檢測 SparkRAT 伺服器的技術

為了檢測 SparkRAT 伺服器，可以採用多種技術，並專注於網路通訊和伺服器回應。以下是一些關鍵方法：

1. 預設連接埠偵測：

   SparkRAT 伺服器預設監聽連接埠 8000 上的命令。

2. HTTP 基本驗證：

   SparkRAT 使用 HTTP 基本驗證來限制對其命令和控制(C2)伺服器 面板的存取。當存取連接埠 8000 上的可疑 Web 面板時，伺服器需要輸入設定檔中所設定的使用者名稱和密碼。

3. HTTP 回應標頭：

   當存取預設連接埠 8000 上的 SparkRAT 伺服器時，HTTP 回應標頭將包括：

   • HTTP/1.1 401 未經授權。
   • Www-Authenticate：基本網域 = 需要授權。
   • 省略了 Server、Content-Type 和 Connection 等標準標頭欄位。
4. 透過 POST 請求進行升級檢查：

   SparkRAT 透過向 /api/client/update?arch=* 發送 POST 請求進行升級檢查。此請求包含特定的標頭，例如值為 SPARK COMMIT: '' 的 User-Agent 和一個 Secret 欄位。

5. JSON 回應：

   疑似 SparkRAT 伺服器使用以下 HTTP 回應來回應上述 POST 要求：

   • HTTP/1.1 400
   • Content-Type: application/json; charset=utf-8
   • JSON Response body： { "code" : -1 , "msg" : "${i18n|COMMON.INVALID_PARAMETER}" }
6. 主動 C2 追蹤：

   使用即時追蹤工具掃描各種命令和控制伺服器，包括 SparkRAT。

透過結合這些方法，可以有效地識別和調查潛在的 SparkRAT 命令和控制伺服器。

結論

SparkRAT 由於其適應性以及跨平台的持續使用，仍然是一個持續的威脅。本文重點介紹了檢測 SparkRAT 伺服器的方法，例如掃描預設連接埠 8000、尋找省略標準欄位的特定 HTTP 回應標頭以及分析對 /api/client/update?arch=* 的 POST 請求的回應（其中包含特定JSON Response。研究人員對該惡意軟體在疑似北韓針對 macOS 用戶的活動中的使用情況進行了檢查，並發現了新的基礎設施，包括託管植入物的開放目錄。使用遊戲平台來傳遞 Android APK 凸顯了威脅行為者的不斷演變的策略。持續監控、改進偵測方法和擴大掃描強度對於抵禦此威脅至關重要。

參考資料