哈勃发布六月威胁情报：DarkComet木马协议成最多恶意网络协议

近日，腾讯安全联合实验室旗下反病毒实验室的哈勃分析系统，发布了《六月威胁情报态势报告——DarkComet恶意网络协议篇》(以下简称《报告》)。《报告》显示，哈勃分析系统对六月捕获到的威胁情报进行协议解析后发现，DarkComet是按恶意网络协议分类后最为活跃的木马，该木马以最新版本的变种为主，服务器主要分布在土耳其和俄罗斯。

（六月DarkComet木马趋势变化图）

据了解，DarkComet木马诞生于2008年，又称“暗黑彗星”木马，是国外有名的后门类木马（也被称为RAT，Remote Access Tool）。木马运行后可执行大量的恶意行为，不仅记录并上传受害者输入的密码、摄像头的内容等隐私信息，还可根据服务器的指令执行下载文件、启动程序、运行脚本等控制操作，甚至还能以被控制的电脑作为跳板，对其它目标发起DDoS等网络攻击。2012年，木马作者停止了对于这款木马的更新，最新版本停留在5.4.1。

（DarkComet木马与服务器通信协议示例）

《报告》指出，木马在使用恶意网络协议与C&C服务器进行通信的过程中，最显著的特征存在于收发的网络数据包之中。由于协议规定了数据包的内容和格式，只有满足这些规范的数据包，才能被网络通信的另一方解码，将信息和指令顺利地传递过去。而DarkComet木马在与服务器进行通信时，所有的数据均会使用RC4算法进行加密和解密。当木马和服务器使用同样的密钥时，就能互相接收对方的消息，在加密算法的保护之下，木马和服务器会使用预定义的命令字进行通信和交流。

命令字 含义 IDTYPE 握手包 SERVER 握手确认包 GetSIN 请求机器信息 infoes 发送机器信息 QUICKUP 传输文件 DESKTOPCAPTURE 捕捉屏幕 GETMONITORS 请求显示器信息 #KEEPALIVE# 心跳包

（DarkComet协议常用命令示例）

《报告》显示，根据网络包特征匹配对应的密钥，发现目前活跃的DarkComet木马以最新版本为主。

密钥 加密后数据 #KCMDDC2#-890 8EA4AB05FA7E #KCMDDC2#-8900123456789 C4A6EB42FC74 #KCMDDC4#-890 B47CB892B702 #KCMDDC4#-8900123456789 00798B4A0595 #KCMDDC5#-890 1164805C82EE #KCMDDC5#-8900123456789 2ECB29F71503 #KCMDDC51#-890 BF7CAB464EFB #KCMDDC51#-8900123456789 DACA20185D99

（DarkComet常见默认密钥及对应加密数据）

哈勃分析系统在分析DarkComet木马连接的C&C服务器情报时发现，目前活跃的木马基本都会使用动态域名作为服务器域名使用，其中DarkComet木马使用到的动态域名以“ddns.net”和“duckdns.org”为主，占比超过了50%。

（DarkComet木马使用动态域名分布）

此外，通过解析域名对应的IP，进一步定位C&C服务器的地理位置发现，土耳其是DarkComet相关C&C服务器数量最多的国家，占到总量的30.2%，其次是俄罗斯和美国。

（DarkComet木马C&C服务器分布Top10国家）

根据《报告》结果，哈勃分析系统建议用户，始终从正规网站或官方网站下载和使用软件，不要轻信小型网站、网盘分享的文件，也不要轻信群、论坛等社交渠道推荐的软件，对于不放心的软件，可以使用哈勃分析系统（https://habo.qq.com/）对其进行检测，及时发现风险。此外，可安装并使用安全类软件，并随时留意保持其处于可用状态，例如开启必要的安全防御措施、及时更新版本等，还可以配合使用一些防火墙类软件，对于符合已知的恶意网络协议特征的网络数据包进行监控和拦截。

（哈勃分析系统首页）