第195期安全事件

2019/08/05-2019/08/11


英文标题 Decrypting L0rdix RAT’s C2
中文标题 研究人员发布 L0rdix 与 C2 通信时加密方法分析
作者及单位 Alex Holland Malware Analyst
内容概述
Bromium 研究人员对 L0rdix RAT 与 C2 通信的加密和解密进行了分析。L0rdix 的配置包含 10 个字段,这些字段被加密, 并在 HTTP POST 请求中作为 URL 查询字符串发送到面板的 connect.php 页面。通过从面板发送类似的 POST 请求,可以 更新已部署的配置。L0rdix 加密其 C2 通信,首先使用 AES 以密码块链接 (CBC) 模式加密明文,使用 256 位密钥和 16 字节 初始化向量 (IV),然后 Base64 对密文进行编码,用“~”替换“+”字符,最后 URL 对密文进行编码。研究人员发现很多 的 L0rdix 样本使用泄露的一个密钥来加密 C2 通信,该密钥可能为默认密钥。
新闻链接
https://www.bromium.com/decrypting-l0rdix-rats-c2/