腾讯安全获Pwnie Awards唯一的亚洲提名
克日,哈勃分析系统发布了6月份威胁情报的故事——DarkComet根据恶意网络协议,DarkComet是恶意网络协议分类后最活跃的木马。 ??克日,腾讯平安团结实验室反病毒实验室哈勃分析系统,发布了6月份威胁情报的故事——DarkComet《恶意网络协议》(以下简称《故事》)。根据《故事》,哈勃分析系统对6月份捕获的威胁情报进行了协议分析,发现DarkComet是恶意网络协议分类后最活跃的木马,主要是最新版本的变种,服务器主要漫衍于土耳其和俄罗斯。
(六月DarkComet木马趋势变化图)
??据了解,DarkComet木马诞生于2008年,又称暗黑彗星木马,是外国著名的后门类木马(又称木马)RAT,Remote Access Tool)。木马运行后可以执行大量恶意行为,不仅记录和上传受害者输入的密码、摄像头内容等隐私信息,还可以执行下载文件、启动程序、操作剧本等控制操作,甚至控制计算机作为跳板,提出其他目的DDoS等待网络攻击。2012年,木马作者停止更新木马,最新版本停留在5.4.1。
(DarkComet木马与服务器通信协议示例) ??该报告指出,木马正在使用恶意网络协议C&C在服务器通信过程中,收发的网络数据包中存在的网络数据包中。由于协议规定了数据包的内容和模式,只有满足这些标准数据包,才能被网络通信的另一方解码,并顺利通知过去的信息和指令。DarkComet当木马与服务器通信时,电脑管家推奥运会享受版 小火箭实时更新金牌信息
将使用所有数据RC4算法进行加密和解密。当木马和服务器使用相同的钥匙时,它们可以互相吸收新闻。在加密算法的珍惜下,木马和服务器将使用预界的命令词进行通信和交流。
(DarkComet协议常用命令示例) ??根据《叙述》,根据网络包的特点匹配相应的密钥,发现现在很活跃DarkComet木马主要是最新版本。 
(DarkComet常见的默认密钥和相应的加密数据 ??分析哈勃分析系统DarkComet木马毗邻的C&C服务器情报发现,活跃的木马基本上使用动态域名作为服务器域名,其中DarkComet木马使用的动态域名ddns.net”和“duckdns.org主要占50%以上。 
(DarkComet木马使用动态域名漫衍) ??此外,通过对域名对应的分析IP,进一步定位C&C土耳其是服务器的地理位置DarkComet相关C&C服务器数量最多的国家占总量30.2其次是俄罗斯和美国。 
(DarkComet木马C&C服务器漫衍Top10国家) ??根据《叙述》的效果,哈勃分析系统建议用户始终从正规网站或官方网站下载和使用软件。不要相信小网站和网络磁盘共享的文件,也不要相信群、论坛等社交渠道推荐的软件。对于不安全的软件,可以使用哈勃分析系统(https://habo.qq.com/)进行测试,实时发现风险。此外,可以安装和使用安全软件,并注意随时保持其可用状态,如打开所需的安全防御措施、实时更新版本等,也可以使用一些防火墙软件来监控和阻止符合已知恶意网络协议特征的网络数据包。哈勃分析系统 DarkComet 电脑管家 C&C服务器
iPhone7谍照慎点!或者是远控木马