大多数时候,恶意软件在窃取到数据之后,需要连接自己的远端服务器回传数据,但需要解决两个问题,1当前环境是否可以连接互联网;2怎么隐藏自己的服务器地址,避免被抓到;3如何加密回传的数据,避免被人半路劫道。
第一个问题简单,尝试连接一下互联网的服务就行,当然不能直接连接自己的服务器地址,不然就被抓到
我们这里要说的是第二个问题,一些低端的恶意软件,可能会在源代码里将C&C服务器的IP地址进行硬编码,高级点的则会使用动态域名生成算法(DGA),来隐藏C&C服务器的真实IP地址。
但Palo Alto Network公司研究人员,在某些样本中发现黑客使用了一种有意思的新方法,用密码本隐藏恶意软件的C&C服务器地址,并用这个特征找到了看起来不相关的两个恶意软件。
CONFUCIUS“孔夫子”恶意软件的密码本
要说,还是中国的学问博大精深,黑客不仅学着中国江湖黑话,也给这恶意软件起了个中国名字叫做CONFUCIUS(孔夫子)。研究人员表示,他们没有发现恶意软件源代码里存在异常的域名/IP地址,也没有在其中发现复杂的动态域名生成算法。
然而,他们很快意识到,恶意软件对应的C&C服务器地址可能是通过合法网站进行获取的。
事实证明他们的猜测是对的,这两个恶意软件会向知名的网站发起查询,比如发送请求给雅虎和Quora(某著名问答社区)。
啥叫切口黑话
黑话,是在中国封建社会时期,民间社会各种集团或群体,特别是秘密社会,自出于各文化习俗与交际需要,而创制的一些以遁辞隐义、谲譬指事为特征的隐语。 当前由于网络的发展,一些网络用语也被称为“网络黑话”。
恶意软件玩的密码表游戏
研究人员表示,这两个恶意样本采用了不同的获取方式。CONFUCIUS_A,也就是第一个样本,它会访问雅虎或者Quora特定的某些页面,然后试图寻找两个特定标记/关键词之间的内容,这些内容中会含有四个以上的单词。
在下面这个例子里面,这段内容的开头是用 suggested options are 开头,用 hope it will help ,中间的内容 “ fill plate clever road house ” 就是ip地址
研究人员在恶意软件源代码里面找到一个密码映射表,在这个密码本里面,用上面的那两个特殊标记作为开头,之后加上255个单词,每个单词都对应一个数字,例如prudent对应255。用这个方法,就可以从quora的问答文字里面找到并翻译出对应的C&C服务器IPv4地址。在这个例子里面, fill plate clever road house 翻译过来的地址是 91.210.107[.]104
小编:黑客故意在4段地址中加了一个点,不知道是什么特殊含义
CONFUCIUS_A样本中的密码本
向C&C服务发送的Http请求头部
另外一个“孔夫子”的春秋
黑客现在Quora上做好这篇问答,他的C&C的地址就写在这篇文档里面。 当然这篇问答一般都是用一段时间就删除了,你是找不到的。
在恶意软件样本里面是这样写的。怎么样,看起来是不是向江湖的黑话、切口?
大家找到规律了吗? 对应的密码本就是这样的
| love | 0 |
| hate | 1 |
| fire | 2 |
| couple | 3 |
| green | 4 |
| weed | 5 |
| block | 6 |
| party | 7 |
| natural | 8 |
| hopeful | 9 |
| or | . |
Quora是什么
Quora是一个问答SNS网站,由Facebook前雇员查理·切沃(Charlie Cheever)和亚当·安捷罗(Adam D’ Angelo)于2009年6月创办。在2009年12月推出测试版,随后在2010年6月21日向公众开放。2010年3月,Quora得到基准资本公司的创业资金,估价高达8600万美元。2012年5月, Quora在B轮筹资中募集了五千万美金。
国内与之类似的站点应该就是 知乎
黑客为什么要用Quora作为密码本?
就像当年特工们喜欢用圣经作为密码本一样,小编揣测可能有这么几个原因
- Quora全球大部分地区都可以访问且访问比较稳定
- 问答内容审核比较宽松
- 页面内容较为简单,比较容易追踪分析
- 黑产交易中的寻求,一个问一个答,像不像谍战片?
- 纯属黑客自己的喜好
网络间谍活动中的恶意软件 “听风者”们正在破译它们的密码
恶意软件用密码本隐藏自己的IP地址及通信活动,安全公司则成为“听风者”不断破译它们的密码。
Palo Alto的研究人员表示,这类用文字游戏去拼凑IP地址的法子,很可能是同一个或者同一批恶意软件作者撰写的后门。
CONFUCIUS_A的样本是由Rapid7在2013年巴基斯坦官员被攻击时发现的。这种攻击手法被称为SNEEPY,或者ByeByeShell,被攻击者的数量在2014年初开始下降。
而CONFUCIUS_B样本则是与Operation Patchwork和The Hangover Report有关,其针对的大多数是印度的邻国。
研究这些网络间谍事件的公司表示,这些攻击很可能来自于印度的某股势力。
