61期报告汇总
安天发布《Hangover利用合法空间进行通信样本分析》

      近日,安天追影小组在整理网络安全事件时,发现了“Hangover”家族的木马变种,并对其进行了简要的分析。以下简称发现的变种为“Hangover变种1”和“Hangover变种2”,其均采用合法的web服务,以代替DNS查找检索C&C地址,该方法使得攻击者的通信在众多合法的服务流量中,难以被发现。
 
      安天追影小组,针对“Hangover变种1”和“Hangover变种2”的两个样本进行分析。

      当攻击目标被感染后,不会像传统僵尸网络中的僵尸主机一样直接连接C&C服务器,而是请求一个合法的地址间接获取C&C,较为常见的是Yahoo和Quora的问答页面。

      “Hangover变种1”样本在请求的页面中,查找检索C&C地址。经过分析,发现在样本的源代码中,包含一个简单查找表。查找表的起始为开始和结束标记的词组,之后为255个单词,每一个都对应一个编号。通过这个查找表,可将开始标记和结束标记之间的关键字转化为C&C地址。而“Hangover变种2”样本,通常打包在一个可自解压的文件中,并伪装成一个PPT文件。 “Hangover变种2”与Hangover变种1”的区别,最主要在于,“Hangover变种2”中存在一个自定义的混淆方案,并且在请求的页面中,无法找到任何明显的标记词组。“Hangover变种2”样本将页面中的一些关键字,匹配存在于源代码中的查找表,将匹配到的字符串转化为数字,从而得到一个C&C地址。使得合法页面上的内容,可以重复被攻击者利用。因此,通过分析可以发现两个变种的行为非常类似,使用相似的技术获取C&C地址,通过请求合法web服务逃避传统阻止机制。

      经以上分析,安天追影小组认为,攻击者逃避传统检测机制的技术在不断变化,受害者对此防不胜防。为了避免此类的攻击,安天追影小组提醒广大网络用户,加强网络安全意识,不要随意点击不明的链接,面对来源不明的邮件时,不要轻易去下载其中的附件,并及时更新所使用的软件等。