2020年2月發現winnti group新的模塊化后門pipemon。其主要目標是韓國和臺灣多人在線游戲和視頻公司,惡意軟件可發起對供應鏈的攻擊。攻擊者可在發行的游戲中植入木馬,或攻擊游戲服務器,利用游戲貨幣獲取經濟利益。winnti group從2012年以來一直保持活躍,該組織針對軟件行業供應鏈攻擊。最近eset研究人員還發現了其針對香港幾所大學的攻擊。
技術分析
在目標公司中發現了PipeMon的兩個變體,PipeMon的第一階段包括啟動嵌入在.rsrc中受密碼保護的可執行文件。 啟動程序將RARSFX會在自動生成目錄下寫入setup0.exe,通過參數提供密碼,利用CreateProcess執行RARSFX,如下所示:
setup0.exe -p*|T/PMR{|T2^LWJ*
每個樣本的密碼都不相同,然后將RARSFX的內容提取到%TMP%RarSFX0中:
? ? CrLnc.dat – 加密負載? ? Duser.dll – UAC bypass? ? osksupport.dll – UAC bypass? ? PrintDialog.dll – 惡意軟件初始化? ? PrintDialog.exe – 加載PrintDialog.dll的合法Windows文件? ? setup.dll – 安裝dll? ? setup.exe – 主程序
如果文件夾名發生沖突,RarSFX0字符串末尾的數字將遞增,直到沒有沖突為止。提取文件后,setup.exe將不帶參數地執行,使用LoadLibraryA加載setup.dll。 加載后,setup.dll將檢查形如‘–x:n’的參數,n不同操作模式也不同。表1中顯示了支持的參數及其相應的行為。
RARSFX在不帶參數的情況下執行setup.exe,檢查它是否以特權運行。 如果不是,進一步判斷Windows版本是否低于Windows 7?build 7601,如果符合條件則會利用token impersonation獲取權限。 否則它將嘗試使用不同的UAC bypass技術,可將有效載荷加載安裝到以下其中一項中:
? ? C:WindowsSystem32spoolprtprocsx64DEment.dll
? ? C:WindowsSystem32spoolprtprocsx64EntAppsvc.dll
? ? C:WindowsSystem32spoolprtprocsx64Interactive.dll
攻擊者并不是隨機選擇惡意DLL的位置,setup.dll通過設置以下注冊表值將DLL加載程序注冊為備用打印器: ? ?
HKLMSYSTEMControlSet001ControlPrintEnvironmentsWindows x64Print ProcessorsPrintFiiterPipelineSvcDriver = “DEment.dll”? ? ??
HKLMSYSTEMCurrentControlSetControlPrintEnvironmentsWindows x64Print Processorslltdsvc1Driver = “EntAppsvc.dll” ? ? ? ?
請注意PrintFiiterPipelineSvc中的拼寫錯誤(由于可以使用任何名稱,因此對打印處理器的安裝沒有影響)。
注冊打印處理器后,PipeMon重新啟動打印后臺處理服務(spoolsv.exe),將加載惡意打印進程。 Print Spooler服務會在每次PC啟動時啟動,從而確保了惡意程序的持久性。根據安裝程序的不同,會將CrLnc.dat寫入注冊表中的以下位置:
HKLMSOFTWAREMicrosoftPrintComponentsDC20FD7E-4B1B-4B88-8172-61F0BED7D9E8
HKLMSOFTWAREMicrosoftPrintComponentsA66F35-4164-45FF-9CB4-69ACAA10E52D
整個PipeMon執行過程如下圖所示: ? ?
PipeMon
PipeMon是一個模塊化后門,每個模塊都是一個DLL,可導出IntelLoader函數,使用反射加載技術進行加載。每個模塊具有不同的功能,如表2所示。
負責加載主要模塊(ManagerMain和GuardClient)的加載程序是Win32CmdDll.dll,位于打印處理器目錄中。這些模塊以加密的方式存儲在相同位置,其命名如下:
? ? banner.bmp
? ? certificate.cert
? ? License.hwp
? ? JSONDIU7c9djE
? ? D8JNCKS0DJE
? ? B0SDFUWEkNCj.logN
.hwp是韓文文字處理程序使用的擴展名,在韓國非常流行。模塊經過R**加密,解密密鑰‘Com!123Qasdz’會硬編碼在每個模塊之中。 Win32CmDll.dll解密并注入ManagerMain和GuardClient模塊。 ManagerMain模塊負責解密和注入Communication模塊,而GuardClient模塊將確保Communication模塊正在運行,并在必要時重新加載。下圖概述了PipeMon的工作方式。
Win32CmDll.dll首先嘗試將ManagerMain和GuardClient模塊注入以下名稱之一的進程中:lsass.exe,wininit.exe或lsm.exe。如果失敗,它將嘗試注入已注冊的Windows服務進程之一,但不包括名為spoolsv.exe,ekrn.exe(ESET),avp.exe(Kaspersky)或dllhost.exe的進程。如果所有操作均失敗,它將嘗試進程taskhost.exe,taskhostw.exe或explorer.exe。
可以使用專用命令按需加載其他模塊,但是還沒有發現其中的任何模塊。模塊間通過命名管道通信,每個模塊之間通信通道使用兩個命名管道,一個用于發送,一個用于接收。?
從C&C服務器收到%CNC_DEFINED%字符串,變量%B64_timestamp%是base64編碼的時間戳: ? ?
通訊模塊負責通過管道管理C&C服務器與其他模塊之間的通訊,其C&C地址硬編碼在ManagerMain模塊中。通信協議是基于TCP的TLS,通過HP-Socket庫處理。 所有消息均使用硬編碼密鑰進行R**加密。如果傳輸內容大于或等于4KB,則先使用zlib對其進行壓縮。
啟動與C&C服務器的通信,首先發送信標消息,其中包含以下信息:
? ? OS version
? ? physical addresses of connected network adapters concatenated with %B64_TIMESTAMP%
? ? victim’s local IP address
? ? backdoor version/campaign ID; we’ve observed the following values
? ? ? ? “1.1.1.4beat”
? ? ? ? “1.1.1.4Bata”
? ? ? ? “1.1.1.5”
? ? Victim computer name
支持的命令如下表: ? ?
攻擊者還使用了PipeMon的更新版本,R**替換為簡單的XOR,以0x75E8EEAF作為密鑰,刪除了所有硬編碼的字符串,使用隨機值命名模塊間通信管道。只有主加載程序作為文件存儲在磁盤上,更新的模塊如下表描述:
C&C 通信格式發生變化: ? ?
后門配置被加密并嵌入到加載程序DLL中。 ? ?
PipeMon模塊和安裝程序都使用相同的簽名,該證書可能是Winnti組織在上一次攻擊中盜取的。 ? ?