1
2
图 2‑1 KSRAT执行过程
3
3.1 心跳包
样本执行后,使用HTTP协议与服务器进行通信,每隔30秒左右向服务器发送心跳包,心跳包构造为“8字节通信标识符+13字节固定数据+8字节随机数据长度+随机数据+9字节固定数据”。心跳包中的数据通过XOR算法进行加密,密钥为“p@sswor!kS@mk$y”。
图 3‑1 KSRAT心跳包
图 3‑2 心跳包数据结构
图 3‑3 解密后的心跳包
3.2 控制指令包
图 3‑4 控制指令-上传系统信息
图 3‑5 xor加密控制指令包数据结构
图 3‑6 上传系统信息指令0x03
图 3‑7 上传进程ID指令0x14
图 3‑8 下发指令
图 3‑9 “XOR+AES”加密的控制指令包结构
图 3‑10 解密后的CMD指令“tasklist”
3.3 数据回传包
图 3‑11 上传系统信息
图 3‑12 XOR解密后的系统信息
图 3‑13 上传的加密数据
图 3‑14 解密后的进程ID 0x0B40
图 3‑15 加密的上传数据与解密后的进程列表
4
图 4‑1 观成瞰云(ENS)-加密威胁智能检测系统检测结果
5
近年来,越来越多的APT组织开始使用Go、Rust、Nim和DLang等编程语言开发攻击工具,这些语言本身具有一定的混淆效果,能够有效规避杀软检测并阻碍安全分析工作。海莲花组织采用Rust语言实现KSRAT远控木马,并去除了样本中AES加密算法的特征,显著降低了研究人员的分析速度。KSRAT在通信上别具匠心,每个样本使用了不同的URL,并且在URL中掺杂了随机字符,以避免流量检测系统通过URL识别其恶意流量。然而,自2023年至今,KSRAT并未改变其心跳包的XOR密钥和数据结构。尽管心跳包长度因随机数据填充而变化,但由于固定数据和固定密钥的存在,使得心跳包请求体中的特征依然明显,可通过特征值直接检测。未来,海莲花可能会更新其XOR密钥来隐藏其心跳包特征,规避流量检测。观成科技安全研究团队将持续关注并更新其检测策略,以有效应对这一网络威胁。
来源:北京观城科技
请联系:15710013727(微信同号)
原文始发于微信公众号(信息安全与通信保密杂志社):行业研究|海莲花活跃木马KSRAT加密通信分析
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论