背景 近日某公司安全团队收到某大型客户反馈内网主机出现大量异常DNS请求,安全感知报警提示为主机存在隧道通信,通过安全人员对主机进一步检查发现内网主机存在一个异常的通信进程对外发送大量的53端口的请求,经过EDR病毒分析专家逆向结果与威胁情报关联,确定病毒是国外APT组织”OceanLotus”常用的CC通信模块。
问题排查 安全人员通过平台的报警可以发现主机存在大量的DNS隧道请求,主机在12月27日一共请求了域名为co.uk域名的请求达到了609次且编码方式相对比于传统的隧道编码有较强的特异性。
子域名模块主要采用了29个a作为混淆字符,通信内容仅为后续的3个字符这样的编码模式降低了域名的信息熵以绕过安全设备的检测。 此种隧道编码模式与利用了系统白程序MSBuild.exe来执行恶意代码以绕过查杀时所使用的隧道编码模式保持一致。
样例如下: aaaaaaaaaaaaaaaaaaaaaaaaaaaaakna.co.uk aaaaaaaaaaaaaaaaaaaaaaaaaaaaap0y.co.uk Aaaaaaaaaaaaaaaaaaaaaaaaaaaaahzu.co.uk
通过DNS的日志查询可以发现大量不能解析的请求,通过注意到请求的目标IP为: 167.114.44.156
通过威胁情报查询分析可以发现,167.114.44.156是位于加拿大的一台IDC机器且已经被打上了远控服务器、OceanLotus(海莲花)的标签。
病毒分析 病毒程序运行之后首先创建互斥体
依次从内存解密DNS字符串” ns1.clearddns.com”、” search.ultraqueryns.biz”
威胁情报匹配到search.ultraqueryns.biz域名标签为:APT、DNSTuneling、海莲花团伙、远控
创建操作系统事件:
解析通信域名:
构造通信的DNS隧道域名
发送DNS数据并接收来自CC服务器的返回数据:
通过zilib压缩主机信息后上传到CC服务器:
总结 OceanLotus 组织自 2013 年起至今一直保持活跃状态,据有关专家介绍该组织可能是一个与越南有关的国家资助的黑客组织。使用的特种木马开始采用包括文件伪装、随机加密和自我销毁等一系列复杂的攻击技术与安全软件进行对抗,查杀和捕捉的难度大大增加。 某公司安全感知的隧道检测技术主要通过大量的病毒样本分析提取后与流行的机器学习算法相结合模式,相对于传统单一的规则检测具有更好的检测率、更低的误报率能够更加准确识别隐蔽的隧道通信。 (文章来源:千里目实验室) |