正文

恶意软件 WinDealer 的分析

admin
admin V管理员 /0 评论 /7 阅读
0113
文章最后更新时间2025年01月13日,若文章内容或图片失效,请留言反馈!

介绍

LuoYu是一个鲜为人知的攻击团伙,自 2008 年以来一直活跃。在对这个团伙的初步介绍中,TeamT5确定了三个恶意软件系列:SpyDealer、Demsty 和WinDealer,可以针对 Windows、Linux 、 macOS 以及 Android 设备。
几年前,Kaspersky对LuoYu的活动进行了调查,并能够确定 Demsty 和 WinDealer 之间的联系。在本文中,将重点关注最具突破性的进展:LuoYu可以执行侧面攻击(man-on-the-side attacks)。

传播方式

过去,LuoYu主要使用水坑攻击(例如,在本地新闻网站上)来感染目标。其Android 恶意软件的变种会冒充亚洲流行的消息应用程序,并且以多种形式分发恶意 APK,包括社会工程。
2020 年,研究人员发现了WinDealer恶意软件的一种全新的传播方式,它利用了特定的合法应用程序的自动更新机制。在调查的一个样本中,一个签名的可执行程序qgametool.exe(MD5 f756083b62ba45dcc6a4d2d2727780e4),编译于2012年,在目标中安装了WinDealer。这个程序包含一个硬编码的URL,它用来检查更新,如以下图所示:
更新 qgametool.exe 中硬编码的 URL
位于此 URL 的可执行文件 (hxxp://download.pplive[.]com/PPTV(pplive)_forap_1084_9993.exe, MD5 270902c6bb6844dc25ffaec801393245 ) 是良性的,但遥测显示,在极少数情况下,反而会分发一个WinDealer 样本 (MD5 ce65092fe9959cc0ee5a8408987e3cd4 )。
WinDealer 感染流程
研究人员还发现了一个在线帖子,有用户报告在他们的计算机上发现了同名恶意软件——PPTV(pplive)_forap_1084_9993.exe。因为发布的信息足够完整,可以让研究人员确认他们确实收到了WinDealer的样本。
暂且不谈分发方式的奥秘,先来分析恶意软件本身的能力。

WinDealer 的技术分析

WinDealer 是一个模块化的恶意软件平台。它通过查找硬编码模式来定位其资源中的嵌入式 DLL 文件并执行,然后使用 10 字节 XOR 密钥对其进行解码。
加密数据的布局
WinDealer 的逻辑分布在初始EXE 及其配套DLL 中:前者包含程序的设置以及网络通信,而C2 发送的命令会在后者中执行。该恶意软件具有以下功能:
  • 文件和文件系统处理:读、写和删除文件,列出目录,获取磁盘信息;
  • 信息收集:收集硬件详细信息、网络配置和键盘布局,列出运行进程、安装的应用程序和流行消息应用程序(Skype、QQ、微信和旺旺)的配置文件;
  • 任意文件的下载和上传;
  • 任意命令执行;
  • 全系统搜索跨文本文件和 Word文档;
  • 屏幕截图;
  • 通过ping 扫描发现网络;
  • 后门维护:设置或删除持久性(通过注册表的 RUN key),配置更新。
研究人员发现的一个变体 (MD5 26064e65a7e6ce620b0ff7b4951cf340 ) 还具有列出可用 Wi-Fi 网络的能力。总体而言,WinDealer 能够收集大量信息。然而,WinDealer 最非凡的地方还在别处。

基础设施

在 2020 年发现的最新 WinDealer 样本并不包含硬编码的 C2 服务器,而是依靠复杂的 IP 生成算法来确定要联系哪台机器。该算法的细节留给读者作为练习,但最终的结果是,IP地址是从以下两个范围中随机选择的:
  • 113.62.0.0/15
  • 111.120.0.0/14
一旦选择了 IP 地址,通信就会通过 UDP 端口 6999 或 TCP 端口 55556 进行。更奇怪的是,研究人员分享了一个其它的 WinDealer 样本(MD5 d9a6725b6a2b38f96974518ec9e361ab),它与硬编码的URL "http://www[.]microsoftcom/status/getsign.asp "通信。这个域显然是无效的,在正常情况下无法解析任何东西——但恶意软件期望得到预定格式的响应(“x11x22x??x33x44”)。
与 C2 服务器交换的数据包包含一个标头(在下表中描述),后跟 AES 加密数据。他们利用包含幻数(Magic number)和标识的自制二进制协议,使其易于大规模识别和过滤数据包。
Offset
描述
样本值(十六进制)
0x00
Magic number
06 81 DA 91 CE C7  9F 43
0x08
目标标识符
57 5B 73 B2
0x0C
攻击者设置的标识,确切含义仍不清楚
00 或 0B 或 16
0x0D
连接类型或后门命令标识符
 0 = 初始连接
 1 = 后续连接
 Others = 后门命令标识符
00
0x0E
未知的静态值
14
0x0F
未知值
00
0x10
payload
 初始连接:生成的 AES 密钥及其 CRC32,使用 RSA-2048 和硬编码的公钥加密。
 所有其它数据包:payload大小,后跟在 ECB 模式下使用 AES-128 和生成的 AES 密钥加密的payload。
03 4D 5D 44 C3 1E  0A DA
 A3 4A 86 A3 CC ED 67 38
 …

侧面攻击(The man-on-the-side attack)

将所有部分放在一起,WinDealer 的基础架构简直是非凡的:
  • 它似乎是通过返回合法可执行文件的普通 HTTP 请求分发的。
  • 它与特定AS 内随机选择的 IP 地址进行通信。
  • 它可以与不存在的域名进行交互。
很难相信攻击者能够控制上述 IP 范围的 48,000 个 IP 地址,甚至是其中很大一部分。能够解释这些看似不可能的网络行为的唯一方法是,推断存在一个能够拦截所有网络流量甚至在需要时对其进行修改的人为攻击者。
这种情况并非闻所未闻:2014年披露的QUANTUM计划是第一个已知的例子。总体思路是,当攻击者在网络上看到对特定资源的请求时,它会试图比合法服务器更快地回复目标。如果攻击者赢得“比赛”,目标将使用攻击者提供的数据而不是正常数据。这与本文前面描述的场景一致,即目标设备接收到一个被感染的可执行文件,而不是正常的文件。自动更新程序是此类攻击的主要目标,因为它们会执行频繁的请求;即使攻击者没有赢得大多数比赛也不重要,因为他们可以再次尝试直到成功,保证他们最终会感染到目标。这类攻击尤其具有破坏性,因为除了通过另一个网络路由流量外,用户没有办法保护自己。这可以通过使用 VPN 来完成,但根据司法管辖区的不同,这些可能是非法的。
为了证实推测,研究人员后来发现了一个下载工具(MD5 4e07a477039b37790f7a8e976024eb66),它使用与之前分析的WinDealer样本("BBB")相同的独特用户代理这将其与LuoYu联系起来。
2021 年的下载程序和 WinDealer 使用的用户代理“BBB”
下载程序会定期从hxxp://www.baidu[.]com/status/windowsupdatedmq.exe 检索并运行可执行文件。此 URL 通常会返回 404 错误,研究人员认为攻击者极不可能控制此域。
基于上述所有证据,推测攻击者可能具有以下能力:
  • 拦截该网段所有网络流量,这允许他们接收对随机 IP 地址的后门响应,而无需实际的 C2 服务器。
  • 在网络上注入任意 TCP 和 UDP 数据包,他们可以通过这种能力向 WinDealer 发送订单。
  • 完全控制DNS,这意味着它们可以为不存在的域提供响应。
无论是 QUANTUMINSERT 功能还是动态修改 HTTP 数据包内容的能力,它们都可以通过滥用自动更新机制实现远程、零点击恶意软件安装。一个值得注意的现象是,攻击者专门针对普通 HTTP 会话,这表明他们可能没有能力破坏或降级 HTTPS。

结论

在这份报告中,将 LuoYu 视为一个极其复杂的攻击团伙,能够利用只有最成熟的攻击者才能使用的功能。研究人员也只能猜测他们是如何获得这种能力的。他们可能已经破坏了通往某条线路上的路由器。或者,他们可能会使用公众不知道的信号情报方法。他们甚至可以访问(合法或欺诈)在 ISP 级别设置的执法工具,并滥用它们执行攻击性操作。总体而言,攻击者正在利用可以与QUANTUMINSERT 计划进行比较(但不同)的能力来感染目标。
Man-on-the-side 攻击是毁灭性的,因为它们不需要与目标进行任何交互即可成功感染:只需将设备连接到 Internet 就足够了。目标只能通过仔细的网络监控来检测,这超出了日常用户的范围,或者当payload被安装在目标计算机上时,终端安全程序会捕捉到它。
无论如何,潜在目标防御此类入侵的唯一方法是保持高度警惕并使用强大的安全程序,包括定期杀毒扫描、出站网络流量分析和大量日志记录以检测异常。

IoC

WinDealer 样本
MD5: ce65092fe9959cc0ee5a8408987e3cd4
SHA-1: 87635d7632568c98c0091d4a53680fd920096327
SHA-256: 27c51026b89c124a002589c24cd99a0c116afd73c4dc37f013791f757ced7b7e
MD5: 0c8663bf912ef4d69a1473597925feeb
SHA-1: 78294dfc4874b54c870b8daf7c43cfb5d8c211d0
SHA-256: db034aeb3c72b75d955c02458ba2991c99033ada444ebed4e2a1ed4c9326c400
MD5: 1bd4911ea9eba86f7745f2c1a45bc01b
SHA-1: f64c63f6e17f082ea254f0e56a69b389e35857fd
SHA-256: 25cbfb26265889754ccc5598bf5f21885e50792ca0686e3ff3029b7dc4452f4d
MD5: 5a7a90ceb6e7137c753d8de226fc7947
SHA-1: 204a603c409e559b65c35208200a169a232da94c
SHA-256: 1e9fc7f32bd5522dd0222932eb9f1d8bd0a2e132c7b46cfcc622ad97831e6128
MD5: 73695fc3868f541995b3d1cc4dfc1350
SHA-1: 158c7382c88e10ab0208c9a3c72d5f579b614947
SHA-256: ea4561607c00687ea82b3365de26959f1adb98b6a9ba64fa6d47a6c19f22daa4
MD5: 76ba5272a17fdab7521ea21a57d23591
SHA-1: 6b831413932a394bd9fb25e2bbdc06533821378c
SHA-256: ecd001aeb6bcbafb3e2fda74d76eea3c0ddad4e6e7ff1f43cd7709d4b4580261
MD5: 8410893f1f88c5d9ab327bc139ff295d
SHA-1: 64a1785683858d8b6f4e7e2b2fac213fb752bae0
SHA-256: 318c431c56252f9421c755c281db7bd99dc1efa28c44a8d6db4708289725c318
MD5: cc7207f09a6fe41c71626ad4d3f127ce
SHA-1: 84e749c37978f9387e16fab29c7b1b291be93a63
SHA-256: 28df5c75a2f78120ff96d4a72a3c23cee97c9b46c96410cf591af38cb4aed0fa
MD5: e01b393e8897ed116ba9e0e87a4b1da1
SHA-1: 313b231491408bd107cecf0207868336f26d79ba
SHA-256: 4a9b37ca2f90bfa90b0b8db8cc80fe01d154ba88e3bc25b00a7f8ff6c509a76f
MD5: ef25d934d12684b371a17c76daf3662c
SHA-1: b062773bdd9f8433cbd6e7642226221972ecd4e1
SHA-256: 08530e8280a93b8a1d51c20647e6be73795ef161e3b16e22e5e23d88ead4e226
MD5: faa8eaed63c4e9f212ef81e2365dd9e8
SHA-1: 0d3a5725b6f740929b51f9a8611b4f843e2e07b1
SHA-256:b9f526eea625eec1ddab25a0fc9bd847f37c9189750499c446471b7a52204d5a
原文链接:
https://securelist.com/windealer-dealing-on-the-side/105946/


推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
ZhouSa.com-宙飒天下网