QuoIntelligence发布《WINNTI组织的新的研究报告》

新发现的DNS隧道技术以及针对韩国游戏公司的新战役

 

执行摘要

 

  • 2020年1月,QuoIntelligence(QuoINT)检测到一个新的Winnti样本,该样本从德国位置上传到公共病毒扫描程序。经过初步分析,我们高度自信地评估了该样本已用于一家以前没有报道的德国化工公司。作为我们负责任的披露的一部分,我们已通知受影响的实体,当地的执法部门和我们的客户。
  • 在我们进行内部报道后的接下来几周内,德国新闻媒体消息来源塔吉斯豪(Tagesschau)报告  了我们对该样品的初步检测和分析,并确认了这家化学公司在2019年下半年意识到了这一袭击。
  • 我们分析的Winnti样本很有可能在2015年开发出来,并可能在今年左右首次使用,目前尚不清楚该损害在环境中存在了多长时间。
  • 尽管该恶意软件可能在数年前就已使用,但进一步的分析显示,以前从未报道过的C2技术从未归因于Winnti Group的工具包。
  • 该技术依赖于通过碘源代码的自定义实现实现的DNS隧道通信通道,碘源代码是一种开放源代码软件,可以通过DNS服务器建立IPv4数据的隧道。
  • 此外,我们还发现了一个以前未知的被盗数字证书,用于对Winnti相关的攻击组件进行数字签名,并且以以前未报告的韩国视频游戏公司为目标。
  • 我们发现的先进技术证实了Winnti集团是一个高度复杂,高度承诺的高级持久性集团,其目标是欧洲和南亚的众多不同行业。

 

介绍

 

Winnti Group(也称为APT41,BARIUM和Blackfly)是一家据称由中国政府支持的中国情报机构的伞形组织,通过使用共同的目标和攻击资源而建立联系。可疑的国家赞助商与中国政府的联系明确指出,它可能有动力继续瞄准多种行业,特别是那些被强调为中国经济发展重点的行业。

 

1月13日,星期五,QuoIntelligence(QuoINT)检测到一个新的Winnti样本,该样本从德国位置上传到公共病毒扫描程序。经过我们的初步分析,我们高度自信地评估了该样品已用于靶向以前未报告的德国化学公司。此外,在我们的分析过程中,我们发现了一个以前未知的被盗数字证书,用于对Winnti相关的驱动程序进行数字签名,并发现了针对韩国知名视频游戏公司的潜在活动。 

 

去年,研究人员和记者公开披露,温蒂集团针对的是汉高(2014年),巴斯夫(2015年),拜耳(2018年)和罗氏(2019年),并最终使其受到损害。自2015年以来,这家从未报告过的最新德国化学公司还是Winnti瞄准的另一家德国化学公司。在我们进行分析之前,未公开报告这种攻击活动。

 

图1:位于德国并归因于Winnti的攻击时间表

 

2019年12月,德国联邦宪法保护办公室(BfV)发布了一份报告,该报告与所谓的中国政府赞助的伞形组织温尼集团有关。通过我们内部的恶意软件分析,我们相信我们发现的样本与BfV报告中描述的Winnti样本高度相似。该样本还与ESET生成的情报报告共享的Winnti军械库的已知特征相匹配。

 

此外,我们已通知受影响的公司,执法机构,并在发现后向我们的客户发送警告。

 

温蒂集团

 

Winnti Group(也称为APT41,BARIUM和Blackfly)是一家据称由中国政府支持的中国情报机构的伞状组织,它们通过使用共同的目标和攻击资源而联系在一起。值得一提的是,归功于与中国有关联的其他威胁因素组织的各种操作,例如APT17和Ke3chang,也都利用了其后门恶意软件。至少从2010年开始活跃,归因于该组织的最初攻击主要针对游戏行业。但是,随着研究人员继续关注和剖析该小组及其活动,该小组的目标重点已扩展到其他行业,包括化学,制药,技术和软件。此外,该小组的发展涉及新工具和战术的增强,开发和纳入。

 

怀疑是国家赞助商与中国政府的联系,指出它可能有动力继续瞄准多种行业,特别是那些被强调为中国经济发展重点的行业。在Winnti Group的最新公开报告中,FireEye研究人员报告说归因于APT41的新的广泛活动的一部分,该活动涉及对Cisco,Citrix和Zoho产品最近披露和修补的漏洞的利用尝试。竞选活动显然采取了更具针对性的方法,以选择包括金融,政府和信息技术在内的各个部门的潜在受害者。根据研究人员的说法,确定的受害者系统证明了威胁参与者利用了商业上可利用的事后开发工具,例如Cobalt Strike和Meterpreter,它们实质上是功能齐全的后门。

 

技术分析

 

针对样品的德国化学公司

 

上载到VirusTotal的主要工件是动态链接库(DLL)文件,其编译时间戳表明该示例于2015年8月构建。尽管该编译时间可能是合法的,但无法确定攻击者何时以及使用了多长时间。这个恶意软件。

 

散列 汇编时间戳记 文件名
MD5: c893a12ff72698f09f89f778e4c9cd2bSHA1:06256946a69409cd18859bfa429184a282374d76SHA256: df6af36626d375c5e8aff45c64bfc1975d753b109e126a6cb30ee0523550329c 2015-08-06 01:52:51 TmPfwRVS.dll

 

表1 – Winnti示例

 

二元分析

 

与其他Winnti示例类似,配置部分包含一个字符串,该字符串引用活动的名称。在这种情况下,在0X020处,引用的广告系列名称是化工公司的名称-为该博客目的而编辑。

 

 

图2 –从Winnti示例中提取的配置

 

我们观察到的分析工件包含下面列出的以下二进制文件,并且与BfV报告中的观察结果一致。

 

散列 编译时间戳 文件名
MD5: c893a12ff72698f09f89f778e4c9cd2bSHA1:06256946a69409cd18859bfa429184a282374d76SHA256: df6af36626d375c5e8aff45c64bfc1975d753b109e126a6cb30ee0523550329c 2015-08-06 01:52:51 TmPfwRVS.dll
MD5:cf140dc4cad9e8216545593a4c08c7beSHA1:2b319b44451abb0596b9187e06f1fb7b4ace969dSHA256:bfa8948f72061eded548ef683830de068e438a6eaf2da44e0398a37ac3e26860 2015-08-05 12:08:00 driver1.sys
MD5:cc95391d75ce2443740f60114fe30ae9SHA1:30d1dd1dd4f0ace7a4f2c24e31fb6a0ee33e8a3aSHA256:8ddc6dd9fc3640cd786dfbc72212cd001d9369817aa69e0a2fa25e29560badcf 2015-05-05 11:31:13 driver2.sys
MD5:b4e66b445b39d0368bbe4b91a3cd98ffSHA1:2bc358ddc72f59ba0373b8635ab08ad747c12180SHA256:1865013aaca0f12679e35f06c4dad4e00d6372415ee8390b17b4f910fee1f7a2 2014-12-15 16:06:41 dsefix.exe
MD5:eaea9ccb40c82af8f3867cd0f4dd5e9dSHA1:7c1b25518dee1e30b5a6eaa1ea8e4a3780c24d0cSHA256:cf3a7​​d4285d65bf8688215407bce1b51d7c6b22497f09021f0fce31cbeb78986 2008年5月31日02:18:53 UTC vboxdrv.sys

 

表2 – bfa8948f72061eded548ef683830de068e438a6eaf2da44e0398a37ac3e26860包含的其他工件

 

dsefix.exe的分析

 

本质上,这是Windows x64驱动程序签名实施覆盖程序(DSEFix),用于通过使用包括的经过签名和可利用的旧的合法VirtualBox驱动程序来临时禁用Windows系统上的驱动程序签名实施。通过运行dsefix.exe,恶意软件可以绕过驱动程序验证并安装自己的驱动程序。我们确定了以下两个驱动程序,它们嵌入在前面描述的主要工件中。请注意,该技术在现代Windows(例如Windows 10)上不起作用–另一证据表明该恶意软件是多年前设计和使用的。

 

vboxdriver分析

 

这是易受攻击的漏洞,已使用用于开发的数字证书VirtualBox驱动程序正确签名。各种威胁参与者和以前突出显示的dsefix.exe 经常使用它该驱动程序还可用于执行Turla驱动程序加载程序(TDL)开发技术,该技术与DSEFix类似。

 

driver1.sys分析

 

在2019年末,ExaTrack 发布了他们对以前在野外观察到的签名Winnti Rootkit的分析,我们确认其本质上与Rootkit驱动程序相同。该样本能够将原始数据包注入网络并接收特殊格式的数据包。相比之下,我们的变体具有完全相同的字节数,并且有很多部分完全匹配。

 

driver2.sys分析

 

该rootkit驱动程序似乎与driver1.sys 大致相同,具有相同的特征,包括结构,I / O控制和设备字符串。但是,此驱动程序支持Windows的不同版本。它检查Windows新技术(NT)内部版本号的范围并尽早返回。

 

C2 DNS隧道

 

通过分析该恶意软件,可以在其代码中找到两个网络指示器:

 

 

图3 – Winnti示例中观察到的网络IoC

 

硬编码208.67.222.222 是合法的OpenDNS DNS服务器(resolver1.opendns.com )。该IP被推入恶意软件在运行时生成的列表中。可能的是,启动例程还会用系统的DNS填充列表,而OpenDNS服务器仅用作备用情况以确保C2域得到解析。

 

的家伙[。] MOOO [。] COM FQDN名称是由提供FreeDNS,这是一个免费的动态域名解析服务。值得注意的是,在最近几年中,许多研究人员报告了在mooo.com 区域中托管的Winnti / PlugX C2主机名。在代码中,我们观察到在FQDN之前强制了一个点(。)进一步的分析表明,该恶意软件会生成具有base128编码的子域,并将其附加到FQDN。 

 

 

代码1 –主机名长度限制

 

此外,作为主机名长度限制,可能每57个字符在其中添加一个点,这表明期望使用长主机名。我们确认缓冲区可以支持最多2000个字符的FQDN。

 

经过进一步调查,我们发现该恶意软件包括开源碘源代码,该软件可通过DNS服务器对IPv4数据进行隧道传输。有趣的是,我们还没有发现任何以前的文档,特别是Winnti专门利用碘来进行DNS隧道传输。但是,波鸿鲁尔大学的研究人员在寻找DNS隧道时,观察到了使用NULL 和TXT记录作为C2通信通道的APT32和Wekby APT组,并在发现中提到了mooo.com顶级域名。

 

Winnti示例中使用的碘的实现已集成并使用一些自定义包装器,作为匹配功能的证据,我们将在下一节中进一步详细讨论。

 

将碘用于C2 DNS隧道

 

碘DNS隧道解决方案嵌入最初在内存中加载并执行的DLL中,并且至少包括以下15个匹配功能:

 

 

表3 –恶意软件DLL功能

 

例如,64位可执行文件包含build_hostname函数(代码2),它与iodine 0.6.0(代码3)的旧32位版本(与调试符号编译)相对应:

 

 

代码2-iodine_0-6-0_build_hostname

 

 

代码3-碘_0-6-0_build_hostname

 

基于功能base128_blksize_enc和base128_blksize_raw 的存在,我们确定所使用的版本(虽然不完全清楚)是2017年5月之前补丁删除的那些版本。此外,比较分析表明,对于在此Winnti攻击操作中实施碘,对于具有64位预编译二进制文件的两个版本而言,没有完美的匹配。这表明碘是从源代码编译的,它被用作库是合理的,而不是以其独立可执行文件的正态分布格式使用。

 

下图详细介绍了恶意软件通过使用碘采取的DNS隧道技术。

 

 

图4 –通过DNS的C2通道

 

  1. 该恶意软件会生成一个主机名,并将其附加到嵌入式C2 dick [。] mooo [。] com上,并对生成的FQDN 进行NULL 查询(例如abcde 附加到.dick [。] mooo [。] com )。值得注意的是,NULL 和TXT DNS请求类型是碘的首选通道,因为它们“ 有望提供最大的下行带宽 ”。因此,波鸿鲁尔大学的研究人员在他们的研究中还观察到出于DNS隧道目的广泛使用NULL 请求类型并非偶然。
  2. 受感染的主机将DNS查询发送到运行时填充的列表中包括的DNS服务器之一,最后发送到OpenDNS备用服务器。此时,DNS服务器通过联系每个区域的名称服务器(NS)来执行递归DNS查询,直到获得dick [。] mooo [。] com 的权威NS 。注意,FreeDNS确实向用户提供了将其子域的权限委派给外部NS的功能。在描述的情况下,攻击者将其子域的NS委派给其NS用作事实上的C2服务器。
  3. DNS服务器通过将NULL记录类型的内容转发到受感染的主机来返回权威性答案。值得注意的是,合法DNS服务器充当了被感染主机与恶意服务器之间的代理,这使防御者无法在网络(L3)级别应用任何过滤。

 

NULL DNS记录类型

 

可以在以下摘录的反向摘录恶意软件中观察到NULL类型隧道的实现:

 

 

调用dns_encode时的第三个参数应为
Iodine的  dns.c中的 “结构查询”类型

 

 

根据  common.h,“结构查询”定义为:

 

 

由于QUERY_NAME_SIZE 等于512(4 * 128-整数是4个字节),所以从反向活动获得的query [128] 调用确实是DNS查询类型。

 

如前所述,反向活动将query [128]的值详细说明为0xa 。在Iodine的  windows.h中, T_NULL 为DNS_TYPE_NULL

 

 

最后,从  Windows文档中来看,  DNS_TYPE_NULL实际上是一个等于0xa的Windows常量。

 

 

 

 

Winnti用IQ Technology的数字证书签署了代码

 

在对配置为针对德国化工公司的Winnti样本进行分析的过程中,我们对其他与Winnti相关的驱动程序的比较分析显示,该数字证书颁发给了IQ Technology(一家生产自然语言处理(NLP)和人工智能(AI)软件的台湾公司)。rootkit驱动程序与已知的driver1.sys 对齐Winnti归因于攻击的是一个已知的TTP,其中涉及被盗的数字证书用于对其恶意软件组件进行代码签名,但该公开证书的使用并未得到公开讨论,只是来自与越南安全公司有关的安全研究人员的简短报告。尽管该报告不再在线,但是讨论的示例包含2015年8月的编译时间戳记,这是我们使用此数字证书识别出的最早在野外观察到的时间戳记。在分析时,数字证书已被吊销。

 

该示例的结构,调试符号以及其中包含的说明性调试消息表明,它很可能是开发版本。此外,编译时间戳指示该示例是在driver1.sys之前20分钟创建的 这两个样本都高度相关,其内容加上分析和报告的日期,从本质上巩固了它在2015年的存在;但是,这不一定能证实攻击时间。

 

针对韩国游戏公司的样本

 

散列 编译时间戳
MD5: 00961922e22e6a5d30b1d6fbd667d3c4SHA1:0fd54c26b593bd9e9218492d50d8873521c0ec0dSHA256: 4209b457f3b42dd2e1e119f2c9dd5b5fb1d063a77b49c7acbae89bbe4e284fb9 2016-03-07 09:44:01

 

表3 – Winnti样本中观察到的网络IoC

 

2月21日,我们检测到向公共在线恶意软件扫描服务提交了新提交的64位Winnti可执行文件。正如多位研究人员所报告的那样,Winnti运营商以模糊的方式将目标的名称直接嵌入了恶意软件。

 

二元分析

 

该示例类似于ESET描述的Winnti Dropper Install.exe,因为它是一个命令行可执行文件,用于删除和加载其他加密的有效负载:

 

 

不幸的是,我们无法找到打算由该dropper解密的有效负载。

 

但是,我们能够提取恶意软件的配置文件并确定预期目标。在这种情况下,以下字符串包含在提取的配置中:

 

 

根据Winnti集团的先前知识和目标,我们评估此样本很可能以韩国视频游戏公司Gravity Co.,Ltd.为目标。该公司以其大型多人在线角色扮演游戏(MMORPG)仙境传说在线而闻名,该游戏也作为移动应用程序提供。正如我们过去所报道的那样,视频游戏产业是Winnti集团的首选目标之一,特别是对于在韩国和台湾经营的公司而言。有趣的是,ESET研究人员在报告多个针对视频游戏行业的Winnti Group活动时,在其报告中列出了具有Campaign ID GRA KR 0629 的C2服务器。

 

 

从ESET研究白皮书“摘录串连起来,暴露了阿森纳和Winnti集团的方法 ”

 

目前,我们没有任何进一步的证据支持我们分析的样本与ESET详细介绍的C2之间的潜在联系,但值得注意的是C2广告系列ID /位置与我们从Winnti滴管中提取的广告系列ID之间的重合。

 

结论

 

Winnti集团已经展示出了他们的能力,可以利用各种TTP和恶意软件工具来破坏不同的组织并进行复杂的攻击操作,通常是出于间谍和经济利益的动机。尽管归因于该组的复杂性,归属并不具体,但可以在操作之间建立联系,这表明声称攻击的威胁行为者很可能在Winnti组内运行,或至少共享资源。  

 

检测到此未报告的Winnti变种,并将其上传到VirusTotal并针对一家德国化学公司,这与我们先前的观察和先前情报报告中的 研究相吻合,突显了Winnti Group对德国DAX公司的兴趣。结果,各种规模的组织,尤其是中小型公司,包括德国的隐性拥护者,都应做好应对威胁的准备,因为它们对经济生态系统和利基市场的持续发展至关重要。政府监督(本地,区域和整个欧盟)应确保诸如此类的易受攻击的组织遵循法规并实施安全最佳实践,以防止将来遭受攻击。

 

附录

 

 

 

妥协指标

 

4209b457f3b42dd2e1e119f2c9dd5b5fb1d063a77b49c7acbae89bbe4e284fb9

 

cf3a7​​d4285d65bf8688215407bce1b51d7c6b22497f09021f0fce31cbeb78986

 

1865013aaca0f12679e35f06c4dad4e00d6372415ee8390b17b4f910fee1f7a2

 

8ddc6dd9fc3640cd786dfbc72212cd001d9369817aa69e0a2fa25e29560badcf

 

bfa8948f72061eded548ef683830de068e438a6eaf2da44e0398a37ac3e26860

 

df6af36626d375c5e8aff45c64bfc1975d753b109e126a6cb30ee0523550329c

 

4209b457f3b42dd2e1e119f2c9dd5b5fb1d063a77b49c7acbae89bbe4e284fb9

 

cf3a7​​d4285d65bf8688215407bce1b51d7c6b22497f09021f0fce31cbeb78986

 

1865013aaca0f12679e35f06c4dad4e00d6372415ee8390b17b4f910fee1f7a2

 

8ddc6dd9fc3640cd786dfbc72212cd001d9369817aa69e0a2fa25e29560badcf

 

bfa8948f72061eded548ef683830de068e438a6eaf2da44e0398a37ac3e26860

 

df6af36626d375c5e8aff45c64bfc1975d753b109e126a6cb30ee0523550329c

 

* .dick [。] mooo [。] com

 

208 [。] 67 [。] 222 [。] 222

 

45 [。] 248 [。] 85 [。] 200

0 0 vote
Article Rating

未经允许不得转载:x-sec » QuoIntelligence发布《WINNTI组织的新的研究报告》

赞 (0) 打赏

This site uses Akismet to reduce spam. Learn how your comment data is processed.

0 Comments
Inline Feedbacks
View all comments

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏

0
Would love your thoughts, please comment.x
()
x