主動激活木馬加密流量分析

一概述在網絡攻擊中，木馬病毒通常會使用監(jiān)聽某個端口的方式，或者直接連接C2地址、域名的方式來建立通信，完成命令與控制。而APT攻擊中，攻擊者為了更高級的潛伏隱蔽需求，其部署的木馬或后門，會采用對網卡流量進行過濾的方式，獲得一定的通信信令才會觸發(fā)執(zhí)行實際的攻擊，這一部分的活動稱為流量激活。本文以一個正常的端口敲擊應用Knock和ATT&CK中“TrafficSignaling”章節(jié)提到的幾類家族來了解流量激活的幾種常見方式。二正常應用的激活流量Knock是一個用于端口激活的敲門工具。為了保護SSH端口不暴露在攻擊者面前，系統管理會使用Knock配合防火墻來執(zhí)行SSH服務的開放策略。Knock在平常的時候關閉ssh服務和端口，外部無法掃描到端口開放。在運維人員需要訪問SSH服務的時候，通過端口敲擊序列，Knock在特定時間內，連續(xù)收到設置的端口序列流量，則會觸發(fā)開啟SSH服務，從而使得外部可以訪問。如下方截圖例子中，對TCP和UDP分別發(fā)送目的端口7000、8000、9000的敲擊流量，目的IP接收到這三個端口序列則會開啟SSH服務。這部分的流量就是SSH服務的激活流量。圖1knock激活觸發(fā)

圖2TCP的端口激活流量圖3UDP的端口激活流量四APT中的流量激活ATT&CK中“TrafficSignaling”章節(jié)中提到了提到了8個家族的流量激活，分別是Chaos、Kobalos、Pandora、Penquin、Ryuk、SYNfulKnock、Umbreon、WinntiforLinux。chaos木馬

Chaos是一個linux后門木馬。木馬運行后，會創(chuàng)建一個TCP的Socket，讀取過濾網卡數據，校驗數據包內容是否與特定字符串一致。一旦傳入的數據存在特定字符串，則會向對方的8338端口發(fā)起通信請求，進行下一步的密鑰協商和執(zhí)行后續(xù)動作。本次樣例中的特定字符串值為“j0DtFt1LTvbIU”?？梢钥吹紺haos木馬是通過檢查TCP的傳入數據，是否包含特定字符串完成的流量激活。

圖4Chaos木馬的激活圖5TCP激活Kobalos木馬

Kobalos是一個SSH后門。該后門在運行后，開啟流量監(jiān)聽，等待來自源端口55201的流量，只有符合源端口為55201的SSH連接才會觸發(fā)下一階段建立與C2通信的TCP通道。

圖6監(jiān)聽源端口55201圖7來自55201端口的激活Panora木馬

根據TrendMicro的分析報告，Panora的每個樣本都有Token值，并存放到注冊表中，樣本執(zhí)行流量捕獲，只有當接收到HTTP協議格式的數據，且數據與注冊表中Token值一致的時候才會執(zhí)行命令。該木馬在樣本中解析HTTP格式使用了開源的HTTP解析組件。

圖8Trendmicro報告提供的Token值圖9HTTP激活模擬Penquin木馬

Penquin，屬于Tular組織的木馬。在木馬啟動運行后，開啟網卡監(jiān)聽，檢查網卡接收到的數據包TCP包頭中的ACK編號，或者UDP協議數據包載荷中的第二個字節(jié)。如果收到這樣的數據包并且匹配成功，則視為成功激活，執(zhí)行流程將跳轉到數據包有效負載內容，執(zhí)行后續(xù)操作。示例如下：Filter=(tcp[8:4]&0xe007ffff=0xe003bebe)or(udp[12:4]&0xe007ffff=0xe003bebe)

圖10對TCP協議ACK值的檢查圖11對UDP協議載荷部分的檢查

Ryuk木馬

Ryuk，勒索軟件家族。該樣本具備正規(guī)的數字簽名，樣本運行后為了擴大勒索訪問，會訪問系統的ARP表。如果ARP表中存在局域網段列表，則Ryuk將向ARP列表中設備的MAC地址發(fā)送一個網絡喚醒(WoL)數據包以啟動設備。此WoL請求以包含“FFFFFFFFFFFFFFFFFF”的特定數據的形式出現。網絡喚醒（Wol）是一種系統支持的喚醒功能，屬于正常的應用，在此處勒索軟件使用了這種喚醒來獲得更多的失陷主機，擴大勒索范圍。

圖12網卡支持喚醒功能圖13Wol數據包SYNfulKnock木馬

SYNfulKnock是路由器固件木馬，木馬運行后接收特定的數據完成激活。該數據包為TCPSYN握手包。數據包發(fā)送到感染的路由器的端口80上。SYN包需要滿足幾個條件：序列號和ACK之間的差值必須設置為0xC123D。ACK號不為0。TCP選項：“020405b40101040201030305”緊急指針設置為0x0001。

圖14SYN校驗Umbreon木馬

反向shell連接木馬，該木馬存在一個同名的開源項目，以該開源項目為例子進行說明。木馬接收TCP協議流量，檢查流量中的ACK和序列號，是否符合程序中硬編碼的值，下圖示例代碼SEQ=0x00C4、ACK=0xC500。只有滿足的情況下，才會開啟反向shell連接。這種驗證激活與上述提到的SYNfulKnock有點類似，不過顯然SYNfulKnock的條件更苛刻，需要進行運算，且有一定變化。圖15項目中的MAGIC定義

圖16TCP檢查WinntiforLinux木馬

Winnti木馬的激活，國外安全研究員Thyssenkrupp提供了探測腳本，對其進行分析可以看到，初始的請求TCP協議載荷由四個DWORD組成，前三個由Rand()函數生成，第四個是根據第一個和第三個計算的。當受Winnti感染的主機收到時，它將驗證接收到的數據包并偵聽包含任務的第二個入站請求。第二個請求（獲取系統信息請求），該協議使用四字節(jié)XOR編碼。Winnti將在執(zhí)行任務之前驗證第三個DWORD是否包含特征字0xABC18CBA。

圖17國外安全研究員Thyssenkrupp提供的探測包示例四總結從以上幾個示例可以看到木馬病毒的激活具有多種方式。總結各類激活方式的特點如下：影響多個平臺：包含windows、linux及各類路由器操作系統等。激活協議多樣：包含TCP、UDP、HTTP等，除了以上舉例，在實際的分析中，也有ICMP、偽造TLS協議等。激活位置多變：如協議格式、協議頭部、端口、載荷