第195期安全事件

2019/08/05-2019/08/11

英文標題	Decrypting L0rdix RAT’s C2
中文標題	研究人員發布 L0rdix 與 C2 通信時加密方法分析
作者及單位	Alex Holland Malware Analyst
內容概述	Bromium 研究人員對 L0rdix RAT 與 C2 通信的加密和解密進行了分析。L0rdix 的配置包含 10 個字段，這些字段被加密， 并在 HTTP POST 請求中作為 URL 查詢字符串發送到面板的 connect.php 頁面。通過從面板發送類似的 POST 請求，可以 更新已部署的配置。L0rdix 加密其 C2 通信，首先使用 AES 以密碼塊鏈接 (CBC) 模式加密明文，使用 256 位密鑰和 16 字節 初始化向量 (IV)，然后 Base64 對密文進行編碼，用“~”替換“+”字符，最后 URL 對密文進行編碼。研究人員發現很多 的 L0rdix 樣本使用泄露的一個密鑰來加密 C2 通信，該密鑰可能為默認密鑰。
新聞鏈接	https://www.bromium.com/decrypting-l0rdix-rats-c2/