【精選威脅情資 #1】ShadowPad：Winnti Group 展開的新一波行動

‍

奧義智慧團隊長期追蹤國內外資安事件、各種駭侵樣態，並彙整解析全球網路威脅情資來源，提供客戶高品質情資報告。未來，我們將每個月精選出二至三篇情資，整理成部落格與大家分享，有興趣的話歡迎從奧義智慧 Facebook 粉絲專頁追蹤最新消息！

追蹤奧義智慧，隨時掌握最新資安動向

根據 Positive Technologies 的研究指出，由於一個先前未知的後門 xDll 被發現，使其 C2 伺服器遭到調查，而調查結果顯示，該伺服器內所找到的多種惡意程式，與具強烈中國色彩的駭客組織 Winnti Group 有所關聯。

xDll 的 C2 伺服器在設置上有一些缺陷，導致部分伺服器目錄能被外部存取，進而發現了：

• ShadowPad
• 先前未知的 Python 後門
• 執行攻擊的效用
• 加密的 xDll 後門

進一步的調查中指出， Winnti Group 的基礎架構正在擴張中，與 Winnti Group 相關的攻擊行動自 2019 年初以來也有所增加，前述的 xDll、SkinnyD、Python 後門等，皆是近期增加到 Winnti Group 武器庫中的惡意程式。

針對與 ShadowPad、 xDll、SkinnyD 與 Python 後門等相關的網路基礎架構，Positive Technologies Security 的報告中進行了更深入的分析，並提出一些潛在的證據、證明 Winnti Group 與一些目前還未知攻擊者的攻擊事件有關。

Winnti Group

Winnti Group 的活躍可以追溯至 2010 年起，起初他們的攻擊行動主要瞄準遊戲產業，而後其攻擊對象的範圍漸漸擴張到包含航空、能源、製藥、金融、電信、建築與教育等多種不同的產業領域，Winnti Group 以他們詳盡的偵查與複雜的攻擊手法聞名，如供應鏈與水坑攻擊 (Waterin hole attack) 等，他們主要使用的攻擊工具中，甚至包含了特別針對攻擊對象系統的特製惡意程式。

該組織的攻擊對象有俄羅斯、美國、日本、臺灣、韓國、蒙古、印度、得過、白俄羅斯與巴西等，研究報告指出 Winnti Group 應與 Axiom、APT17、Ke3chang 等其他駭客組織有密切的關係。

網路基礎架構

• xDll 的 C2 伺服器 www.g00gle_jp.dynamic-dns[.]net 是一些相似名稱網域的其中之一，而這些網域名稱暗指已完成或準備發動的攻擊目標，有可能是韓國、蒙古、俄羅斯和美國。
• 調查中發現了幾個與相關 C2 伺服器通訊的下載器，並會收到密鑰匙微為 0x37 的 XOR 加密 Payload，其中有一個下載器由於檔案小且具基本功能，而被命名為 SkinnyD (Skinny Downloader)，SkinnyD 的 URL 結構及其中某幾行與 xDll 後門非常相似。
• 在多個 C2 伺服器中均發現了帶有「2d2d79c478e92a7de25e661ff1a68de0833b9d9b」的 SSL 憑證，該憑證在 2017 年 Avast 調查的針對 CCLeaner 的攻擊、2019 年 FireEye 在 Code Blue 發表關於 POISONPLUG（FireEye 當時對 ShadowPad 的稱呼）的演講，以及被認為由 TaskMaster Group 發動的攻擊等多處之中出現過。關於重複使用相同 SSL 憑證的原因，目前暫時還沒有清楚的答案，有可能是因為 C2 伺服器安裝了相同的系統映像 (System image)，也可能只是攻擊者太過自信所導致的結果而已。
• 有一部分在 Winnti Group 網路基礎架構中發現的 IP 位址和網域，與在 TA459 與 Bisonal 等駭客組織所發動的攻擊行動中發現到的十分相似。
• 調查過程中確定了幾個受到攻擊的組織，包含：美國的一所大學、荷蘭的一間審計公司、 兩間建設公司（分別位在俄羅斯與中國）、五間軟體開發商（一間在德國，其餘在俄羅斯）
• ‍

惡意軟體

• 下圖為目前攻擊行動相關的流程。

‍

‍

• 惡意程式樣本的編譯時間可對應到 UTC+8 時區的工作時間，UTC+8 時區包含蒙古、北京、上海、香港、臺灣、菲律賓、新加坡等地。

‍

‍

SkinnyD

• SkinnyD 是一個簡單的下載器，內含幾組 C2 伺服器的位址並一一造訪。
• 根據在惡意程式碼中寫死的格式字串生成 URL，並透過該 URL 將下階段的 payload 和 GET 請求下載到 C2 伺服器。
• 下載回來的二進位檔案以 XOR 加密，並透過 PE reflective loading 加載後，轉移控制權至 MyCode。
• 藉由 Environment\UserInitMprLogonScript 得到持久性。

‍

xDll

• xDll dropper 是一個用 C 語言撰寫並在 Microsoft Visual Studio 編譯的可執行檔案，其編譯日期大約是 2020 年 2 月。
• xDll 提取 59,392 Bytes 的資料，並嘗試寫入到一至兩個路徑中：
  1. %windir%\Device.exe
  2. %windir%\system32\browseui.dll
• 接著，xDll 會自我複製至 %windir%\Device.exe 目錄並建立一個名為 VService 的服務，藉以確保服務自動啟動。
• xDll 後門用 C++ 編寫並在 Microsoft Visual Studio 以 MFC Library 進行編譯。
• 後門會蒐集其受害者的資訊，如電腦名稱、IP 位址、OEM 代碼頁、MAC 位址等，並檢查該使用者是否為管理員、以及是否在虛擬機器環境中。
• 傳送 GET 請求的後門會以下列形式傳送：
  1. hxxp://{host}:{port}/{uri}?type=1&hash={md5}&time={current_time}.
  2. host（C2 位址）
  3. port (port 80)
  4. uri（字串 “news.php”）
  5. md5（MAC 位址的雜湊值總和，很可能是受害者的識別碼）
  6. current_time（目前系統時間）
• C2 協定如下圖中列出：

‍

‍

ShadowPad

• 在某些不同的程式碼段落中插入特定的 Bytes 以混淆反組譯器。
• ShadowPad 是一款模組化的惡意程式，在此案例中，使用了 Root、Plugins、Online、Config、Install 和 DNS 等模組。
• 模組中的字串是被加密過的。
• 每次調用函式時都會重新計算位址，以躲避靜態分析。
• 惡意程式在 C:\ProgramData\ALGS\ 登記為一個服務，然後啟動並注入程式碼至 svchost.exe。

‍

Python 後門

• 此 Python 後門為 py2exe 格式並支援下列三種指令：
  1. CMDCMD：透過 cmd.exe 執行
  2. UPFILECMD：上傳檔案至伺服器
  3. DOWNFILECMD：從伺服器下載檔案
• 此後門藉由註冊表獲得持續性
  reg add “HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run” /v “startup” /d “c:/Windows/system32/idles.exe
• 提取出的資料以 ZLIB 壓縮及 Base64 編碼後，傳送到 C2
• 使用到的程序包含以下：
  1. Utilities17：檢查及利用 MS17–010 漏洞
  2. LaZagne18：蒐集密碼
  3. get_lsass19：在 x64 系統上進行 Passwords dumping
  4. NBTScan
  5. DomainInfo：蒐集網域資訊

參考資料

1. Positive Technologies Threat Report
2. MITRE ATT&CK Intel on Winnti Group