VMware的威胁分析单位监测到的ShadowPad命令与控制服务器
关键要点
- VMware的威胁分析单位(TAU)自2021年9月以来监测到多达85个由ShadowPad支持的命令与控制(C2)服务器。
- 研究人员使用的通信协议包括TCP、UDP和HTTP(S)。
- 通过ZMap工具,研究团队能够检查开放的主机并识别这些服务器。
- 还发现了由威胁行为者Winnti和LuoYu部署的Spyder和ReverseWindow恶意软件样本,它们与ShadowPad C2 IP地址进行了通信。
- Takahiro Haruyama表示,成功扫描APT恶意软件的C2服务器可以革新威胁检测方式。
自2021年9月以来,VMware的威胁分析单位(TAU)观察到多达85个由ShadowPad恶意软件变种支持的命令与控制(C2)服务器。这些信息来自于。VMwareTAU表示,他们对三种不同的ShadowPad变种进行了深入研究,这些变种使用了TCP、UDP和HTTP(S)协议来进行C2服务器之间的通信。团队采用了一种名为ZMap的工具,生成开放主机的列表并对其进行扫描,从而检测到这些服务器。
威胁行为者 | 恶意软件示例 | 通信协议
—|—|—
Winnti | Spyder | TCP, UDP, HTTP(S)
LuoYu | ReverseWindow | TCP, UDP, HTTP(S)
此外,研究团队还发现Spyder和ReverseWindow恶意软件样本与ShadowPad C2IP地址之间的通信。这些样本之间存在重叠,尤其是Spyder样本与Winnti 4.0木马的Worker组件之间,更是引起了研究者的关注。
扫描互联网中的APT恶意软件C2服务器有时就像大海捞针。然而,正如VMware TAU的高级威胁研究员TakahiroHaruyama所述,一旦C2服务器的扫描成功,它将成为最积极的威胁检测方法之一,从而改变整个安全领域的游戏规则。
对ShadowPad及其命令与控制基础设施的持续监测,对各类组织抵御网络攻击和加强安全防护有着重要的意义。了解这类威胁的传播方式和与其它恶意软件的联系,可以帮助企业提升自身的防御能力,降低潜在风险。
