iT邦幫忙

2018 iT 邦幫忙鐵人賽
DAY 26
2
Security

鯊魚咬電纜:30天玩Wireshark系列 第 34

[Day 26] 病毒流量分析:Taidoor

昨天看過了Alina POS的流量,今天就來看看Taidoor這隻病毒吧,這隻病毒利用釣魚郵件等APT方式,間接被下載進受害者電腦並開始連線到C&C Server,極大部分受害者都在台灣,趨勢科技跟賽門鐵克也都曾發布病毒報告(趨勢科技:https://www.trendmicro.co.kr/cloud-content/us/pdfs/security-intelligence/white-papers/wp_the_taidoor_campaign.pdf ,賽門鐵克:https://www.symantec.com/content/dam/symantec/docs/security-center/white-papers/trojan-taidoor-12-en.pdf ),病毒的其他相關背景資料可以參考這些報告,接下來就看看病毒到底會產生怎樣的流量呢?

根據防毒軟體公司的報告,這種病毒會試圖連到C&C Server上特定格式的網址,而每次連的網址都是重新產生的不同網址,趨勢科技跟賽門鐵克提供的網址格式如下:

「[C&C]/{5 random characters}.php?id={6 random numbers}{encrypted victim’s MAC address}」

根據另一份FireEye已經剩下頁庫存檔的報告則指出,後來出現了一個新種類的Taidoor病毒,它的網址格式則如下:

「/[file name].jsp?[2 random characters]=[6 random characters][encrypted MAC address]」

其中[file name]可能會是process、page、default、index、user、parse、about、security、query或login等詞。

一樣從昨天提到的來源取得pcap檔,那我們就來看看我們的封包檔裡面可以發現什麼吧。

首先先確認一下這個封包裡面有哪些IP存在,所以利用Wireshark功能列Statistics>Endpoints這項功能,發現裡面除了內網虛擬IP(172.16..)、預設路由位址(0.0.0.0)、IGMP (應指V3版本)協議路由器(224.0.0.22)及Subnet Mask(255.255.255.255)外,還有2個外部IP。

https://ithelp.ithome.com.tw/upload/images/20180115/20107304zZLRjMIuoW.png

我們利用Wireshark功能列Statistics>HTTP>Requests這項功能,看看這個封包檔裡的Request都長得什麼樣子。

https://ithelp.ithome.com.tw/upload/images/20180115/20107304xoHfwBwo4F.png

根據上圖,我們可以發現受害者電腦只跟兩個對象發出過HTTP的Request,其中一個是61.222這個IP的443 port,另一個則是同一個IP的80 Port。但觀察一下網址的長相,會發現是符合FireEye提供的網址規則的,也就是都符合「/[file name].jsp?[2 random characters]=[6 random characters][encrypted MAC address]」的模式。

受害者的MAC address是「00:0c:29:7b:a8:da」,如下圖紅框處,而在網址中看到符合[encrypted MAC address]部分的值則是「111D308CB9EB」,稍微比對一下,可以發現加密過後的MAC address其實就是原本各段的值加上11後再去掉冒號連在一起而已。

https://ithelp.ithome.com.tw/upload/images/20180115/20107304zCUJbxnkRB.png

我們從上面的說明,發現已經找到其中一個外部IP其實就是C&C Server,那剩下的另一個外部IP呢?

回到Wireshark,並使用「ip.addr==211.22.80.146」的過濾指令,卻發現全部都是連線建立失敗的封包,而且試圖連線的頻率十分頻繁,一秒內就有數次。

https://ithelp.ithome.com.tw/upload/images/20180115/20107304ZbUJNNRXWU.png

從封包內容看不出什麼東西,所以直接去Google這個IP,可以先查到他跟一個SHA1值是「ea04f074bfc47d1361582fdfcc3a28a26bf54178」的病毒有關係,而再到Virustotal去搜尋這個SHA1值,就可以發現的確也有防毒軟體把它歸類為Taidoor類型的病毒,所以我們可以推測這個IP也是其中一個C&C Server的IP,但可能因為某種原因當時是處於關閉狀態無法連線,所以連到該IP的封包才會連線失敗。

今天就介紹到這邊啦,如果還有什麼想要補充的也都歡迎告訴我喔~


上一篇
[Day 25] 病毒流量分析:Alina POS
下一篇
[Day 27] 病毒流量分析:Ardamax keylogger
系列文
鯊魚咬電纜:30天玩Wireshark51

尚未有邦友留言

立即登入留言