Netomize 的安全研究人员发现了一种名为 “Shulfar” 的新型恶意软件变种,它通过自定义的 TCP 加密手段来隐匿其与命令控制(C&C)服务器之间的通信内容。
根据 blog.netomize.ca 发布的一份详细报告,这一发现对 Splunk 最近关于类似威胁的研究结论提出了挑战。Splunk 此前曾报道过一种通过 CloverPlus 广告软件传播的 Gh0stRat 恶意软件家族变种,但 Netomize 的研究人员认为,由于代码结构、功能以及通信协议存在重大差异,这一新威胁应被视为一种独立的威胁。
Netomasse 的研究人员将该恶意软件命名为 “Shulfar”——这个名字其实是其 DLL 导出名称 “RAFlush” 的倒写。研究人员指出,该恶意软件使用了两种不同的通信渠道:一种通过 HTTP 协议,另一种则通过自定义的 TCP 数据包负载进行通信。
加密的 C&C 通信
该恶意软件是一个使用 C 语言编写的 32 位 DLL 文件。根据 Netomize 的报告,其自定义 TCP 协议采用了一种简单的加密算法,通过单字节密钥进行异或(XOR)和加法运算来加密数据负载。
通过使用 PacketSmith 的 “yara” 检测模块,研究人员无需特定的解密密钥即可识别出这些加密流量。该恶意软件通过 TCP 端口 6658 与 IP 地址为 107.163.56.251 的 C&C 服务器进行通信。
研究人员对恶意软件样本进行了分析,发现其特征与 Splunk 威胁研究团队提到的 Gh0stRat 变种相吻合。该识别文件的 SHA-256 哈希值为 ec6ef50587a847d4a655e9bfc5c1aee078005c0774a3e6fa23949cc4d8fbad3。
在向服务器发送数据之前,该恶意软件会使用固定的单字节密钥 0x64 对包含系统特定信息的数据包进行加密。解密后的数据包包含了处理器名称、总物理内存以及操作系统版本等信息。
此外,数据包结构中还包含一项针对特定配置文件(位于 ‘C:\qylxnhy\lang.ini’)的检查。如果该文件存在并符合特定标准,恶意软件将提取其缓冲区内容;否则,它将默认使用硬编码的 C&C 服务器地址。
