標題：Xloader的C2網絡加密分析

Xloader 是一種信息竊取惡意軟件，是Formbook 的迭代版本，自2016 年初以來一直在黑客論壇上被出售。 2020 年10 月，Formbook 更名為Xloader，並進行了一些重大改進，特別是與命令和控制(C2)網絡加密相關的改進。隨著Xloader的到來，惡意軟件的開發者也停止了出售面板的代碼和惡意軟件的可執行文件。當出售Formbook時，一個基於web的命令和控制(C2)面板被提供給客戶，以便他們可以自行管理自己的殭屍網絡。 2017 年，Formbook 的面板源被洩露，隨後，Xloader 背後的攻擊者轉向了不同的商業模式。 Xloader C2基礎設施不是傳播一個功能齊全的犯罪軟件套件，而是出租給客戶。這種“惡意軟件即服務”(MaaS)的商業模式可能更有利可圖，並使竊取變得更加困難。

Xloader的功能包括：

從網絡瀏覽器和其他應用程序竊取憑證；

捕獲按鍵信息；

螢幕截圖;

竊取存儲的密碼；

下載並執行其他二進製文件；

執行命令；

之前的文章已經分析了Formbook 和Xloader 混淆的各個方面。在這篇文章中，我們對Xloader 的C2 網絡加密和通信協議進行了詳細的分析。請注意，Xloader 是跨平台的，能夠在Microsoft Windows 和MacOS 上運行。此分析專門針對Windows 版本的Xloader。

技術分析Xloader 和Formbook 使用HTTP 與C2 服務器通信。 HTTP GET 查詢作為一種註冊形式發送。之後，惡意軟件向C2 發出HTTP POST 請求，以竊取屏幕截圖、被盜數據等信息。在這兩種情況下，GET 參數和POST 數據共享相似的格式並被加密，如下圖所示，我們將解釋以下部分中的加密算法。

Xloader C2 通信捕獲

誘餌和真實的C2服務器在整個Xloader惡意軟件有多個結構的加密塊的數據和代碼，這些塊旨在通過使用函數序言push ebp 和mov ebp, esp 的彙編指令來混淆惡意軟件分析人員和反彙編程序，如下圖所示。我們將這些結構命名為PUSHEBP 加密塊。這些塊使用基於RC4 的算法結合編碼層和自定義虛擬機(VM) 進行解密。

Xloader PUSHEBP 加密塊

其中一個PUSHEBP 塊包含加密字符串和誘餌C2 列表，這些誘餌是合法域，被添加以誤導惡意軟件研究人員和自動惡意軟件分析系統。真正的C2 服務器是單獨存儲的，並使用另一種更複雜的方案進行加密。負責解密真實C2 服務器的偽代碼如下圖所示。

Xloader C2 解密算法

在上圖中，RC4_based_Decryptor 函數由RC4 加密（使用0x14 字節密鑰）和另外兩個編碼層組成，如下所示：

附加的編碼層由簡單的減法運算組成：

VM_Decryptor 函數是Xloader 使用的另一種算法，它實現了一個自定義虛擬機(VM)。下面的Python代碼行重現了Xloader為解密真實的C2而執行的步驟。

解密後，C2 URL 的格式類似於www.domain.tld/botnet_id/

C2通信發生在誘餌域和真實的C2服務器上，包括發送從受害者那裡竊取的數據。因此，有一種可能，備份C2可以隱藏在誘餌C2域中，並在主C2域被刪除時用作備用通信通道。

Formbook 通信加密在FormBook中，HTTP GET參數(和POST數據)是通過四個步驟加密的：

1.使用真實C2 的域和路徑，通過以下方式計算RC4 密鑰：Reverse_DWORDs(SHA1(

2.結果被用作一個RC4 密鑰來加密數據；

3.數據經過RC4 加密後，還會使用Base64 進行額外編碼；

4.通過HTTP POST 請求發送的數據使用表1 中所示的字符替換進行格式化。

Formbook C2 字符替換

因此，Formbook C2通信可以很容易地通過逆向過程解密，因為C2域和路徑是已知的。

Xloader 通信加密的具體細節XLoader 中的網絡加密更為複雜，該過程中添加了一個額外的RC4 層，其中包含一個複雜的算法，該算法使用以下步驟來推導加密密鑰：

1.為了加密HTTP網絡數據，Xloader首先計算一個我們稱之為Key0Comm的密鑰，如下圖所示。

Xloader KeyComm0 推導

正如我們在上圖中看到的，PUSHEBP 塊7 是使用Xloader VM 解密的。一旦解密，這個塊的長度為0x15字節。第一個0x14字節用作RC4密鑰，最後一個字節用於根據switch語句選擇並解密另一個PUSHEBP塊(在4、5、6、8、9和10塊中)。因此導出的參數Key0Comm 如下：

Key0Comm=RC4_based_Decryptor(decPushebpBlock7Key[:0x14],decSwitchBasedPushebpBlock)然而，即使在相同版本的Xloader上，PUSHEBP 塊的順序以及開關和塊編號之間的關聯也會從一個樣本更改為另一個樣本（即此函數的代碼是隨機的）。下圖顯示了此函數在兩個不同Xloader v2.5 示例之間的比較。

Xloader KeyComm0函數映射到一個塊

下圖顯示了這些switch 語句如何映射到這些示例中的不同塊ID。

Xloader 塊ID 映射示例

為了對C2 通信執行加密，必須知道映射這些塊的特定樣本表，以導出加密密鑰Key0Comm。

2.接下來，使用與Formbook相同的算法計算我們稱為Key1Comm的另一個密鑰：Key1Comm=Reverse_DWORDs(SHA1(

3.最後，我們需要計算最後一個密鑰，使用Xloader 自定義的基於RC4 的解密算法如下：

Key2Comm=RC4based_Decryptor(Key0Comm,Key1Comm)擁有所有這三個RC4 密鑰，我們可以加密和解密Xloader C2 通信。 使用擁有兩層標準RC4的密鑰Key2Comm 和Key1Comm 對數據包進行加密，如下所示：

Xloader 還進一步應用了前面描述的用於POST 查詢的Base64 和字符替換

總結Xloader 是一個成熟的惡意軟件家族，擁有許多誤導研究人員和阻礙惡意軟件分析的技術，包括多層加密和自定義虛擬機。儘管開發者放棄了Formbook 分支以專注於重新命名的Xloader，但這兩種惡意軟件今天仍然非常活躍。 Formbook仍然被使用洩露的面板源代碼和自我管理C2 的攻擊者使用，而原始開發者繼續將Xloader 作為MaaS 出售，支持和租用服務器基礎設施。毫不奇怪，它一直是近年來最活躍的威脅之一。