究和应用
目前超过60%的企业网络流量已被加密,通过监测分析发现,使用加密通信的恶意软件家族超过300种,所有恶意软件中使用加密通信占比超过40%,平均每天新增使用加密通信的恶意软件数量超过1000个,使用加密通信的恶意软件几乎覆盖了所有常见类型,如特洛伊木马、勒索软件、感染式,蠕虫病毒、下载器等。除了上述恶意程序外,各种主流的黑客工具也已全面转向加密。而像北美、东欧等顶级的APT组织,早在10年前就已经全面使用加密通信了。
Go语言木马加密通信分析与检测
据网络安全公司 Intezer 报告显示,恶意软件的开发者已经从 C 和 C++ 逐渐转向 Go 语言,自 2017 年以来,基于 Go 语言的恶意软件数量呈现爆发式增长,增幅超过了 2000%。预计Go的使用率在未来几年将持续上升,并与C、C++和Python一起,成为恶意软件编码的首选编程语言之一。Go语言木马的迅猛增长,与Go语言天然的开发优势有较强联系。与其他开发语言相比,Go的主要优势表现在:1.Go支持跨平台编译,开发者只需要编写一次代码,就可以编译出多个平台的二进制文件,包括Windows、Linux和Mac系统...
一张“鱼骨图”了解CCIA总决赛上的冠军产品
由中国网络安全产业联盟(CCIA)主办的“2021年网络安全优秀创新成果大赛”总决赛在国家网络安全宣传周期间举办,观成科技凭借创新产品“观成瞰云-加密威胁智能检测系统(ENS)”荣获一等奖。产品的技术创新性、领先性和实用性吸引了在座的专家评委及现场观众,其独创的“鱼骨图”加密流量检测设计更是点睛之笔。我们通过“鱼骨图”一起来探索观成瞰云-加密威胁智能检测系统(ENS)的独特之处。观成瞰云-加密威胁智能检测系统(ENS)综合运用人工智能和行为检测、规则检测、指纹检测等安全检测技术,解决了恶意加密流量检测难题。
加密威胁的变化趋势及应对策略思考
恶意加密流量、基于加密通信的攻击行为,近几年越来越多的行业客户开始关注,国内外的安全厂商、研究机构也纷纷入场开始研究、探索检测方案和产品化应用。实际上这类加密威胁不是一种新型的威胁,也谈不上未知威胁。加密威胁的发展历史,通过我们的研究总结起来可以归纳为三个阶段:一是早期顶级APT组织的应用。我们目前跟踪到最早使用加密通信技术的恶意家族,大概是20年前左右的某APT组织,并且加密的技巧较为复杂,这种加密技术放在当前,也能绕过绝大多数流量安全产品。
威胁加密通信方式的多样化带来的挑战
加密威胁流量检测与防御成了流量安全领域无法绕过的一道坎。在部分特殊场景下,可以对入联流量进行SSL/TLS卸载,然后进行明文审计,但这种方案无法有效应对出联的加密通信Shell、木马和恶意代理等威胁。另外有些恶意软件使用非SSL/TLS的其他加密通信方式,也带来了新的检测防御问题。通过搜集各知名APT组织、热门黑客工具以及典型恶意软件家族的样本,并对其通信模块、加解密方法等进行了大量逆向分析工作后,我们发现恶意软件使用加密通信的方式是多样的。
加密威胁检测:创新流量安全解决方案
观成科技作为创新型安全厂商,以加密流量检测为核心技术,公司坚持“自主研发、持续创新”,公司将人工智能、攻防技术和密码技术相结合,在国内首家推出针对加密流量AI安全检测、防御的创新型产品,产品已申请加密流量检测相关国家发明专利20余篇,应用在军工、网信、部委、央企等重要客户,并被多个央企、龙头安全企业选为合作伙伴。今日,国内影响力最大的网络安全专业媒体和旗舰智库刊登了对观成科技的牛品推荐,以加密威胁检测:创新流量安全解决方案为出发点进行了多维度点评。
恶意加密流量检测 | 观成ENS有效检出三款热门黑客工具(冰蝎、哥斯拉、CobaltStrike)
观成ENS系统(Encrypted Network-threaten Sensor,缩写ENS)是观成科技将机器学习与安全检测技术相结合,自主研发、具有完全自主知识产权的一款对恶意加密威胁进行有效检测与防御的创新型安全检测产品,目前已支持对冰蝎、哥斯拉、CobaltStrike产生的恶意加密流量进行有效检测。观成科技作为创新型安全厂商,以加密流量检测为核心技术,公司坚持“自主研发、持续创新”,公司将人工智能、攻防技术和密码技术相结合,在国内首家推出针对加密流量AI安全检测、防御的创新型产品,产品已申请加密流量检测相关国家发明专利20余篇。
AI检测引擎发布,有效应对恶意加密流量
全球互联网走向全面加密时代已经是大势所趋。但在加密访问可保障通讯安全的情况下,绝大多数网络设备对网络攻击、恶意软件等恶意加密流量却无能为力。攻击者利用SSL加密通道完成恶意软件载荷和漏洞利用的投递和分发,以及受感染主机与命令和控制(C&C)服务器之间的通信。Gartner预测:2019年,超过80%的企业网络流量将被加密,届时加密的流量中将隐藏超过一半以上的网络恶意软件。面对这一严峻形势,世界一流的安全厂商如思科、Redware,以及一些安全初创公司,纷纷开始研究针对加密流量的安全检测与防护手段,并先后发布了相应产品。
观成科技李波:基于加密威胁的检测和防御势在必行
在联想之星(上海)创业市集第3站——“网络安全新机遇”活动上,观成科技CEO李波介绍了观成科技基于AI的加密威胁检测产品及应用场景。观成科技是联想之星被投企业,是一家专注于加密威胁检测及防御的网络安全初创企业,曾在2019年3月发布国内首个专业针对恶意加密流量的AI检测引擎。观成科技成立之初就确立专注“加密威胁检测与防御”的方向。之所以选择这个方向,有以下几方面原因:一是需求驱动,通过这几年服务大量客户发现,加密威胁如何检测、防御是行业的一个痛点和难点;二是看趋势,随着加密技术的普及和意识的提高,特别是5G、物联网时代,加密应用会更加普遍,那么加密业务的安全保障一定是重中之重……
恶意软件加密通信概要分析
恶意加密流量是当前流量安全检测的痛点和难点。在未解密的情况下如何检测恶意加密流量,机器学习可提供颇为有效的解决方案。传统机器学习依赖于训练数据集和特征工程,而搜集的各类恶意加密流量种类繁多,且可能含有“杂质”,如果对这些数据不加区分,直接进行训练,将会影响模型检测的准确率和误报率。我们把些恶意加密流量分为三类:恶意软件使用加密通信、加密通道中的攻击行为、恶意或非法加密应用。本文主要针对“恶意软件使用加密通信”进行分析,接下来将从三个方面进行阐述:(1)恶意软件使用加密通信要素统计;(2)使用加密通信的恶意软件分类;(3)恶意软件加密通信方式分析。
京公网安备 11010802035481号