如何實(shí)現(xiàn)Winnti Group新變體分析

本篇文章給大家分享的是有關(guān)如何實(shí)現(xiàn)Winnti Group新變體分析，小編覺(jué)得挺實(shí)用的，因此分享給大家學(xué)習(xí)，希望大家閱讀完這篇文章后可以有所收獲，話不多說(shuō)，跟著小編一起來(lái)看看吧。

2020年2月發(fā)現(xiàn)Winnti Group新的模塊化后門(mén)PipeMon。其主要目標(biāo)是韓國(guó)和臺(tái)灣多人在線游戲和視頻公司，惡意軟件可發(fā)起對(duì)供應(yīng)鏈的攻擊。攻擊者可在發(fā)行的游戲中植入木馬，或攻擊游戲服務(wù)器，利用游戲貨幣獲取經(jīng)濟(jì)利益。Winnti Group從2012年以來(lái)一直保持活躍，該組織針對(duì)軟件行業(yè)供應(yīng)鏈攻擊。最近ESET研究人員還發(fā)現(xiàn)了其針對(duì)香港幾所大學(xué)的攻擊。

技術(shù)分析

在目標(biāo)公司中發(fā)現(xiàn)了PipeMon的兩個(gè)變體，PipeMon的第一階段包括啟動(dòng)嵌入在.rsrc中受密碼保護(hù)的可執(zhí)行文件。 啟動(dòng)程序?qū)ARSFX會(huì)在自動(dòng)生成目錄下寫(xiě)入setup0.exe，通過(guò)參數(shù)提供密碼，利用CreateProcess執(zhí)行RARSFX，如下所示：

setup0.exe -p*|T/PMR{|T2^LWJ*

每個(gè)樣本的密碼都不相同，然后將RARSFX的內(nèi)容提取到%TMP%\RarSFX0中：

    CrLnc.dat – 加密負(fù)載

    Duser.dll – UAC bypass

    osksupport.dll – UAC bypass

    PrintDialog.dll – 惡意軟件初始化

    PrintDialog.exe – 加載PrintDialog.dll的合法Windows文件

    setup.dll – 安裝dll

    setup.exe – 主程序

如果文件夾名發(fā)生沖突，RarSFX0字符串末尾的數(shù)字將遞增，直到?jīng)]有沖突為止。提取文件后，setup.exe將不帶參數(shù)地執(zhí)行，使用LoadLibraryA加載setup.dll。 加載后，setup.dll將檢查形如‘–x:n’的參數(shù)，n不同操作模式也不同。表1中顯示了支持的參數(shù)及其相應(yīng)的行為。

RARSFX在不帶參數(shù)的情況下執(zhí)行setup.exe，檢查它是否以特權(quán)運(yùn)行。 如果不是，進(jìn)一步判斷Windows版本是否低于Windows 7 build 7601，如果符合條件則會(huì)利用token impersonation獲取權(quán)限。 否則它將嘗試使用不同的UAC bypass技術(shù)，可將有效載荷加載安裝到以下其中一項(xiàng)中：

    C:\Windows\System32\spool\prtprocs\x64\DEment.dll

    C:\Windows\System32\spool\prtprocs\x64\EntAppsvc.dll

    C:\Windows\System32\spool\prtprocs\x64\Interactive.dll

攻擊者并不是隨機(jī)選擇惡意DLL的位置，setup.dll通過(guò)設(shè)置以下注冊(cè)表值將DLL加載程序注冊(cè)為備用打印器：    

HKLM\SYSTEM\ControlSet001\Control\Print\Environments\Windows x64\Print Processors\PrintFiiterPipelineSvc\Driver = “DEment.dll”      

HKLM\SYSTEM\CurrentControlSet\Control\Print\Environments\Windows x64\Print Processors\lltdsvc1\Driver = “EntAppsvc.dll”        

請(qǐng)注意PrintFiiterPipelineSvc中的拼寫(xiě)錯(cuò)誤（由于可以使用任何名稱(chēng)，因此對(duì)打印處理器的安裝沒(méi)有影響）。

注冊(cè)打印處理器后，PipeMon重新啟動(dòng)打印后臺(tái)處理服務(wù)（spoolsv.exe），將加載惡意打印進(jìn)程。 Print Spooler服務(wù)會(huì)在每次PC啟動(dòng)時(shí)啟動(dòng)，從而確保了惡意程序的持久性。根據(jù)安裝程序的不同，會(huì)將CrLnc.dat寫(xiě)入注冊(cè)表中的以下位置：

HKLM\SOFTWARE\Microsoft\Print\Components\DC20FD7E-4B1B-4B88-8172-61F0BED7D9E8

HKLM\SOFTWARE\Microsoft\Print\Components\A66F35-4164-45FF-9CB4-69ACAA10E52D

整個(gè)PipeMon執(zhí)行過(guò)程如下圖所示：    

PipeMon

PipeMon是一個(gè)模塊化后門(mén)，每個(gè)模塊都是一個(gè)DLL，可導(dǎo)出IntelLoader函數(shù)，使用反射加載技術(shù)進(jìn)行加載。每個(gè)模塊具有不同的功能，如表2所示。

負(fù)責(zé)加載主要模塊（ManagerMain和GuardClient）的加載程序是Win32CmdDll.dll，位于打印處理器目錄中。這些模塊以加密的方式存儲(chǔ)在相同位置，其命名如下：

    banner.bmp

    certificate.cert

    License.hwp

    JSONDIU7c9djE

    D8JNCKS0DJE

    B0SDFUWEkNCj.logN

.hwp是韓文文字處理程序使用的擴(kuò)展名，在韓國(guó)非常流行。模塊經(jīng)過(guò)R**加密，解密密鑰‘Com！123Qasdz’會(huì)硬編碼在每個(gè)模塊之中。 Win32CmDll.dll解密并注入ManagerMain和GuardClient模塊。 ManagerMain模塊負(fù)責(zé)解密和注入Communication模塊，而GuardClient模塊將確保Communication模塊正在運(yùn)行，并在必要時(shí)重新加載。下圖概述了PipeMon的工作方式。

Win32CmDll.dll首先嘗試將ManagerMain和GuardClient模塊注入以下名稱(chēng)之一的進(jìn)程中：lsass.exe，wininit.exe或lsm.exe。如果失敗，它將嘗試注入已注冊(cè)的Windows服務(wù)進(jìn)程之一，但不包括名為spoolsv.exe，ekrn.exe（ESET），avp.exe（Kaspersky）或dllhost.exe的進(jìn)程。如果所有操作均失敗，它將嘗試進(jìn)程taskhost.exe，taskhostw.exe或explorer.exe。

可以使用專(zhuān)用命令按需加載其他模塊，但是還沒(méi)有發(fā)現(xiàn)其中的任何模塊。模塊間通過(guò)命名管道通信，每個(gè)模塊之間通信通道使用兩個(gè)命名管道，一個(gè)用于發(fā)送，一個(gè)用于接收。 

從C＆C服務(wù)器收到％CNC_DEFINED％字符串，變量％B64_TIMESTAMP％是base64編碼的時(shí)間戳：    

通訊模塊負(fù)責(zé)通過(guò)管道管理C＆C服務(wù)器與其他模塊之間的通訊，其C＆C地址硬編碼在ManagerMain模塊中。通信協(xié)議是基于TCP的TLS，通過(guò)HP-Socket庫(kù)處理。 所有消息均使用硬編碼密鑰進(jìn)行R**加密。如果傳輸內(nèi)容大于或等于4KB，則先使用zlib對(duì)其進(jìn)行壓縮。

啟動(dòng)與C＆C服務(wù)器的通信，首先發(fā)送信標(biāo)消息，其中包含以下信息：

    OS version

    physical addresses of connected network adapters concatenated with %B64_TIMESTAMP%

    victim’s local IP address

    backdoor version/campaign ID; we’ve observed the following values

        “1.1.1.4beat”

        “1.1.1.4Bata”

        “1.1.1.5”

    Victim computer name

支持的命令如下表：    

攻擊者還使用了PipeMon的更新版本，R**替換為簡(jiǎn)單的XOR，以0x75E8EEAF作為密鑰，刪除了所有硬編碼的字符串，使用隨機(jī)值命名模塊間通信管道。只有主加載程序作為文件存儲(chǔ)在磁盤(pán)上，更新的模塊如下表描述：

C&C 通信格式發(fā)生變化：    

后門(mén)配置被加密并嵌入到加載程序DLL中。    

PipeMon模塊和安裝程序都使用相同的簽名，該證書(shū)可能是Winnti組織在上一次攻擊中盜取的。    

以上就是如何實(shí)現(xiàn)Winnti Group新變體分析，小編相信有部分知識(shí)點(diǎn)可能是我們?nèi)粘９ぷ鲿?huì)見(jiàn)到或用到的。希望你能通過(guò)這篇文章學(xué)到更多知識(shí)。更多詳情敬請(qǐng)關(guān)注億速云行業(yè)資訊頻道。