乐鱼体育(中国)网站可以获得密钥、域名、注册表
来源:乐鱼体育(中国)官方网站 发布时间:2022-07-09

  样本采用 TCP 自定义加密通信,IP 为域名(解析成功后得到的 IP,端口为 5832。

  样本使用 TCP 自定义加密通信,通信成功会首先进行身份校验、乐鱼体育(中国)官方网站然后解析数据中的指令码,根据指令码的不同执行不同的功能,其中有一个高危的功能,通过匿名管道的方式实现远程可交互式 CMD,CMD 执行的命令和执行结果(回显)在通信流量载荷中加密传输。

  获取电脑系统信息、磁盘盘符、文件信息、进程信息以及 TCP&UDP 表的信息,(具体的发送格式以及指令功能见文章末尾的发送数据包结构一览表)并且将加密后的数据拷贝到发送缓冲区中。然后将拼接好的数据与密钥做加密操作,并将获取的信息按照不同的格式拼接,

  解密操作就是由硬编码得到的密钥和数据进行按位异或,返回的数据包也是这种方式加密的。

  将样本记录的硬编码字符串的每一个字节加 0x23,可以获得密钥、乐鱼体育(中国)官方网站域名、注册表键

  为了防止单次会线 个字节相同而出现规律性,会在校验前先获取有效的传输数据即移除填充数据,找到数据中与同一次会话的标志值相同的数据的位置,乐鱼体育(中国)官方网站这也算是第一次校验。

  每次对接收的数据的校验方式如上表。第一次连接或者重新连接的数据包的前 5 个字节的值作为会话 ID。

  为了确保通信安全和隐私以及应对各种窃听和中间人攻击,越来越多的网络流量被加密,然而,攻击者也可以通过这种方式来隐藏自己的信息和行踪。近期我们捕获了一个样本,此样本就是使用了加密通信,为了深入研究此样本的加密通信机制,接下来我们来逐层剖析它。

  接收数据的第 8、9 字节的值是样本的指令码,根据不同的指令执行不同的操作。

  样本使用 TCP 协议传输数据,TCP 载荷部分使用自定义加密协议,并且协议格式中含有身份校验位,只有校验通过才解析后面的内容,不通过则继续接收数据。