使用隐写术隐藏数据
有效载荷将从电子邮件附件中的C2接收数据,或将数据泄漏到C2,特别是在使用隐写术将图像隐藏在图像中的BMP图像中。有效载荷从BMP图像提取数据以从C2接收数据的方法与其隐藏数据以进行渗漏的方法相同,尽管研究人员没有观察到使用此方法发送命令的C2,但研究人员能够分析有效载荷以确定其如何发送消息并从系统中窃取数据。
要使用此C2通道发送数据,有效载荷将读取以下默认安装的Windows上可用的图像:
C:\ProgramData\Microsoft\User Account Pictures\guest.bmp
根据Windows版本的不同,“guest.bmp”图像的大小和内容也有所不同。Windows7的图像为128×128像素,其中包含一个手提箱的图像,而Windows 10的图像是448×448像素,包含一个通用的用户图标。图9显示了从Windows 7和Windows 10的默认安装中提取的两个图像,后者的大小被缩小了。
左侧Windows 7和右侧Windows 10中的“guest.bmp”图像
有效载荷确定图像的高度,宽度和颜色深度,并计算需要修改多少图像以发送全部数据:
(length of data)/(width*(height-1))
它使用模运算符来检查是否有不适合前一张图像的数据,如果存在剩余数据,则会在所需的图像计数中加一。然后,有效载荷通过抓住将适合图像的数据子字符串来遍历数据。
为了说明有效载荷如何在此图像中隐藏数据,研究人员必须首先简要说明BMP文件格式。 BMP文件格式包括文件标头和用于存储图像中每个像素的红色、绿色和蓝色值的值的数组。颜色值阵列中的每个颜色值的格式取决于颜色深度,因为24位BMP图像将使用3字节值,该值用于指定像素中每个像素的红色,蓝色和绿色的强度。图片,而32位图片则使用4字节值。 RDAT有效载荷可以支持24位和32位图像,由于Windows 7和Windows 10的“guest.bmp”图像都是24位图像,因此研究人员使用每个像素的3字节颜色值观察有效载荷以隐藏数据。有效载荷会修改每个像素的3个字节,以传输一个字节的渗出数据。通过将数据字节分布在每个像素的3个字节上,对原始图像的影响很小并且难以可视化。图10比较了Windows 7中的原始图像和带有隐藏数据的修改后图像。
左侧是Windows 7的原始“guest.bmp”图像,右侧是修改后的载体图像
图10显示了查看嵌入在BMP图像中的隐藏数据有多么困难,研究人员放大了修改后的29个像素以承载数据以可视化差异,并发现它们的颜色略有不同,如图11中的比较所示。两个图像中的所有像素都是不同的。但是,某些颜色差异比其他差异更明显。
此放大视图在顶部显示原始像素,在底部显示29字节数据的像素
为了隐藏图像中的数据,有效载荷将检查“guest.bmp”图像的颜色深度是否为24位或32位深度,这允许载荷确定将隐藏数据的位分散到每个像素需要多少字节。例如,像“guest”这样的24位BMP图像。Windows 7中的“bmp”,如上图10所示,在表示该像素的红、绿、蓝值的图像中,每个像素有三个字节。使用这个24位图像,有效负载将把8位的数据字节分散到这三个字节上,具体地说,就是将像素字节中的最低有效位值设置为数据字节的位值。
让研究人员使用从有效负载发送到C2的信标中的示例数据8,54351-1616479009,0,它将使用base64对OCw1NDM1MS0xNjE2NDc5MDA5LDA=进行编码,并附加@符号并嵌入到BMP图像中。O ASCII字符的十六进制值是0x4f,在base2中是01001111。然后使用base2表示的8位来为每个像素在3字节内设置特定的位:
· 数据位0和1替换第一个像素字节的位1和0;
· 数据位2、3和4替换第二个像素字节的位2、1和0;
· 数据位5、6和7替换第三像素字节的位2,1和0。
使用此逻辑,有效载荷将从“guest.bmp”图像中读取像素字节,即0xe4, 0xdf和0xbb9,并使用base2 010 011 11替换以下位:
· 将0xe4中的第2位、第1位和第0位替换为010,结果是0xe2;
· 将0xdf中的2、1和0位替换为110,将得到0xde;
· 将0xb9中的第1位和第0位替换为11,结果就是0xbb。
图12显示了这些位替换是如何发生的,以及替换最终如何改变像素字节的值。
对每个像素执行的位替换以隐藏BMP图像中的数据的直观说明
HTTP和DNS隧道C2通道
具有最新出现EWS C2通道的RDAT样本也具有HTTP和DNS隧道作为C2通道,这与研究人员收集的其他RDAT样本非常相似。HTTP C2通道使用HTTP POST请求将数据传输到C2服务器。该代码包含以下两个域:
allsecpackupdater[.]com tacsent[.]com
应当注意,代码仅尝试将tacsent[.]com域用于其HTTP C2通道。研究人员不确定代码为何包含 allsecpackupdater[.]com域,因为它不尝试与之通信,但是它可能是该工具先前版本的构件。该域以前与OilRig威胁组有关,因为ClearSky在2017年发现了该域,并指出了它与Greenbug的ISMDOOR工具的关系。
HTTP POST请求的报头中有一个自定义的“From:”字段,该字段为被感染的系统分配了唯一标识符。HTTP POST请求将包含一个“v”参数和一个随机数的URL和一个用户代理的“chrome”。图13显示了一个HTTP POST示例,它是由载荷作为初始信标发送给C2的,其中显示了异常的用户代理“chrome”和自定义“From”字段。
RDAT样本通过其HTTP C2通道发送的初始信标
有效载荷使用AES密码对POST请求中发送的数据进行加密,特别是在CBC模式下。要解密该数据,首先将数据本身从url安全的十六进制百分比编码字符转换为它们的/、+和=字符等效。这种转换后,产生的数据是使用base64解码然后解密使用AES和从字段中的值作为一个密钥和初始化向量(IV)。例如,使用价值的密钥和IV与AES密码解密POST数据产生以下明文:
1,1543511637567325,12031\x08\x08\x08\x08\x08\x08\x08\x08
有效载荷将使用正则表达式[^,]+检查C2服务器对此HTTP POST的响应是否为a,以确定C2是否提供了命令。有效载荷一次只能溢出102400字节的数据,它在溢出响应中使用一个字段来通知C2数据的偏移量,以便C2可以重构数据。
DNS隧道协议与本文前面讨论的协议非常相似,因为它使用第二级子域作为其AES密钥,但使用四个字符而不是两个字符。它还使用与-相同的字符替换-,/与_替换为-,/-用+替换+,以删除域名中不允许的字符,就像在针对中东电信组织的攻击中使用的RDAT示例一样。此示例的DNS隧道使用DNS A记录查询,并且与HTTP C2通道具有相同的域,该域会生成一个类似于以下内容的初始信标:
P9rktZsukI5RVAdZWSR-a6uVYKeQJ-azhVLzUUfGs1TDQ-.fN26.tacsent[.]com
为了解密这个信标,C2使用第二级子域来创建一个AES密钥和fN26fN26fN26fN26的IV,这是第二级域,使用了四次来创建一个16字节的字符串。结果的明文将包含以下消息,这是一个逗号分隔的字符串,包括通信类型和唯一的系统标识符:
3,1543511637567325,0\x0c\x0c\x0c\x0c\x0c\x0c\x0c\x0c\x0c\x0c\x0c\x0c
为了使用这个DNS隧道协议溢出数据,有效载荷将添加额外的子域来查询,特别是一个用于数据序列号的字段和一个用于溢出数据的字段。例如,以下DNS查询将系统信息发送到C2:
1.44gkxXizTF3QJU0F2AllV_0qhr1xcYmy8GeMB6nnGNSw0bls7JpP0zIqvnyO.xEZlrurmSHgf uoAcqi9blguWDzwH9oQCWZ-aTeBSBE2M-.tJ8z.tacsent[.]com
第五级子域是一个数据序列号,它允许C2服务器重组数据,数据从1开始,随着DNS隧道协议在每个DNS请求中发送60字节编码的密文,数据将递增60字节。第四级子域包含RDAT发送给C2的60字节编码密文,而第三和第二级子域与信标相同。在上面的例子中,AES密钥和IV为tJ8ztJ8ztJ8ztJ8z,它将第三级子域解密为以下明文:
2,1543511637567325,0\x0c\x0c\x0c\x0c\x0c\x0c\x0c\x0c\x0c\x0c\x0c\x0c
使用相同的AES密钥和IV,第四级子域中的明文包含系统信息,在上述示例中,系统信息将产生以下结果:
1:|2:MicrosoftWindows7Professionw\x01
不管使用哪种C2通道,RDAT样本都使用命令处理程序来解析响应,以确定要采取的措施。表3显示了命令处理程序中可用的命令,以及有效载荷将发送到C2的响应消息的结构。与针对中东电信组织的攻击中看到的示例中的三个命令相比,此RDAT示例中的命令处理程序具有更多的功能。
使用最新出现的EWS C2通道的RDAT样本中可用的命令
总结
RDAT后门已经被OilRig组织使用了至少三年时间,目标是中东地区的组织,最近已知的活动发生在2020年4月,针对的是一个电信组织。在过去的三年里,这个工具得到了持续的开发,导致了功能和可用C2通道的多种变化。大多数示例使用了HTTP和DNS隧道通道的组合,只有一个例外,研究人员发现开发人员利用Exchange Web服务使用隐写图像文件附件向参与者发送和接收电子邮件。结合隐写术使用新颖的C2通道,可以判定这个攻击者随着时间的推移不断演变和发展出不同的攻击技术。
本文翻译自:https://unit42.paloaltonetworks.com/oilrig-novel-c2-channel-steganography/如若转载,请注明原文地址: