SideWinder誘餌文檔加密流量分析

樣本概述

在此次攻擊中，SideWinder組織偽造某國官方Office文檔作為攻擊的誘餌。誘餌文件利用CVE-2017-0199漏洞，通過HTTPS協議訪問遠程對象并直接執行代碼，產生TLS加密流量。

圖 1 誘餌文檔

圖 2 誘餌中包含的鏈接

流量分析

在沙箱中運行樣本，抓取流量并進行分析。沙箱首先請求navy-mil-bd.jmicc.xyz域名，然后向響應IP 5.230.71.95發起兩次TLS連接，TLS協議版本分別為1.0和1.2。

加密會話重點要素：

1. 協議版本：TLS1.0/1.2；
2. 客戶端支持加密套件：TLS1.0會話：12個/TLS1.2會話：21個；
3. 服務端選擇套件：TLS1.0：TLS_RSA_WITH_AES_128_CBC_SHA (0x002f)/TLS1.2：TLS_RSA_WITH_AES_128_CBC_SHA256 (0x003c)；
4. SNI：兩次會話相同，均為navy-mil-bd.jmicc.xyz；
5. 證書：兩次會話相同，證書鏈長度為2，其中包含一個自簽名CA證書，和由此證書頒發的二級證書

經分析，兩次會話異常點如下：

1. 無論是客戶端還是服務端，在密鑰協商階段均與目前正常Web應用等TLS流量存在較大差異，且與以往SideWinder惡意流量有相似之處；
2. SNI以明文傳輸，其中擴展名為xyz，信譽較低；
3. 兩個證書的異常特征比較明顯，頒發者和使用者信息使用數字填充，在自簽名CA中存在極少出現的擴展項（Netscape Comment）等。

產品檢測

觀成瞰云（ENS）-加密威脅智能檢測系統在未更新模型情況下針對本次測試產生的加密流量進行檢出，從握手檢測、域名檢測、證書檢測進行多模型分析，綜合評分為88，威脅標簽為APT(SideWinder)。