2022/1/27日本安全分析师会议2022 罗宇:新版WinDealer针对日本 的持续间谍活动 在2021年 LeonChang,YusukeNiwa,SuguruIshimaru 扬声器的生物 里昂ChangYusukeNiwaSuguruIshimaru 恶意软件研究人员@TeamT5 他的主要研究领域包括APT 活动跟踪,恶意软件分析 。 网络安全研究员@ITOCHU公司 他跟踪威胁趋势,包括垃圾邮件,APT和CyberCrime。 恶意软件研究人员@ 卡巴斯基实验室 他在全球范围内研究最新的威胁趋势,包括APT。 议程 012021年罗宇战役总结 02WinDealer的解剖 03案例研究 04Conclusions 议程 012021年罗宇战役总结 02WinDealer的解剖 03案例研究 04Conclusions 2021年罗宇战役总结 罗宇威胁集团概况 动机:为什么我们要研究罗宇活动? 2021年罗宇战役的时间表 目标地区和行业 日本机构在中国的子公司 中国民营银行的用户 罗宇威胁集团概况 名称:(罗宇) (罗宇)一种中国神话生物 蠃魚,魚身而鳥翼,音如鴛鴦,見則其邑大水。 翻译:有一对翅膀的鱼;当它出现时,洪水总是随之而来。 罗宇 目标行业 恶意软件 ReverseWindow WinDealer SpyDealer技术媒体Education XDealerShadowPadPlugX 新更新 Financial MOFA 军事电信物流 新更新 Origin 中国 俄罗斯美国捷克Republic澳大利亚德国 目标区域 中国香港Japan韩国台湾 新更新 目标 攻击 Japan 攻击 从持不同政见者收集信息 日本公司中国分公司 2021年罗宇战役时间表 2021年罗宇战役的时间表 确定新的跨平台后门 “XDealer” 2021年8 2021年4月 Case1Case2 的用户 中国私人银行 ReveseWindow的滴管 &ShadowPad 2021年82021年12月 2021年5月。 Case3 中国分公司日本公司 2021年9月 Case4 日本公司的另一个中国分公司 XDealer的Linux变体 议程 012021年罗宇战役总结 02WinDealer的解剖 03案例研究 04Conclusions 恶意软件个人资料:WinDealer 类别 Description 类型 模块化后门 命名 导出函数中的字符串前缀“Deal” 第一次看到 2008 函数 从获取受害者标签不存在的URL或不存在的域 C2 -C2配置-IP地址生成算法(IPGA)NEW 链接的APT 罗宇 WinDealer的硬编码版本 WinDealer的硬编码版本可能来自构建日期。 版本格式:[Main_version].[year].[month+day] 我们从收集的样本中观察到四个版本: 16.18.1030 17.19.0505 NEW 18.19.0628 18.20.1225 WinDealer的硬编码版本 在2016年之前,WinDealer使用硬编码的开发时间戳字符串作为互斥字符串 我们使用互斥字符串前缀来区分后门版本 WORK_20080729400351362402→WinDealer2008 MANAGE_20130831175600761943→WinDealer2013 WinDealer的演变 WinDealer的演变 WinDealer2008 WinDealer2013 WinDealer16.18.1030 首先,恶意软件旨在从以下位置收集敏感数据 在中国流行的消息传递应用程序。(支持15命令) 在2013年,它支持更多的间谍功能。(支持26命令)不存在的 URL:“http://www.360.cn/status/getsign.asp” 自2016年以来,WinDealer中有硬代码版本,其中包含窃取shadowsocks个人资料的功能。 WinDealer17.19.0505不存在的URL已更改为“http://www.360.cn/status/getonefile.asp” NEW WinDealer18.19.0628 WinDealer18.20.1225 不存在的URL已更改为不存在的域:http://www.microsoftcom/status/getsign.asp,48命令 最新版本的WinDealer WinDealer的深入分析 WinDealer的深入分析 隐写术技术 嵌入式DLL 收集主机信息 C2通信 WinDealer相关组件 隐写术技术 恶意软件在资源“位图”中包含一个附加模块利用隐写技术规避安全产品。 resID:129中的加密DLL Md5:76ba5272a17fdab7521ea21a57d23591 XOR(10字节密钥)AES(16字节密钥) 嵌入式DLL 魔术十六进制(4字节 大小(4字节) XOR键(10字节) 加密的嵌入式DLL 加密BLOB WinDealerEXE 解密嵌入式DLL 如何找到BLOB和解密 搜索方法是从图像的开头添加0x3000字节,然后一次前进1字节 ,并比较魔术十六进制模式以找到所需的位置。 嵌入式DLL使用10字节密钥进行XOR 嵌入式DLL的功能 导出函数名称 Description partInitOpt 在VFT上映射嵌入式函数,以便从主模块用作初始化 GetConfigInfo 从DLL映射嵌入的恶意软件配置数据 AutoGetSystemInfo 创建许多线程以获取受感染的设备信息 在reg密钥中设置生成的受害者ID 受害者ID格式:MD5("<MAC地址><Physical_Drive_info><username>") 恶意软件会创建一个特定的注册表项来存储生成的受害者ID,以便在下次执行中使用。 作为一个独特的隐藏技巧,受害者ID不存储原始数据,恶意软件将4字节受害者ID转换为IP地址样式。 收集主机信息 计算机名称 用户名 CPU信息 操作系统版本 网络接口 外部IP地址 用户帐户 截图 C2通信 在发送受害者数据之前,恶意软件将向数据添加自定义标头 有趣的特点: 基于WinDealer版本从不存在的域或不存在的URL获取受害者标签 http://www.360[.]cn/status/getsign.asp http://www.360[.]cn/status/getonefile.asp NXDOMAIN:http://www[.]microsoftcom/status/getsign.aspNEW C2防跟踪机构 IP地址生成算法(IPGA)NEW 从NXDOMAIN获取受害者标签 C2防跟踪机构 当后门没有C2配置时,使用IPGA(IP生成算法)生成随机C2IP地址 随机生成的IP将存在于特定的IP地址范围内 例如:113.62.0.0-113.63.255.255或111.120.0.0-111.123.255.255 这种机制将阻止研究人员追踪真正的C2IP C2服务器 C2通信 自定义标题 RSA加密 生成的AES密钥 TCP/UDP套接 WinDealer 自定义标题 AES加密 受害者数据 TCP/UDP套接 c2通信(第一次连接)的数据格式 偏移 Description 示例(十六进制) 0x00 魔术头标 0681DA91CEC79F43 0x08 生成的受害者ID 0x0C 受害者标签 00或01或02 0x0D 连接类型或后门命令ID 00=初始连接01=初始连接后其他=后门命令ID 0x0E 未知静态值 11或14 0x0F 未知静态值 00 0x10 加密数据+校验和 生成16字节AES密钥来加密C2通信 发送AES密钥加密RSA AES加密的C2通信 自定义标头+0xD中的1字节命令 EXE和嵌入式DLL中的分割后门 WinDealer相关组件 自2013年以来,我们在野外找到了WinDealer的下载器。 此外,我们发现旧的Windows内核模块下载器(2015~2017) PDB字符串:"Z:¥O¥移植入相关¥本土化出¥downexecdriver¥bin¥FAT32.pdb" WinDealer相关组件 我们发现了一个WinDealer下载器,其中包含一个合法域,但URL路径不存在。(DNS劫持或网络劫持) 用户代理是一个独特的“BBB”,也出现在WinDealerRAT中 WinDealer WinDealer下载器+合法URL WinDealer相关组件 有多个滴管/装载机样品与WinDealer相关。 恶意软件资源“AAA”包含加密的有效负载 resID:103中的加密有效负载 例如,恶意软件使用XOR解密有效负载,然后在内存中加载解密的有效负载 解密和加载 (WinDealer)。 WinDealer 议程 012021年罗宇战役总结 02WinDealer的解剖 03案例研究 04Conclusions 案例研究1:假网站和应用程序 网络钓鱼网站和木马安装程序模拟中国私人网上银行应用程序 下载连接 网络钓鱼网站木马安装程序ReverseWindow C2服务器 (反映了银行的合法网页) 银行应用程序的 (Windows、Android) 案例研究2:分散注意力的掉落错误图像 删除并执行 ReverseWindow版本连接 :2.2.2006131 C2服务器 ReverseWindow(.error.exe)的滴管 删除并执行删除滴管 Bash脚本 欺骗& 分散注意力 (C:¥ProgramData¥u.bat) &删除打开 目录 诱饵 (.¥Error.jpg) 案例研究2: 结合使用专有和共享后门 最近,我们发现罗宇正在使用Shadowpad攻击未知目标 C2服务器 ReverseWindow版本 :2.2.2006131 ShadowPad 最新的混淆方法(代码散射) 未知目标 案例研究3 受害者主机 Ver.18.20.1225 罗宇 TIME.exeWinDealer (qbupd.exe) TIM(一个合法的通信工具)试图以某种方式下载WinDealer,qbupd.exe,即使访问更新程序的合法目标。 C:¥用户¥<用户名>¥AppData¥漫游¥微软¥Windows ¥开始菜单¥程序¥启动¥qbupd.exe 在启动文件夹上创建WinDealer后,一旦受害者用户登录此主机,WinDealer将执行并通过6999/UDP将被盗数据发送到骨干路由器。 案例研究4 Ver.18.19.0628 受害者主机 YoudaDict.exeWinDealer (version.dll) 罗宇 YoudaoDict(合法工具)尝试下载WinDealer,version.dll,然后dll-边载它并在2021年6 月底执行嵌入式dll。 AV已多次检测到此版本的WinDealer,但由于在该组织中更换AV,受害者宿主导致受损。 公共信息研究(中国BBS) 2019年2月的中文博客文章描述了与WinDealer相关的感染,并涉及我们观察到的具有相同文件名(pptv (pplive)_forap_1084_9993.exe)的可执行文件。 感染流的详细信息 合法的EXE在特定条件下下载WinDealer。 WinDealer的初始矢量和通信流程 Initial