DarkComet木马协议成最多恶意网络协议
作者:星期五, 七月 29, 20160

近日,腾讯安全联合实验室旗下反病毒实验室的哈勃分析系统,发布了《六月威胁情报态势报告——DarkComet恶意网络协议篇》(以下简称《报告》)。《报告》显示,哈勃分析系统对六月捕获到的威胁情报进行协议解析后发现,DarkComet是按恶意网络协议分类后最为活跃的木马,该木马以最新版本的变种为主,服务器主要分布在土耳其和俄罗斯。

六月DarkComet木马趋势变化图

 

六月DarkComet木马趋势变化图

据了解,DarkComet木马诞生于2008年,又称“暗黑彗星”木马,是国外有名的后门类木马(也被称为RAT,Remote Access Tool)。木马运行后可执行大量的恶意行为,不仅记录并上传受害者输入的密码、摄像头的内容等隐私信息,还可根据服务器的指令执行下载文件、启动程序、运行脚本等控制操作,甚至还能以被控制的电脑作为跳板,对其它目标发起DDoS等网络攻击。2012年,木马作者停止了对于这款木马的更新,最新版本停留在5.4.1。

DarkComet木马与服务器通信协议示例

 

DarkComet木马与服务器通信协议示例

《报告》指出,木马在使用恶意网络协议与C&C服务器进行通信的过程中,最显著的特征存在于收发的网络数据包之中。由于协议规定了数据包的内容和格式,只有满足这些规范的数据包,才能被网络通信的另一方解码,将信息和指令顺利地传递过去。而DarkComet木马在与服务器进行通信时,所有的数据均会使用RC4算法进行加密和解密。当木马和服务器使用同样的密钥时,就能互相接收对方的消息,在加密算法的保护之下,木马和服务器会使用预定义的命令字进行通信和交流。

DarkComet协议常用命令示例

 

DarkComet协议常用命令示例

《报告》显示,根据网络包特征匹配对应的密钥,发现目前活跃的DarkComet木马以最新版本为主。

DarkComet常用默认密钥及对应加密数据

DarkComet常见默认密钥及对应加密数据

哈勃分析系统在分析DarkComet木马连接的C&C服务器情报时发现,目前活跃的木马基本都会使用动态域名作为服务器域名使用,其中DarkComet木马使用到的动态域名以“ddns.net”和“duckdns.org”为主,占比超过了50%。

DarkComet木马使用动态域名分布

 

DarkComet木马使用动态域名分布

此外,通过解析域名对应的IP,进一步定位C&C服务器的地理位置发现,土耳其是DarkComet相关C&C服务器数量最多的国家,占到总量的30.2%,其次是俄罗斯和美国。

DarkComet木马C&C服务器分布Top10国家

DarkComet木马C&C服务器分布Top10国家

根据《报告》结果,哈勃分析系统建议用户,始终从正规网站或官方网站下载和使用软件,不要轻信小型网站、网盘分享的文件,也不要轻信群、论坛等社交渠道推荐的软件,对于不放心的软件,可以使用哈勃分析系统(https://habo.qq.com/)对其进行检测,及时发现风险。此外,可安装并使用安全类软件,并随时留意保持其处于可用状态,例如开启必要的安全防御措施、及时更新版本等,还可以配合使用一些防火墙类软件,对于符合已知的恶意网络协议特征的网络数据包进行监控和拦截。

 

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章