APT29之来去影无踪——特殊的CnC渠道

       APT29是火眼公司2015年7月曝光的一次APT行动，APT29的新颖之处在于它的指令流的传入方式和数据流的回传方式非常隐蔽。        一. APT29指令流的传入方式        攻击者在twitter上注册一个账户，木马程序平时静默，但约定了一个发作的指定日期或者时间段，攻击者在木马程序活跃的时间段或日期之前，会在twitter账户上发布一条推文，推文内容为一条url，url由两部分组成，图片下载网址+解密串。如下图所示：        doctorhandbook.com即为图片下载地址，101docto为和木马程序约定的解密串。图片下载回来后，木马程序按解密串，从101个字节以后开始解密，解密的内容就是指令的内容。如下图所示：        二. APT29数据流的回传方式        木马程序运行指令后 ………………………………