近日,腾讯安全联合实验室旗下反病毒实验室的哈勃分析系统,发布了《六月威胁情报态势报告——DarkComet恶意网络协议篇》(以下简称《报告》)。《报告》显示,哈勃分析系统对六月捕获到的威胁情报进行协议解析后发现,DarkComet是按恶意网络协议分类后最为活跃的木马,该木马以最新版本的变种为主,服务器主要分布在土耳其和俄罗斯。
(六月DarkComet木马趋势变化图)
据了解,DarkComet木马诞生于2008年,又称“暗黑彗星”木马,是国外有名的后门类木马(也被称为RAT,Remote Access Tool)。木马运行后可执行大量的恶意行为,不仅记录并上传受害者输入的密码、摄像头的内容等隐私信息,还可根据服务器的指令执行下载文件、启动程序、运行脚本等控制操作,甚至还能以被控制的电脑作为跳板,对其它目标发起DDoS等网络攻击。2012年,木马作者停止了对于这款木马的更新,最新版本停留在5.4.1。
(DarkComet木马与服务器通信协议示例)
《报告》指出,木马在使用恶意网络协议与C&C服务器进行通信的过程中,最显著的特征存在于收发的网络数据包之中。由于协议规定了数据包的内容和格式,只有满足这些规范的数据包,才能被网络通信的另一方解码,将信息和指令顺利地传递过去。而DarkComet木马在与服务器进行通信时,所有的数据均会使用RC4算法进行加密和解密。当木马和服务器使用同样的密钥时,就能互相接收对方的消息,在加密算法的保护之下,木马和服务器会使用预定义的命令字进行通信和交流。
命令字 含义 IDTYPE 握手包 SERVER 握手确认包 GetSIN 请求机器信息 infoes 发送机器信息 QUICKUP 传输文件 DESKTOPCAPTURE 捕捉屏幕 GETMONITORS 请求显示器信息 #KEEPALIVE# 心跳包
(DarkComet协议常用命令示例)
《报告》显示,根据网络包特征匹配对应的密钥,发现目前活跃的DarkComet木马以最新版本为主。
密钥 加密后数据 #KCMDDC2#-890 8EA4AB05FA7E #KCMDDC2#-8900123456789 C4A6EB42FC74 #KCMDDC4#-890 B47CB892B702 #KCMDDC4#-8900123456789 00798B4A0595 #KCMDDC5#-890 1164805C82EE #KCMDDC5#-8900123456789 2ECB29F71503 #KCMDDC51#-890 BF7CAB464EFB #KCMDDC51#-8900123456789 DACA20185D99
(DarkComet常见默认密钥及对应加密数据)
哈勃分析系统在分析DarkComet木马连接的C&C服务器情报时发现,目前活跃的木马基本都会使用动态域名作为服务器域名使用,其中DarkComet木马使用到的动态域名以“ddns.net”和“duckdns.org”为主,占比超过了50%。
(DarkComet木马使用动态域名分布)
此外,通过解析域名对应的IP,进一步定位C&C服务器的地理位置发现,土耳其是DarkComet相关C&C服务器数量最多的国家,占到总量的30.2%,其次是俄罗斯和美国。
(DarkComet木马C&C服务器分布Top10国家)
根据《报告》结果,哈勃分析系统建议用户,始终从正规网站或官方网站下载和使用软件,不要轻信小型网站、网盘分享的文件,也不要轻信群、论坛等社交渠道推荐的软件,对于不放心的软件,可以使用哈勃分析系统(https://habo.qq.com/)对其进行检测,及时发现风险。此外,可安装并使用安全类软件,并随时留意保持其处于可用状态,例如开启必要的安全防御措施、及时更新版本等,还可以配合使用一些防火墙类软件,对于符合已知的恶意网络协议特征的网络数据包进行监控和拦截。
(哈勃分析系统首页)