2016年底,Redsocks securitv发现了一个APT28使用的过期域名,原本Redsocks security希望通过该域名对APT28进行一探究竟,却发现该域名使用了异常复杂的加密通信机制。尽管之前像ESET等其他安全公司认为APT28使用了RC4加密算法,但还未发现APT28具体使用的RC4算法和密钥属性。在这里,Redsocks security通过对APT28经常使用的X-Agent样本进行动态分析,破解了其整体攻击入侵的网络流量行为。
由于涉及到对APT28攻击行为的网络通信机制破解,所以分析过程包括以下几个方面:
1)执行X-Agent木马和其释放的恶意程序;
2)对X-Agent木马进行网络行为观察;
3)破解APT28通信加密机制和算法。Redsocks security通过全网探测和URL模式比对,发现了大量APT28使用的控制端和服务器,为破解调查破解APT28通信机制奠定了基础。
声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
全部1条评论
快来发表一下你的评论吧 !