QuoIntelligence發布《WINNTI組織的新的研究報告》

新發現的DNS隧道技術以及針對韓國遊戲公司的新戰役

執行摘要

2020年1月，QuoIntelligence（QuoINT）檢測到一個新的Winnti樣本，該樣本從德國位置上傳到公共病毒掃描程序。經過初步分析，我們高度自信地評估了該樣本已用於一家以前沒有報導的德國化工公司。作為我們負責任的披露的一部分，我們已通知受影響的實體，當地的執法部門和我們的客戶。在我們進行內部報導後的接下來幾周內，德國新聞媒體消息來源塔吉斯豪（Tagesschau）報告 了我們對該樣品的初步檢測和分析，並確認了這家化學公司在2019年下半年意識到了這一襲擊。我們分析的Winnti樣本很有可能在2015年開發出來，並可能在今年左右首次使用，目前尚不清楚該損害在環境中存在了多長時間。儘管該惡意軟體可能在數年前就已使用，但進一步的分析顯示，以前從未報導過的C2技術從未歸因於Winnti Group的工具包。該技術依賴於通過碘原始碼的自定義實現實現的DNS隧道通信通道，碘原始碼是一種開放原始碼軟體，可以通過DNS伺服器建立IPv4數據的隧道。此外，我們還發現了一個以前未知的被盜數字證書，用於對Winnti相關的攻擊組件進行數字籤名，並且以以前未報告的韓國視頻遊戲公司為目標。我們發現的先進技術證實了Winnti集團是一個高度複雜，高度承諾的高級持久性集團，其目標是歐洲和南亞的眾多不同行業。

介紹

Winnti Group（也稱為APT41，BARIUM和Blackfly）是一家據稱由中國政府支持的中國情報機構的傘形組織，通過使用共同的目標和攻擊資源而建立聯繫。可疑的國家贊助商與中國政府的聯繫明確指出，它可能有動力繼續瞄準多種行業，特別是那些被強調為中國經濟發展重點的行業。

1月13日，星期五，QuoIntelligence（QuoINT）檢測到一個新的Winnti樣本，該樣本從德國位置上傳到公共病毒掃描程序。經過我們的初步分析，我們高度自信地評估了該樣品已用於靶向以前未報告的德國化學公司。此外，在我們的分析過程中，我們發現了一個以前未知的被盜數字證書，用於對Winnti相關的驅動程序進行數字籤名，並發現了針對韓國知名視頻遊戲公司的潛在活動。

去年，研究人員和記者公開披露，溫蒂集團針對的是漢高（2014年），巴斯夫（2015年），拜耳（2018年）和羅氏（2019年），並最終使其受到損害。自2015年以來，這家從未報告過的最新德國化學公司還是Winnti瞄準的另一家德國化學公司。在我們進行分析之前，未公開報告這種攻擊活動。

圖1：位於德國並歸因於Winnti的攻擊時間表

2019年12月，德國聯邦憲法保護辦公室（BfV）發布了一份報告，該報告與所謂的中國政府贊助的傘形組織溫尼集團有關。通過我們內部的惡意軟體分析，我們相信我們發現的樣本與BfV報告中描述的Winnti樣本高度相似。該樣本還與ESET生成的情報報告共享的Winnti軍械庫的已知特徵相匹配。

此外，我們已通知受影響的公司，執法機構，並在發現後向我們的客戶發送警告。

溫蒂集團

Winnti Group（也稱為APT41，BARIUM和Blackfly）是一家據稱由中國政府支持的中國情報機構的傘狀組織，它們通過使用共同的目標和攻擊資源而聯繫在一起。值得一提的是，歸功於與中國有關聯的其他威脅因素組織的各種操作，例如APT17和Ke3chang，也都利用了其後門惡意軟體。至少從2010年開始活躍，歸因於該組織的最初攻擊主要針對遊戲行業。但是，隨著研究人員繼續關注和剖析該小組及其活動，該小組的目標重點已擴展到其他行業，包括化學，製藥，技術和軟體。此外，該小組的發展涉及新工具和戰術的增強，開發和納入。

懷疑是國家贊助商與中國政府的聯繫，指出它可能有動力繼續瞄準多種行業，特別是那些被強調為中國經濟發展重點的行業。在Winnti Group的最新公開報告中，FireEye研究人員報告說歸因於APT41的新的廣泛活動的一部分，該活動涉及對Cisco，Citrix和Zoho產品最近披露和修補的漏洞的利用嘗試。競選活動顯然採取了更具針對性的方法，以選擇包括金融，政府和信息技術在內的各個部門的潛在受害者。根據研究人員的說法，確定的受害者系統證明了威脅參與者利用了商業上可利用的事後開發工具，例如Cobalt Strike和Meterpreter，它們實質上是功能齊全的後門。

技術分析

針對樣品的德國化學公司

上載到VirusTotal的主要工件是動態連結庫（DLL）文件，其編譯時間戳表明該示例於2015年8月構建。儘管該編譯時間可能是合法的，但無法確定攻擊者何時以及使用了多長時間。這個惡意軟體。

表1 – Winnti示例

二元分析

與其他Winnti示例類似，配置部分包含一個字符串，該字符串引用活動的名稱。在這種情況下，在0X020處，引用的廣告系列名稱是化工公司的名稱-為該博客目的而編輯。

圖2 –從Winnti示例中提取的配置

我們觀察到的分析工件包含下面列出的以下二進位文件，並且與BfV報告中的觀察結果一致。

表2 – bfa8948f72061eded548ef683830de068e438a6eaf2da44e0398a37ac3e26860包含的其他工件

dsefix.exe的分析

本質上，這是Windows x64驅動程序籤名實施覆蓋程序（DSEFix），用於通過使用包括的經過籤名和可利用的舊的合法VirtualBox驅動程序來臨時禁用Windows系統上的驅動程序籤名實施。通過運行dsefix.exe，惡意軟體可以繞過驅動程序驗證並安裝自己的驅動程序。我們確定了以下兩個驅動程序，它們嵌入在前面描述的主要工件中。請注意，該技術在現代Windows（例如Windows 10）上不起作用–另一證據表明該惡意軟體是多年前設計和使用的。

vboxdriver分析

這是易受攻擊的漏洞，已使用用於開發的數字證書VirtualBox驅動程序正確籤名。各種威脅參與者和以前突出顯示的dsefix.exe 經常使用它。該驅動程序還可用於執行Turla驅動程序加載程序（TDL）開發技術，該技術與DSEFix類似。

driver1.sys分析

在2019年末，ExaTrack 發布了他們對以前在野外觀察到的籤名Winnti Rootkit的分析，我們確認其本質上與Rootkit驅動程序相同。該樣本能夠將原始數據包注入網絡並接收特殊格式的數據包。相比之下，我們的變體具有完全相同的字節數，並且有很多部分完全匹配。

driver2.sys分析

該rootkit驅動程序似乎與driver1.sys 大致相同，具有相同的特徵，包括結構，I / O控制和設備字符串。但是，此驅動程序支持Windows的不同版本。它檢查Windows新技術（NT）內部版本號的範圍並儘早返回。

C2 DNS隧道

通過分析該惡意軟體，可以在其代碼中找到兩個網絡指示器：

圖3 – Winnti示例中觀察到的網絡IoC

硬編碼208.67.222.222 是合法的OpenDNS DNS伺服器（resolver1.opendns.com ）。該IP被推入惡意軟體在運行時生成的列表中。可能的是，啟動例程還會用系統的DNS填充列表，而OpenDNS伺服器僅用作備用情況以確保C2域得到解析。

的傢伙[。] MOOO [。] COM FQDN名稱是由提供FreeDNS，這是一個免費的動態域名解析服務。值得注意的是，在最近幾年中，許多研究人員報告了在mooo.com 區域中託管的Winnti / PlugX C2主機名。在代碼中，我們觀察到在FQDN之前強制了一個點（。）。進一步的分析表明，該惡意軟體會生成具有base128編碼的子域，並將其附加到FQDN。

代碼1 –主機名長度限制

此外，作為主機名長度限制，可能每57個字符在其中添加一個點，這表明期望使用長主機名。我們確認緩衝區可以支持最多2000個字符的FQDN。

經過進一步調查，我們發現該惡意軟體包括開源碘原始碼，該軟體可通過DNS伺服器對IPv4數據進行隧道傳輸。有趣的是，我們還沒有發現任何以前的文檔，特別是Winnti專門利用碘來進行DNS隧道傳輸。但是，波鴻魯爾大學的研究人員在尋找DNS隧道時，觀察到了使用NULL 和TXT記錄作為C2通信通道的APT32和Wekby APT組，並在發現中提到了mooo.com頂級域名。

Winnti示例中使用的碘的實現已集成並使用一些自定義包裝器，作為匹配功能的證據，我們將在下一節中進一步詳細討論。

將碘用於C2 DNS隧道

碘DNS隧道解決方案嵌入最初在內存中加載並執行的DLL中，並且至少包括以下15個匹配功能：

表3 –惡意軟體DLL功能

例如，64位可執行文件包含build_hostname函數（代碼2），它與iodine 0.6.0（代碼3）的舊32位版本（與調試符號編譯）相對應：

代碼2-iodine_0-6-0_build_hostname

代碼3-碘_0-6-0_build_hostname

基於功能base128_blksize_enc和base128_blksize_raw 的存在，我們確定所使用的版本（雖然不完全清楚）是2017年5月之前補丁刪除的那些版本。此外，比較分析表明，對於在此Winnti攻擊操作中實施碘，對於具有64位預編譯二進位文件的兩個版本而言，沒有完美的匹配。這表明碘是從原始碼編譯的，它被用作庫是合理的，而不是以其獨立可執行文件的正態分布格式使用。

下圖詳細介紹了惡意軟體通過使用碘採取的DNS隧道技術。

圖4 –通過DNS的C2通道

該惡意軟體會生成一個主機名，並將其附加到嵌入式C2 dick [。] mooo [。] com上，並對生成的FQDN 進行NULL 查詢（例如abcde 附加到.dick [。] mooo [。] com ）。值得注意的是，NULL 和TXT DNS請求類型是碘的首選通道，因為它們「 有望提供最大的下行帶寬 」。因此，波鴻魯爾大學的研究人員在他們的研究中還觀察到出於DNS隧道目的廣泛使用NULL 請求類型並非偶然。受感染的主機將DNS查詢發送到運行時填充的列表中包括的DNS伺服器之一，最後發送到OpenDNS備用伺服器。此時，DNS伺服器通過聯繫每個區域的名稱伺服器（NS）來執行遞歸DNS查詢，直到獲得dick [。] mooo [。] com 的權威NS 。注意，FreeDNS確實向用戶提供了將其子域的權限委派給外部NS的功能。在描述的情況下，攻擊者將其子域的NS委派給其NS用作事實上的C2伺服器。DNS伺服器通過將NULL記錄類型的內容轉發到受感染的主機來返回權威性答案。值得注意的是，合法DNS伺服器充當了被感染主機與惡意伺服器之間的代理，這使防禦者無法在網絡（L3）級別應用任何過濾。

NULL DNS記錄類型

可以在以下摘錄的反向摘錄惡意軟體中觀察到NULL類型隧道的實現：

調用dns_encode時的第三個參數應為Iodine的 dns.c中的「結構查詢」類型

根據 common.h，「結構查詢」定義為：

由於QUERY_NAME_SIZE 等於512（4 * 128-整數是4個字節），所以從反向活動獲得的query [128] 調用確實是DNS查詢類型。

如前所述，反向活動將query [128]的值詳細說明為0xa 。在Iodine的 windows.h中，T_NULL 為DNS_TYPE_NULL

最後，從 Windows文檔中來看， DNS_TYPE_NULL實際上是一個等於0xa的Windows常量。

Winnti用IQ Technology的數字證書籤署了代碼

在對配置為針對德國化工公司的Winnti樣本進行分析的過程中，我們對其他與Winnti相關的驅動程序的比較分析顯示，該數字證書頒發給了IQ Technology（一家生產自然語言處理（NLP）和人工智慧（AI）軟體的臺灣公司）。rootkit驅動程序與已知的driver1.sys 對齊。Winnti歸因於攻擊的是一個已知的TTP，其中涉及被盜的數字證書用於對其惡意軟體組件進行代碼籤名，但該公開證書的使用並未得到公開討論，只是來自與越南安全公司有關的安全研究人員的簡短報告。儘管該報告不再在線，但是討論的示例包含2015年8月的編譯時間戳記，這是我們使用此數字證書識別出的最早在野外觀察到的時間戳記。在分析時，數字證書已被吊銷。

該示例的結構，調試符號以及其中包含的說明性調試消息表明，它很可能是開發版本。此外，編譯時間戳指示該示例是在driver1.sys之前20分鐘創建的。 這兩個樣本都高度相關，其內容加上分析和報告的日期，從本質上鞏固了它在2015年的存在；但是，這不一定能證實攻擊時間。

針對韓國遊戲公司的樣本

表3 – Winnti樣本中觀察到的網絡IoC

2月21日，我們檢測到向公共在線惡意軟體掃描服務提交了新提交的64位Winnti可執行文件。正如多位研究人員所報告的那樣，Winnti運營商以模糊的方式將目標的名稱直接嵌入了惡意軟體。

二元分析

該示例類似於ESET描述的Winnti Dropper Install.exe，因為它是一個命令行可執行文件，用於刪除和加載其他加密的有效負載：

不幸的是，我們無法找到打算由該dropper解密的有效負載。

但是，我們能夠提取惡意軟體的配置文件並確定預期目標。在這種情況下，以下字符串包含在提取的配置中：

根據Winnti集團的先前知識和目標，我們評估此樣本很可能以韓國視頻遊戲公司Gravity Co.，Ltd.為目標。該公司以其大型多人在線角色扮演遊戲（MMORPG）仙境傳說在線而聞名，該遊戲也作為行動應用程式提供。正如我們過去所報導的那樣，視頻遊戲產業是Winnti集團的首選目標之一，特別是對於在韓國和臺灣經營的公司而言。有趣的是，ESET研究人員在報告多個針對視頻遊戲行業的Winnti Group活動時，在其報告中列出了具有Campaign ID GRAKR 0629 的C2伺服器。

從ESET研究白皮書「摘錄串連起來，暴露了阿森納和Winnti集團的方法」

目前，我們沒有任何進一步的證據支持我們分析的樣本與ESET詳細介紹的C2之間的潛在聯繫，但值得注意的是C2廣告系列ID /位置與我們從Winnti滴管中提取的廣告系列ID之間的重合。

結論

Winnti集團已經展示出了他們的能力，可以利用各種TTP和惡意軟體工具來破壞不同的組織並進行複雜的攻擊操作，通常是出於間諜和經濟利益的動機。儘管歸因於該組的複雜性，歸屬並不具體，但可以在操作之間建立聯繫，這表明聲稱攻擊的威脅行為者很可能在Winnti組內運行，或至少共享資源。

檢測到此未報告的Winnti變種，並將其上傳到VirusTotal並針對一家德國化學公司，這與我們先前的觀察和先前情報報告中的 研究相吻合，突顯了Winnti Group對德國DAX公司的興趣。結果，各種規模的組織，尤其是中小型公司，包括德國的隱性擁護者，都應做好應對威脅的準備，因為它們對經濟生態系統和利基市場的持續發展至關重要。政府監督（本地，區域和整個歐盟）應確保諸如此類的易受攻擊的組織遵循法規並實施安全最佳實踐，以防止將來遭受攻擊。

附錄

妥協指標

4209b457f3b42dd2e1e119f2c9dd5b5fb1d063a77b49c7acbae89bbe4e284fb9

cf3a7d4285d65bf8688215407bce1b51d7c6b22497f09021f0fce31cbeb78986

1865013aaca0f12679e35f06c4dad4e00d6372415ee8390b17b4f910fee1f7a2

8ddc6dd9fc3640cd786dfbc72212cd001d9369817aa69e0a2fa25e29560badcf

bfa8948f72061eded548ef683830de068e438a6eaf2da44e0398a37ac3e26860

df6af36626d375c5e8aff45c64bfc1975d753b109e126a6cb30ee0523550329c

4209b457f3b42dd2e1e119f2c9dd5b5fb1d063a77b49c7acbae89bbe4e284fb9

cf3a7d4285d65bf8688215407bce1b51d7c6b22497f09021f0fce31cbeb78986

1865013aaca0f12679e35f06c4dad4e00d6372415ee8390b17b4f910fee1f7a2

8ddc6dd9fc3640cd786dfbc72212cd001d9369817aa69e0a2fa25e29560badcf

bfa8948f72061eded548ef683830de068e438a6eaf2da44e0398a37ac3e26860

df6af36626d375c5e8aff45c64bfc1975d753b109e126a6cb30ee0523550329c

* .dick [。] mooo [。] com

208 [。] 67 [。] 222 [。] 222

45 [。] 248 [。] 85 [。] 200