白象（又名Hangover、Patchwork、摩诃草等）组织是一个主要针对我国、巴基斯坦等亚洲地区国家进行网络间谍活动的APT组织，攻击目标以政府机构、科研教育领域为主。自2016年起，该组织一直持续使用攻击武器BADNEWS开展攻击活动，其主要特点包括：

ㆍ各个样本的整体执行逻辑、通信交互内容无明显变化；

ㆍ各个样本支持的控制指令无明显变化，包含执行任意命令、截图、键盘记录、服务端更新、下载文件、执行文件以及列目录操作；

ㆍ样本的通信加密算法一直在进行更新，从RC4+Base64到AES+Base64，再到XOR+RC4+Base64；

ㆍ样本使用的通信协议，从最开始的明文协议HTTP，到加密协议HTTPS；

从上述特点中可以看出，近两年BADNEWS针对加密通信方式进行了更新迭代，从协议层面、加密算法层面、密钥层面这三方面发力，加强了该攻击武器在流量侧的隐蔽性。

将上线包的正文数据提取，经过解密后可以看到明文数据，其中包含了UUID和受害机的主机信息。

随后样本会持续发送心跳包，等待接收攻击者下发的控制指令，心跳间隔约5s。

1. 上线流量特征

BADNEWS样本（HTTPS）在上线时存在发送两次上线包的行为，第一次上线包为受害主机的UUID，第二次上线包为主机信息。服务端对两次上线包有不同的响应，两次响应载荷长度相差1；

2. 心跳流量特征

如果服务器没有下发控制指令，BADNEWS会重复交替发送两种心跳包。第一种心跳包内容为加密后的受害机UUID值，该心跳包用于获取控制指令。第二种心跳包内容较第一种心跳包少一层URL编码并改变了固定字符串。第一种心跳包之间间隔为2~6秒。

3. 证书特征

近期披露的BADNEWS（HTTPS）服务器都使用了“Let’s Encrypt”颁发的免费证书。

2022年上半年（样本1-3），使用RC4+Base64，密钥相同；

2022年下半年（样本4-8），使用AES+Base64，密钥相同（除样本6外）；

2023年至今（样本9-12），开始使用安全传输协议HTTPS，使用XOR+RC4+Bas64，密钥相同，且开始使用非硬编码密钥（除样本10）。

5 攻击检测

通过对白象组织BADNEWS木马长期追踪分析，从各个版本的通信方式可以看出该组织在持续对攻击武器的通信加密方式进行开发改进。在协议侧，攻击武器从使用明文协议HTTP过渡到了密文协议HTTPS；在密钥侧，攻击武器从完全使用硬编码密钥到增加使用临时会话密钥。这些改进使得白象流量的检测难度进一步提高。

观成安全团队对BADNEWS的加密流量进行深入研究后，提取了该攻击武器通信流量的行为特征，实现了对BADNEWS系列攻击武器的有效检出。

观成科技

观成科技成立于2018年8月，由国内一流安全团队创建，团队核心成员拥有十余年的攻防对抗、产品研发、安全分析、人工智能的实战经验。        观成科技坚持“自主研发、持续创新”，公司将人工智能、攻防技术和密码技术相结合，在国内首家推出针对加密流量AI安全检测、防御的创新型产品，产品已申请加密流量检测相关国家发明专利20余篇，应用在军工、网信、部委、央企等重要客户，并被多个央企、龙头安全企业选为合作伙伴。        公司2019年6月获得联想之星、基石基金的天使轮投资；2021年2月获得奇安投资、基石基金的Pre-A投资。