CONFUCIUS ist eine neue Malware entdeckt von Palo Alto Networks Forscher. Es ist ein Backdoor, die ganz die Kreativität auf der Cyber-Kriminellen Seite zeigt. Die Forscher haben zwei Proben der Malware analysiert, aus zwei getrennten Cyber-Spionage-Kampagnen genommen.
In 2013, Rapid7 berichtete über eine Reihe von relativ Amateur-Angriffe gegen pakistanische Ziele. Für eine lange Zeit, nachdem der Bericht veröffentlicht wurde, wenig verändert, wie die Angreifer betrieben. Obwohl viele der Angriffe bleiben wir heute sehen, die aus der Gruppe die gleiche, wir begannen eine neue Backdoor Beobachtung, CONFUCIUS_A, werden von den Angreifern fiel in der frühen Start 2014.
Malware geschrieben von Anfängern oder Amateuren verwendet IP-Adressen in dem Quellcode fest einprogrammiert. Erweiterte Bedrohungen verwenden dynamische Domain-Namen-Erzeugungsalgorithmus (DGA) die tatsächlichen IP-Adressen der Kommando- und Kontrollserver zu verbergen. Die beiden CONFUCIUS Proben zeigten ein völlig anderes Verhalten - die Malware verwendet HTTP-Anfragen an legitime Webseiten, Yahoo und Quoren. Beide Seiten bieten Q&Ein Abschnitt.
Was ist der Unterschied zwischen CONFUCIUS_A und CONFUCIUS_B?
Die A-Variante wurde für zwei Marker eine bestimmte Quoren oder Yahoo-Seite auf der Suche zugreifen. Zwischen ihnen, dort gab es 4 oder mehr Wörter. Die Forscher fanden auch eine Lookup-Tabelle im Quellcode, bestehend aus 255 Wörter. Die Zahl ist genug, um die Zahlen zu decken zwischen 1 und 255, die Zahlen für die IPv4-Adressblöcken verwendet.
Die Lookup-Tabelle beginnt mit der Markierung für den Beginn und das Ende des nützlichen Inhalts, und dann enthält 255 Wörter, von denen jede entspricht einer Anzahl (zum Beispiel klug == 255). im Speicher diese Lookup-Tabelle unter Verwendung herleiten kann dann die Kommando- und Kontrolladresse aus dem Text zwischen den Markern, „Füllplatte cleveren road“ wird 91.210.107[.]104.
CONFUCIUS_B beobachtet wurde ein ähnliches Verfahren zu implementieren, mit dem Unterschied, dass Worte eine Ziffer dargestellt aus 0 zu 9. Die Malware hat rekonstruiert nicht die IPv4 vier Hauptblocks, sondern wurde jede IP-Adresse einstellige Ortung.
Beide Proben werden in Cyber-Spionage-Kampagnen eingesetzt. Alle Unternehmen, die beobachtet und analysiert CONFICUIS Operationen, wie Palo Alto Networks, glauben, dass der Betreiber wahrscheinlich in Indien befindet sich.
Weitere technische Details in Palo Alto Bericht.