【精選威脅情資 #1】ShadowPad:Winnti Group 展開的新一波行動

Winnti Group 展開的新一波行動

奧義智慧團隊長期追蹤國內外資安事件、各種駭侵樣態,並彙整解析全球網路威脅情資來源,提供客戶高品質情資報告。未來,我們將每個月精選出二至三篇情資,整理成部落格與大家分享,有興趣的話歡迎從奧義智慧 Facebook 粉絲專頁追蹤最新消息!

追蹤奧義智慧,隨時掌握最新資安動向

根據 Positive Technologies 的研究指出,由於一個先前未知的後門 xDll 被發現,使其 C2 伺服器遭到調查,而調查結果顯示,該伺服器內所找到的多種惡意程式,與具強烈中國色彩的駭客組織 Winnti Group 有所關聯。

xDll 的 C2 伺服器在設置上有一些缺陷,導致部分伺服器目錄能被外部存取,進而發現了:

  • ShadowPad
  • 先前未知的 Python 後門
  • 執行攻擊的效用
  • 加密的 xDll 後門

進一步的調查中指出, Winnti Group 的基礎架構正在擴張中,與 Winnti Group 相關的攻擊行動自 2019 年初以來也有所增加,前述的 xDll、SkinnyD、Python 後門等,皆是近期增加到 Winnti Group 武器庫中的惡意程式。

針對與 ShadowPad、 xDll、SkinnyD 與 Python 後門等相關的網路基礎架構,Positive Technologies Security 的報告中進行了更深入的分析,並提出一些潛在的證據、證明 Winnti Group 與一些目前還未知攻擊者的攻擊事件有關。


Winnti Group

Winnti Group 的活躍可以追溯至 2010 年起,起初他們的攻擊行動主要瞄準遊戲產業,而後其攻擊對象的範圍漸漸擴張到包含航空、能源、製藥、金融、電信、建築與教育等多種不同的產業領域,Winnti Group 以他們詳盡的偵查與複雜的攻擊手法聞名,如供應鏈與水坑攻擊 (Waterin hole attack) 等,他們主要使用的攻擊工具中,甚至包含了特別針對攻擊對象系統的特製惡意程式。

該組織的攻擊對象有俄羅斯、美國、日本、臺灣、韓國、蒙古、印度、得過、白俄羅斯與巴西等,研究報告指出 Winnti Group 應與 Axiom、APT17、Ke3chang 等其他駭客組織有密切的關係。


網路基礎架構
  • xDll 的 C2 伺服器 www.g00gle_jp.dynamic-dns[.]net 是一些相似名稱網域的其中之一,而這些網域名稱暗指已完成或準備發動的攻擊目標,有可能是韓國、蒙古、俄羅斯和美國。
  • 調查中發現了幾個與相關 C2 伺服器通訊的下載器,並會收到密鑰匙微為 0x37 的 XOR 加密 Payload,其中有一個下載器由於檔案小且具基本功能,而被命名為 SkinnyD (Skinny Downloader),SkinnyD 的 URL 結構及其中某幾行與 xDll 後門非常相似。
  • 在多個 C2 伺服器中均發現了帶有「2d2d79c478e92a7de25e661ff1a68de0833b9d9b」的 SSL 憑證,該憑證在 2017 年 Avast 調查的針對 CCLeaner 的攻擊、2019 年 FireEye 在 Code Blue 發表關於 POISONPLUG(FireEye 當時對 ShadowPad 的稱呼)的演講,以及被認為由 TaskMaster Group 發動的攻擊等多處之中出現過。關於重複使用相同 SSL 憑證的原因,目前暫時還沒有清楚的答案,有可能是因為 C2 伺服器安裝了相同的系統映像 (System image),也可能只是攻擊者太過自信所導致的結果而已。
  • 有一部分在 Winnti Group 網路基礎架構中發現的 IP 位址和網域,與在 TA459 與 Bisonal 等駭客組織所發動的攻擊行動中發現到的十分相似。
  • 調查過程中確定了幾個受到攻擊的組織,包含:美國的一所大學、荷蘭的一間審計公司、 兩間建設公司(分別位在俄羅斯與中國)、五間軟體開發商(一間在德國,其餘在俄羅斯)
惡意軟體
  • 下圖為目前攻擊行動相關的流程。

攻擊行動相關的流程
圖片來源:Positive Technologies

  • 惡意程式樣本的編譯時間可對應到 UTC+8 時區的工作時間,UTC+8 時區包含蒙古、北京、上海、香港、臺灣、菲律賓、新加坡等地。

惡意程式樣本編譯時間

SkinnyD
  • SkinnyD 是一個簡單的下載器,內含幾組 C2 伺服器的位址並一一造訪。
  • 根據在惡意程式碼中寫死的格式字串生成 URL,並透過該 URL 將下階段的 payload 和 GET 請求下載到 C2 伺服器。
  • 下載回來的二進位檔案以 XOR 加密,並透過 PE reflective loading 加載後,轉移控制權至 MyCode。
  • 藉由 Environment\UserInitMprLogonScript 得到持久性。

xDll
  • xDll dropper 是一個用 C 語言撰寫並在 Microsoft Visual Studio 編譯的可執行檔案,其編譯日期大約是 2020 年 2 月。
  • xDll 提取 59,392 Bytes 的資料,並嘗試寫入到一至兩個路徑中:
    1. %windir%\Device.exe
    2. %windir%\system32\browseui.dll
  • 接著,xDll 會自我複製至 %windir%\Device.exe 目錄並建立一個名為 VService 的服務,藉以確保服務自動啟動。
  • xDll 後門用 C++ 編寫並在 Microsoft Visual Studio 以 MFC Library 進行編譯。
  • 後門會蒐集其受害者的資訊,如電腦名稱、IP 位址、OEM 代碼頁、MAC 位址等,並檢查該使用者是否為管理員、以及是否在虛擬機器環境中。
  • 傳送 GET 請求的後門會以下列形式傳送:
    1. hxxp://{host}:{port}/{uri}?type=1&hash={md5}&time={current_time}.
    2. host(C2 位址)
    3. port (port 80)
    4. uri(字串 “news.php”)
    5. md5(MAC 位址的雜湊值總和,很可能是受害者的識別碼)
    6. current_time(目前系統時間)
  • C2 協定如下圖中列出:

ShadowPad
  • 在某些不同的程式碼段落中插入特定的 Bytes 以混淆反組譯器。
  • ShadowPad 是一款模組化的惡意程式,在此案例中,使用了 Root、Plugins、Online、Config、Install 和 DNS 等模組。
  • 模組中的字串是被加密過的。
  • 每次調用函式時都會重新計算位址,以躲避靜態分析。
  • 惡意程式在 C:\ProgramData\ALGS\ 登記為一個服務,然後啟動並注入程式碼至 svchost.exe。

Python 後門
  • 此 Python 後門為 py2exe 格式並支援下列三種指令:
    1. CMDCMD:透過 cmd.exe 執行
    2. UPFILECMD:上傳檔案至伺服器
    3. DOWNFILECMD:從伺服器下載檔案
  • 此後門藉由註冊表獲得持續性
    reg add “HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run” /v “startup” /d “c:/Windows/system32/idles.exe
  • 提取出的資料以 ZLIB 壓縮及 Base64 編碼後,傳送到 C2
  • 使用到的程序包含以下:
    1. Utilities17:檢查及利用 MS17–010 漏洞
    2. LaZagne18:蒐集密碼
    3. get_lsass19:在 x64 系統上進行 Passwords dumping
    4. NBTScan
    5. DomainInfo:蒐集網域資訊

參考資料
  1. Positive Technologies Threat Report
  2. MITRE ATT&CK Intel on Winnti Group

Writer: CyCraft

關於 CyCraft

奧義智慧科技(CyCraft Technology)是一家專注於 AI 自動化技術的資安科技公司,成立於2017年。總部設於台灣,在日本和新加坡均設有子公司。為亞太地區的政府機關、警政國防、銀行和高科技製造產業提供專業資安服務。獲得華威國際集團(The CID Group)和淡馬錫控股旗下蘭亭投資(Pavilion Capital)的強力支持,並獲得國際頂尖研究機構 Gartner、IDC、Frost & Sullivan 的多項認可,以及海內外大獎的多次肯定。同時也是多個跨國資安組織和台灣資安社群的成員和合作夥伴,長年致力於資安產業的發展。

訂閱奧義智慧電子報

Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.
點擊此按鈕,即表示您同意奧義智慧的隱私權政策,並同意奧義智慧使用您所提供的資訊並寄送資訊給您。您隨時可以取消訂閱。