暗处的隐秘者,DeimosC2大揭秘

admin 2022年12月30日10:18:52评论72 views字数 2987阅读9分57秒阅读模式
暗处的隐秘者,DeimosC2大揭秘


工具名称:

DeimosC2

威胁类型:

黑客工具

简单描述:

DeimosC2 是一款后渗透框架,该框架拥有远控、上传下载指定文件、获取主机密码等功能,且具有稳定、易用、支撑性强等特点。该工具曾被利用传播勒索软件。


工具分析

暗处的隐秘者,DeimosC2大揭秘

1.工具介绍

近期,深信服深盾终端实验室在运营工作中发现了一个恶意文件,经分析该恶意文件从属于 C2 工具 DeimosC2。DeimosC2 是一款开源渗透框架,不仅提供了经典的 C2 框架功能,还提供了一个可视化用户界面,这一点与 Cobalt Strike 较为相似。DeimosC2 虽潜力不俗知名度却较低,当前主流防御软件的目光并未聚焦于该框架,故大多未能有效检出,因此受到犯罪分子的关注。2022年7月,该工具被指出与美国境内活跃的勒索软件 MedusaLocker、Karma 的传播存在关联。

暗处的隐秘者,DeimosC2大揭秘

2.工具分析

Agent启动


默认将 DeimosC2 生成的可执行二进制文件称为 Agent,当一个 Agent 启动时,会判断当前时间是否在允许运行时间内,若不在,则休眠至指定时间。随后根据获取的 Agentkey 值判断(初始默认密钥为000000000000000000000000000000000000),是初始化获取系统信息,还是执行已下达的命令。


暗处的隐秘者,DeimosC2大揭秘


若是第一次启动该 Agent ,则先连接硬编码的通信地址,随后收集受害主机信息并启动对应系统的 shell。如收集 OS 类型、主机名称、本地 IP、AgentPath 等信息;通过收集的 OS 信息进行判断,Windows 启动 cmd、powershell,Linux 启动 bash、sh。这里也会判断当前用户是否为管理员,最后将获得的信息与 shell 发送至 C2。


暗处的隐秘者,DeimosC2大揭秘
暗处的隐秘者,DeimosC2大揭秘


随后随机生成一个256位的 AesKey,将信息由 AES 加密后发送,并在 Agent 接收下一次 C2 的命令时,使用该 AesKey 解密信息,并生成一个可唯一识别该 Agent 的 AgentKey。


暗处的隐秘者,DeimosC2大揭秘


若不是第一次启动该 Agent,即 C2 端下发相应指令给 Agent,Agent 会根据下发的指令内容对主机进行命令执行。在执行命令时,会给当前队列赋予互斥锁,在命令完成后释放,保证线程的完整运作,但会舍弃一部分的性能作为代价。


暗处的隐秘者,DeimosC2大揭秘


指定动作执行完毕时,会依据抖动延时延后接收下一次指令的时间,并依据变量 eol 判断是否销毁该 Agent。


C2命令下达


攻击者可对上线主机执行命令,在 DeimosC2中被称作 Jobs。DeimosC2 使用多段 case 执行下达的命令。


暗处的隐秘者,DeimosC2大揭秘
暗处的隐秘者,DeimosC2大揭秘


攻击者可以在目标主机上执行各类模块及其扩展功能。Module同样作为一个命令处在 Jobs 中。


暗处的隐秘者,DeimosC2大揭秘


在运行模块功能时会先判断 RPC 是否开启,由于在代理启动时,指定端口并不会立即启动,所以在至少调用一个模块前不会启动 RPC 服务器。故当第一次使用模块功能时,将启动 RPC 服务器,此时随机启动一个端口以运行 RPC Server(当前版本v1.1.0-Beta固定为1234)。


暗处的隐秘者,DeimosC2大揭秘


在模块中,Minidump 是针对 Windows 最为常用的密码获取手段。Minidump 主要用于 dump lsass 进程,以获取明文登陆密码。DeimosC2 所使用的 minidump 方法也较为常规,首先默认 dump lsass 进程,使用 lsassparse.py 对 lsass 进程进行分析,以 json 格式取出各个参数的值。


暗处的隐秘者,DeimosC2大揭秘


随后将取出的内容以 json 格式保存,最后将 lsass 的 json 数据发送给 loot 句柄,以成功抢掠 lsass 内部的密码数据。


暗处的隐秘者,DeimosC2大揭秘


通信流量


在 Agent 中可内置 C2 域或 IP 地址(在监听器中设置)。Agent 与 C2 服务器交流信息时,存在三个不同的密钥对信息进行加密,分别是代理密钥(AgentKey)、AES 密钥、RSA 密钥。

代理密钥是标识一个 Agent 的唯一密钥,初始被默认设置为000000000000000000000000000000000000。AES 密钥在每次 Agent 与 C2 侦听器对话时随机产生,用于加密二者之间交换的信息。RSA 密钥用于加密 Agent 与 AES 密钥。Agent 使用硬编码的公钥(AgentKey)加密其他密钥,当侦听器接收信息时使用私钥解密数据。私钥会在侦听器生成时同时生成,且头部为 MIIEpAIBAAKCAQEA 不变。最后,从 Agent 发送到 C2 的消息均以 json 形式传输。

暗处的隐秘者,DeimosC2大揭秘

在 DeimosC2 的几个通信代理中,TCP 的通信特征最为明显。DeimosC2 创建 TCP 侦听器时,采用 go 函数创建数据包并发送到已创建的套接字。且在传输数据时,以数据长度+加密数据的格式进行信息传输。


暗处的隐秘者,DeimosC2大揭秘

由于调用 uint64,创建的数据长度会是64位无符号整数,且一开始将数据的长度以8 字节展示,由此就形成了数据部分有8个字节表示数据长度,随后紧跟传输的加密数据。在 TCP 通信流中,大多数数据包长度为350字节,数据部分长度为296字节。

暗处的隐秘者,DeimosC2大揭秘

通过实践得出大部分通信数据为296字节,并以数据长度(8字节)+加密数据的格式,可推算出真正的加密通信数据长度为288字节,再转换成16进制为0120,即可推出前8字节为00 00 00 00 00 00 01 20。

IOCs

Windows版本
E3ABDFE4E584C85F82465307518D0DC0


Linux版本

30CBFE2288B3D652DADBEA308E19D50D


Mac版本
C36257757E0DE6F3798285E9071B49D1

解决方案

暗处的隐秘者,DeimosC2大揭秘

1.处置建议

1. 避免将重要服务在外网开放,若一定要开放,需增加口令复杂度,避免使用弱口令。

2. 避免打开可疑或来历不明的邮件,尤其是其中的链接和附件等,如一定要打开未知文件,请先使用杀毒软件进行扫描。

3. 安装信誉良好的防病毒/反间谍软件,定期进行系统全盘扫描,并删除检测到的威胁,按时升级打补丁。

4. 使用官方和经过验证的下载渠道,使用正版开发人员提供的工具/功能激活和更新产品,不建议使用非法激活工具和第三方下载器,因为它们通常用于分发恶意内容。

暗处的隐秘者,DeimosC2大揭秘

2.深信服解决方案

【深信服终端安全管理系统EDR】已支持查杀拦截此次事件使用的病毒文件,请更新软件(如有定制请先咨询售后再更新版本)和病毒库至最新版本,设置相应的防护策略,获取全方位的勒索防护


暗处的隐秘者,DeimosC2大揭秘

【深信服检测响应平台XDR】已支持检测该新型木马的恶意行为,请更新软件(如有定制请先咨询售后再更新版本)和IOA规则库、IOC规则库至最新版本,设置相应的检测策略,获取全方位的高级威胁检测能力;

【深信服勒索理赔服务】深信服与专业保险机构联合推出针对勒索病毒的理赔服务,为客户快速解决勒索赎金损失,尽快恢复数据和业务,降低勒索的影响和业务。

【深信服下一代防火墙AF】的安全防护规则更新至最新版本,接入深信服云平台,“云鉴” 服务即可轻松抵御此高危风险。

【深信服安全感知管理平台SIP】建议用户及时更新规则库,接入云图,并联动【深信服下一代防火墙AF】实现对高危风险的入侵防护。

【深信服安全托管服务MSS】以保障用户网络安全“持续有效”为目标,通过将用户安全设备接入安全运营中心,依托于XDR安全能力平台和MSSP安全服务平台实现有效协同的“人机共智”模式,围绕资产、脆弱性、威胁、事件四个要素为用户提供7*24H的安全运营服务,快速扩展持续有效的安全运营能力,保障可承诺的风险管控效果。

暗处的隐秘者,DeimosC2大揭秘


原文始发于微信公众号(深信服千里目安全技术中心):暗处的隐秘者,DeimosC2大揭秘

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年12月30日10:18:52
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   暗处的隐秘者,DeimosC2大揭秘https://cn-sec.com/archives/1488172.html

发表评论

匿名网友 填写信息