[Информационная безопасность] Higaisa или Winnti? Как мы определяли принадлежность бэкдоров
Автор
Сообщение
news_bot ®
Стаж: 6 лет 9 месяцев
Сообщений: 27286
В ходе мониторинга угроз ИБ в мае 2020 года эксперты Positive Technologies обнаружили несколько новых образцов вредоносного ПО (ВПО). На первый взгляд их следовало отнести к группе Higaisa, однако подробный анализ показал, что связывать эти вредоносы следует с группой Winnti (также известной как APT41, по данным FireEye). Детальный мониторинг позволил обнаружить и множество других экземпляров ВПО группы APT41, включая бэкдоры, дропперы, загрузчики и инжекторы. Нам также удалось обнаружить образцы ранее неизвестного бэкдора (мы назвали его FunnySwitch), обладающего нетипичной функциональностью peer-to-peer-передачи сообщений. Подробный отчет представлен по ссылке, а в этой статье мы расскажем о том, с чего началось наше исследование.ВведениеПервая из привлекших внимание экспертов атак была датирована 12 мая 2020.Использованный в ней вредоносный файл представляет собой архив с именем Project link and New copyright policy.rar (c3a45aaf6ba9f2a53d26a96406b6c34a56f364abe1dd54d55461b9cc5b9d9a04). Архив содержит документ-приманку в формате PDF (Zeplin Copyright Policy.pdf), а также папку All tort's projects - Web lnks с двумя ярлыками:
- Conversations - iOS - Swipe Icons - Zeplin.lnk,
- Tokbox icon - Odds and Ends - iOS - Zeplin.lnk.
Структура вредоносных ярлыков похожа на образец 20200308-sitrep-48-covid-19.pdf.lnk, который распространялся группой Higaisa в марте 2020.
Механизм начального заражения принципиально не изменился ― при попытке открыть любой из ярлыков выполняется команда, которая извлекает из тела LNK-файла закодированный с помощью Base64 CAB-архив, который затем распаковывается во временную папку. Дальнейшие действия выполняются с помощью извлеченного JS-скрипта.
Содержимое скрипта 34fDFkfSD32.jsВ качестве основной полезной нагрузки, устанавливаемой скриптом, выступает шеллкод с именем 3t54dE3r.tmp.30 мая 2020 был выявлен новый вредоносный объект — архив CVColliers.rar (df999d24bde96decdbb65287ca0986db98f73b4ed477e18c3ef100064bceba6d) с двумя ярлыками:
- Curriculum VitaeWANG LEI_Hong Kong Polytechnic University.pdf.lnk,
- International English Language Testing System certificate.pdf.lnk.
Их структура полностью повторяла образцы от 12 мая. В качестве приманки в данном случае использовались PDF-документы, содержащие резюме и сертификат IELTS.Данные атаки были подробно изучены нашими коллегами из Malwarebytes и Zscaler. Основываясь на схожести цепочек заражения, исследователи относят их к группе Higaisa.Однако детальный анализ шеллкода, который использовался в качестве полезной нагрузки, показал, что его образцы принадлежат к семейству ВПО Crosswalk. Это вредоносное ПО появилось не позднее 2017 года и было впервые упомянуто в отчете FireEye о деятельности группы APT41 (Winnti).
Фрагмент отчета FireEye
Фрагмент шеллкода 3t54dE3r.tmpИсследование сетевой инфраструктуры образцов также позволяет найти пересечения с ранее известной инфраструктурой APT41: на IP-адресе одного из C2-серверов обнаруживается SSL-сертификат с SHA-1 b8cff709950cfa86665363d9553532db9922265c, который также встречается на IP-адресе 67.229.97[.]229, упомянутом в отчете CrowdStrike за 2018 год. Дальнейшее изучение позволяет выйти на некоторые домены из отчета Kaspersky от 2013 года.Все это приводит нас к выводу, что данные атаки на основе LNK-файлов проводились группой Winnti (APT41), которая позаимствовала у Higaisa технику использования ярлыков.
Фрагмент сетевой инфраструктурыБэкдор CrosswalkCrosswalk представляет собой модульный бэкдор, реализованный в виде шеллкода. Его основной компонент отвечает за установку соединения с управляющим сервером, сбор и отправку информации о системе и имеет функциональность для установки и исполнения до 20 дополнительных модулей, принимаемых с сервера в виде шеллкода.Собираемая информация включает в себя:
- время работы ОС (uptime);
- IP-адреса сетевых адаптеров;
- MAC-адрес одного из адаптеров;
- версию и разрядность операционной системы;
- имя пользователя;
- имя компьютера;
- имя исполняемого модуля;
- PID процесса;
- версию и разрядность шеллкода.
Шеллкод имеет как 32-, так и 64-разрядные модификации. Его версии кодируются двумя числами, среди обнаруженных нами — 1.0, 1.10, 1.21, 1.22, 1.25, 2.0.Более детальный анализ одной из версий Crosswalk изложен в исследовании VMWare CarbonBlack.Загрузчики и инжекторыИсследование сетевой инфраструктуры и мониторинг новых образцов Crosswalk привели нас к выявлению других вредоносных объектов, содержащих в себе шеллкод Crosswalk в качестве основной нагрузки. Все эти объекты можно условно разделить на две группы ― загрузчики локального шеллкода и его инжекторы. В обоих группах часть образцов дополнительно обфусцирована с помощью VMProtect.
Код внедрения шеллкода в запущенный процессИнжекторы содержат в себе типичный код, который получает право SeDebugPrivilege, находит PID требуемого процесса и внедряет в него шеллкод. В качестве целевых процессов в разных экземплярах выступают explorer.exe и winlogon.exe.Обнаруженные нами экземпляры содержат один из трех вариантов полезной нагрузки:
- Crosswalk,
- Metasploit stager,
- FunnySwitch (подробнее об этом бэкдоре в полной версии статьи).
Основная функция образцов из группы загрузчиков локального шеллкода ― извлечение и исполнение шеллкода в текущем процессе. Среди них можно выделить две подгруппы в зависимости от источника шеллкода: он может находиться как в исходном исполняемом файле, так и во внешнем файле в той же директории.Работа большинства загрузчиков начинается с проверки текущего года, напоминающей поведение образцов из атак с LNK-файлами.
Код главной функции загрузчикаЗаключениеГруппа Winnti имеет в своем арсенале широкий инструментарий вредоносного ПО, которое активно использует в своих атаках. Группа применяет как массовые инструменты, такие как Metasploit, Cobalt Strike, PlugX, так и собственные разработки, список которых постоянно пополняется. В частности, не позднее мая 2020 года группа начала использовать свой новый бэкдор ― FunnySwitch.Отличительной особенностью бэкдоров группы является поддержка нескольких транспортных протоколов для соединения с командным сервером, что позволяет затруднить обнаружение вредоносного трафика.В полном отчете представлен более подробный анализ образцов ВПО, обнаруженных экспертами Positive Technologies. Также в документе описаны примеры атак и техник группировки Winnti.
===========
Источник:
habr.com
===========
Похожие новости:
- [Firefox, Информационная безопасность, Браузеры] Mozilla добавил в Firefox 85 поддержку импорта паролей из KeePass и Bitwarden
- [Информационная безопасность, Законодательство в IT, IT-компании] PickPoint опровергла утечку данных пользователей сервиса
- [Информационная безопасность, IT-компании] В Сбербанке появится удалённая регистрация физических лиц
- [Информационная безопасность, Поисковые технологии, Статистика в IT] Поисковик DuckDuckGo установил дневной рекорд в 100 млн запросов
- [Информационная безопасность, Законодательство в IT] Теперь каждую ИСПДн нужно подключать к SOC?
- [Информационная безопасность, Open source, Сетевые технологии] Разработчики OpenWRT предупредили пользователей о взломе форума проекта
- [Информационная безопасность, Антивирусная защита, Биотехнологии, Здоровье] Взломы и Вакцины, всё как вы любите…
- [Информационная безопасность, Системное администрирование] Автоматизация аудита безопасности информационных систем или SCAP ликбез
- [Информационная безопасность] Security Week 03: атака на Windows и Android в деталях
- [Информационная безопасность, Сетевые технологии, Восстановление данных, Исследования и прогнозы в IT, Облачные сервисы] 7 основных ошибок безопасности при переходе на облачные приложения (перевод)
Теги для поиска: #_informatsionnaja_bezopasnost (Информационная безопасность), #_winnti, #_higaisa, #_kibergurppirovki (кибергурппировки), #_informatsionnaja_bezopasnost (информационная безопасность), #_blog_kompanii_positive_technologies (
Блог компании Positive Technologies
), #_informatsionnaja_bezopasnost (
Информационная безопасность
)
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 16:24
Часовой пояс: UTC + 5
| Автор | Сообщение |
|---|---|
|
news_bot ®
Стаж: 6 лет 9 месяцев |
|
|
В ходе мониторинга угроз ИБ в мае 2020 года эксперты Positive Technologies обнаружили несколько новых образцов вредоносного ПО (ВПО). На первый взгляд их следовало отнести к группе Higaisa, однако подробный анализ показал, что связывать эти вредоносы следует с группой Winnti (также известной как APT41, по данным FireEye). Детальный мониторинг позволил обнаружить и множество других экземпляров ВПО группы APT41, включая бэкдоры, дропперы, загрузчики и инжекторы. Нам также удалось обнаружить образцы ранее неизвестного бэкдора (мы назвали его FunnySwitch), обладающего нетипичной функциональностью peer-to-peer-передачи сообщений. Подробный отчет представлен по ссылке, а в этой статье мы расскажем о том, с чего началось наше исследование.ВведениеПервая из привлекших внимание экспертов атак была датирована 12 мая 2020.Использованный в ней вредоносный файл представляет собой архив с именем Project link and New copyright policy.rar (c3a45aaf6ba9f2a53d26a96406b6c34a56f364abe1dd54d55461b9cc5b9d9a04). Архив содержит документ-приманку в формате PDF (Zeplin Copyright Policy.pdf), а также папку All tort's projects - Web lnks с двумя ярлыками:
 Механизм начального заражения принципиально не изменился ― при попытке открыть любой из ярлыков выполняется команда, которая извлекает из тела LNK-файла закодированный с помощью Base64 CAB-архив, который затем распаковывается во временную папку. Дальнейшие действия выполняются с помощью извлеченного JS-скрипта.  Содержимое скрипта 34fDFkfSD32.jsВ качестве основной полезной нагрузки, устанавливаемой скриптом, выступает шеллкод с именем 3t54dE3r.tmp.30 мая 2020 был выявлен новый вредоносный объект — архив CVColliers.rar (df999d24bde96decdbb65287ca0986db98f73b4ed477e18c3ef100064bceba6d) с двумя ярлыками:
 Фрагмент отчета FireEye  Фрагмент шеллкода 3t54dE3r.tmpИсследование сетевой инфраструктуры образцов также позволяет найти пересечения с ранее известной инфраструктурой APT41: на IP-адресе одного из C2-серверов обнаруживается SSL-сертификат с SHA-1 b8cff709950cfa86665363d9553532db9922265c, который также встречается на IP-адресе 67.229.97[.]229, упомянутом в отчете CrowdStrike за 2018 год. Дальнейшее изучение позволяет выйти на некоторые домены из отчета Kaspersky от 2013 года.Все это приводит нас к выводу, что данные атаки на основе LNK-файлов проводились группой Winnti (APT41), которая позаимствовала у Higaisa технику использования ярлыков.  Фрагмент сетевой инфраструктурыБэкдор CrosswalkCrosswalk представляет собой модульный бэкдор, реализованный в виде шеллкода. Его основной компонент отвечает за установку соединения с управляющим сервером, сбор и отправку информации о системе и имеет функциональность для установки и исполнения до 20 дополнительных модулей, принимаемых с сервера в виде шеллкода.Собираемая информация включает в себя:
 Код внедрения шеллкода в запущенный процессИнжекторы содержат в себе типичный код, который получает право SeDebugPrivilege, находит PID требуемого процесса и внедряет в него шеллкод. В качестве целевых процессов в разных экземплярах выступают explorer.exe и winlogon.exe.Обнаруженные нами экземпляры содержат один из трех вариантов полезной нагрузки:
 Код главной функции загрузчикаЗаключениеГруппа Winnti имеет в своем арсенале широкий инструментарий вредоносного ПО, которое активно использует в своих атаках. Группа применяет как массовые инструменты, такие как Metasploit, Cobalt Strike, PlugX, так и собственные разработки, список которых постоянно пополняется. В частности, не позднее мая 2020 года группа начала использовать свой новый бэкдор ― FunnySwitch.Отличительной особенностью бэкдоров группы является поддержка нескольких транспортных протоколов для соединения с командным сервером, что позволяет затруднить обнаружение вредоносного трафика.В полном отчете представлен более подробный анализ образцов ВПО, обнаруженных экспертами Positive Technologies. Также в документе описаны примеры атак и техник группировки Winnti. =========== Источник: habr.com =========== Похожие новости:
Блог компании Positive Technologies ), #_informatsionnaja_bezopasnost ( Информационная безопасность ) |
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 16:24
Часовой пояс: UTC + 5