第195期安全事件
2019/08/05-2019/08/11
| 英文标题 | Decrypting L0rdix RAT’s C2 |
| 中文标题 | 研究人员发布 L0rdix 与 C2 通信时加密方法分析 |
| 作者及单位 | Alex Holland Malware Analyst |
| 内容概述 |
Bromium 研究人员对 L0rdix RAT 与 C2 通信的加密和解密进行了分析。L0rdix 的配置包含 10 个字段,这些字段被加密, 并在 HTTP POST 请求中作为 URL 查询字符串发送到面板的 connect.php 页面。通过从面板发送类似的 POST 请求,可以 更新已部署的配置。L0rdix 加密其 C2 通信,首先使用 AES 以密码块链接 (CBC) 模式加密明文,使用 256 位密钥和 16 字节 初始化向量 (IV),然后 Base64 对密文进行编码,用“~”替换“+”字符,最后 URL 对密文进行编码。研究人员发现很多 的 L0rdix 样本使用泄露的一个密钥来加密 C2 通信,该密钥可能为默认密钥。 |
| 新闻链接 |
https://www.bromium.com/decrypting-l0rdix-rats-c2/ |