歡迎來到 黑吧安全網 聚焦網絡安全前沿資訊,精華內容,交流技術心得!

COMpfun繼任者Reductor可以修改TLS流量

來源:本站整理 作者:佚名 時間:2020-01-20 TAG: 我要投稿

2019年4月,研究人員發現一款入侵加密web通信流量的惡意軟件。通過分析該惡意軟件,研究人員發現惡意軟件的運營者可以對目標的網絡信道有一定的控制,并可以用受感染的安裝器來替換合法的安裝器。
因為一些樣本中有殘留的.pdb路徑,因此研究人員將這些模塊命名為Reductor。除了典型的RAT功能如上傳、下載和執行文件, Reductor的作者還再Reductor中加入了操作數字證書的功能,并可以用唯一的與host相關的id來標記出TLS流量。
Kaspersky研究人員發現該惡意軟件樣本與COMPfun木馬代碼有很高相似性。進一步研究后,研究人員認為該惡意軟件也是COMPfun作者開發的。
如何在不接觸流量的情況下標記TLS握手
惡意軟件在data section到目標主機之間添加了數字證書,允許運營者通過命名的管道來遠程添加額外的證書。惡意軟件開發者所用的方法非常巧妙,開發者分析了Firefox的源碼和chrome的二進制代碼來修復進程內存的偽隨機數生成函數。
瀏覽器用偽隨機數生成器PRNG在TLS握手的開始為網絡包生成client random序列。然后為受害者在client random域添加加密的唯一的基于軟件和硬件的id。為了修復系統的PRNG函數,開發者使用了有個潛入的Intel指令長度反匯編程序。


Reductor開發者分析Firefox和Chrome代碼
感染
為了區分所有TLS流量的握手,攻擊者首先有解密client hello域。也就是說攻擊者需要訪問目標的流量。Reductor惡意軟件本世沒有進行中間人攻擊。研究人員發現受感染的下載器是來從HTTPS warez站點下載的,但文件是通過未加密的HTTP下載的。這就使在下載過程替換文件成為可能。研究人員發現一些樣本的配置數據中含有非常流行的合法網站。研究人員并不認為這些網站已經被黑成為控制服務器了。
由于安裝器的下載站點目前已經無法下載了,因此研究人員懷疑下載器是在下載的網站上被感染的。但最近的樣本確認了原始的安裝器并沒有被感染,因此研究人員確信Reductor運營者對目標網絡信道有一定的控制,可以在傳輸過程中用受感染的惡意安裝器來替換原始安裝器。
Reductor特征
下面是研究人員總結的一些攻擊活動的特征:

攻擊者一共使用了2種方法來傳播Reductor。
在第一個攻擊場景中,攻擊者使用了含有 32位和64位Reductor的受感染的軟件安裝器。這些安裝器可能是下載管理器、office激活器等應用。
在第二個攻擊場景中,目標已經感染了COMpfun木馬,該木馬使用COM CLSID來實現駐留。在進入瀏覽器的地址空間后,木馬可以從C2接受命令來下載額外的模塊。因此,目標的瀏覽器就下載了Reductor定制的釋放器解密器。
TLS client random中的系統指紋哈希
Reductor在TLS包中加入了victim id(受害者id)。前4個字節的哈希值是用Reductor的數字證書構建的。每個哈希的初始值都是X509的版本號。然后是序列號與前4個字節異或的結果。運營者知道每個受害者的值,因為是用他們的數字證書來構建的。
第二個4字節的哈希值(hwid_hash)是根據目標硬件特性生成的,包括SMBIOS日期和版本、Video BIOS日期和版本,以及硬件驅動ID。運營者也知道每個受害者的值,因為該值將用于C2通信。生成的定制的16字節結構是用來欺騙原始的PRNG生成的值的,如下所示:

后3個域是用第一個4個字節(初始PRN XOR key來加密的)。在每一輪中,XOR key會隨著MUL 0x48C27395 MOD 0x7FFFFFFF算法來變化。因此,生成的字節是偽隨機的,但是其中有加密的唯一host ID。
更多技術細節參見:https://securelist.com/compfun-successor-reductor/93633/
安裝的數字證書
Reductor樣本的.data section中有DER編碼的root X509V3證書來加入到目標主機中。惡意軟件還可以通過命名通道來獲取其他證書。


Reductor惡意軟件中解碼的X 509v3證書
C2通信
所有的C2通信都是在單獨的惡意軟件線程中處理的。Reductor會發送HTTP POST青島到配置文件中C2列表中的 /query.php腳本中。POST請求中含有目標的AES128加密的唯一硬件ID。C2會返回以下加密的命令:

結論
研究人員懷疑 Turla是該惡意軟件攻擊背后的運營者。Reductor以一種不用分析網絡包的方式標記了主機中加密的TLS流量,這是之前的惡意軟件中沒有遇到過的。該攻擊活動的受害者分布與之前的Turla組織攻擊活動的受害者分布是一致的。
研究人員在分析的樣本中并沒有發現中間人攻擊的功能。但Reductor可以安裝數字證書,并標記目標的TLS流量。使用受感染的安裝器來進行初始感染。但下載安裝器的原始網站并沒有被感染,因此研究人員認為攻擊者是對流量進行了操作和修改。
 

【聲明】:黑吧安全網(http://www.650547.live)登載此文出于傳遞更多信息之目的,并不代表本站贊同其觀點和對其真實性負責,僅適于網絡安全技術愛好者學習研究使用,學習中請遵循國家相關法律法規。如有問題請聯系我們,聯系郵箱[email protected],我們會在最短的時間內進行處理。
  • 最新更新
    • 相關閱讀
      • 本類熱門
        • 最近下載
        安徽快3自由的百科 深圳风采一等奖多少钱 泳坛夺金通选中奖规则 浙江福彩6 1开奖结果 福建31选7第20023期 广西快乐十分玩法技巧 快乐扑克 快乐飞艇官方下载 为什么要发股票 决定股票涨跌的因素 排列七开奖规则