欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

Kronos恶意软件研究(part 2)

来源:本站整理 作者:佚名 时间:2017-09-04 TAG: 我要投稿
46.175.146.50
46.172.209.210
47.188.161.114
74.109.250.65
77.122.51.88
77.122.51.88
89.25.31.94
89.185.15.235
91.196.93.112
176.32.5.207
188.25.234.208
109.121.227.191
经由进程对C&C服务器收集通讯流量的阐发,咱们察看到歹意软件每次都经由进程connect.php这个php文件与C&C服务器停止通讯,并附带一个可选参数a:
connect.php-初始信标
connect.php?a = 0向C&C发送数据
connect.php?a=1从C&C下载设置装备摆设文件
C&C治理后盾
在网上咱们找到了透露的C&C治理后盾代码,这个发明可以或许让咱们对Kronos歹意软件有更进一步的懂得。像大多数歹意软件治理后盾异样,Kronos治理后盾应用PHP编写,并应用MySQL数据库,涉及到的文件以下图所示:
 

事实证明,bot法式总共有三个敕令:
a=0 :发送抓取的页面内容
a=1 :获得设置装备摆设文件
a=2 :发送记载的窗口
下图是治理后盾代码的一个代码片断(具体完成位于connect.php文件中),该php文件卖力剖析和存储相应敕令上传的数据。
#0敕令(a=0):
 

#2敕令(a=2):
 

#1敕令(a=1):
 

咱们还可以或许非常清楚地看到C&C服务器应用CBC情势的AES加密算法对设置装备摆设文件停止加密,且加密密钥是BotId的md5值的前16个字节。
 

但是,AES并非Kronos所应用的独一加密算法。其余敕令在ECB情势下应用BlowFish加密算法:
#0敕令(a=0):
 

#2敕令(a=2):
 

在一切情况下,都有一个名为UniqueId的变量用作加密算法的密钥。实在,UniqueId变量便是BotId,该变量值在每一个POST哀求中颠末XOR编码后被发送进来。
 

你可以或许在这里找到相应的Python剧原来解码相应的哀乞降相应:
https://github.com/hasherezade/malware_analysis/tree/master/kronos
Kronos歹意软件还支撑插件功效,以扩大其核心功效:
 

解密通讯流量
在剧本法式(可以或许在这里下载)的赞助下,咱们可以或许解密Kronos bot和C&C服务器之间通讯的收集流量,具体以下所述:
1.BotId
因为BotId被用作加密算法的加密,是以咱们起首必要获得BotId变量的值,咱们在bot法式发送给其C&C服务器(74字节长)的哀求中可以或许找到它:
 

转储哀求后,咱们可以或许应用以下剧本对其停止解码:

./kronos_beacon_decoder.py --infile dump1.bin
解码输出成果中包括了以下两个字段:
1.设置装备摆设文件的哈希值(假如今朝没有设置装备摆设文件,这部分将填写“X”字符)
2.BotId
比方:

XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX {117BB161-6479-4624-858B-4D2CE81593A2}
是以,上图中的BotId便是{117BB161-6479-4624-858B-4D2CE81593A2}。
2.设置装备摆设
获得BotId以后,咱们可以或许用它来解密设置装备摆设文件,设置装备摆设文件位于a=1哀求的相应报文中:
 

下图是一个哀求示例:
 

在转储相应以后,咱们可以或许应用另一个剧本停止解码,给出BotId作为参数:

./kronos_a1_decoder.py --datafile dump2.bin --botid {117BB161-6479-4624-858B-4D2CE81593A2}

上一页  [1] [2] [3]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载