蔓灵花组织加密通信方法研究分析

蔓灵花，又名"Bitter"，主要针对我国和巴基斯坦进行网络攻击活动，其攻击目标主要包括政府部门、核工业、能源、国防、军工、船舶工业、航空工业以及海运等行业，主要意图是窃取敏感资料。迄今为止，蔓灵花组织使用的攻击武器呈现出开源化、组件化和重复使用的趋势，在通信上多使用HTTP和TCP协议，数据传输仍然采用简单的加密算法，如移位加密和XOR加密等。日前，观成安全研究团队对其近两年主要使用的工具各个版本进行了详细分析，包括xorRAT、sessionRAT、plaintextRAT、wmRAT，梳理样本通信的流量特征，进行了对检测方案的探索和总结。1xorRAT加密算法xorRAT与wmRAT在通信上存在共性，均使用自定义TCP加密协议进行通信，通信端口采用随机大端口和80端口。样本使用逐字节XOR对数据进行加密，目前发现使用过的通信加密密钥有0xf6、0x9d、0xca，其中 ………………………………