自 2019 年以来,被称为“Winnti”的中国黑客组织一直在秘密窃取专利、版权、商标和其他企业数据等知识产权资产,而所有这些都未被研究人员和目标发现。
Winnti,也被追踪为 APT41,是一个先进且难以捉摸的网络间谍组织,据信得到中国政府的支持并代表其国家利益运作。
发现的网络犯罪活动至少从 2019 年开始就一直在进行,目标是东亚、西欧和北美的技术和制造公司。
杜鹃蜂行动
这种犯罪行动被称为“Operation CuckooBees”,由 Cybereason 的分析师发现,他们揭示了臭名昭著的黑客组织部署的新恶意软件、他们利用的入侵机制以及他们使用的复杂的有效载荷传递方法。
Winnti 的操作步骤 (Cybereason)
“经过多年的秘密侦察和识别有价值的数据,估计该组织成功地泄露了数百 GB 的信息。
攻击者针对受害者开发的知识产权,包括敏感文档、蓝图、图表、公式和与制造相关的专有数据。-赛博雷森。
“CuckooBees”遭受的经济损失很难确定,但这个数字应该足以使该行动成为过去几年最具破坏性的网络活动之一。
秘密行动
在 CuckooBees 行动中观察到的感染链始于利用目标使用的 ERP 平台中的已知漏洞和零日漏洞。
Winnti 通过编码的 WebShell、滥用 WinRM 协议进行远程访问、使用 IKEEXT 和 PrintNotify Windows 服务进行 DLL 侧加载或加载签名的内核 rootkit 来建立持久性。
一旦他们在网络上站稳脚跟,黑客就会使用内置的 Windows 命令(如“systeminfo”、“net start”、“net user”和“dir c:\”)进行侦察,这些命令不太可能触发任何可疑警报活动,即使通过计划任务在批处理文件中运行。
用于侦察的命令
(Cybereason)
对于凭证转储,Winnti 使用“reg save”命令将被盗密码保存在安全的地方,或者使用以前未记录的名为“MFSDLL.exe”的工具的变体。
对于横向移动,黑客继续滥用 Windows 计划任务以及一组特殊的批处理文件。
横向移动的计划任务 (Cybereason)
最后,对于数据收集和泄露,威胁参与者部署了一个便携式命令行 WinRAR 应用程序,该应用程序具有有效的数字签名并使用“rundll32.exe”作为其可执行文件。
Cybereason 报告中突出的是一种名为“DEPLOYLOG”的新 Winnti 恶意软件,以及滥用 Windows CLFS(通用日志文件系统)机制来隐藏有效负载的方法。
CLFS 是 Windows 操作系统的内部日志系统,它使用专有文件格式,只能通过系统的 API 函数访问。因此,它的日志文件被 AV 扫描仪跳过,而人工检查员没有可以解析它们的工具。
Winnti 滥用该系统来存储和隐藏其负载,这些负载以 CLFS 日志形式放置在目标系统上,然后通过 CLFS API 调用提取和执行。
DEPLOYLOG 恶意软件以前没有被记录在案,它是一个 64 位 DLL(伪装成“dbghelp.dll”),它提取并执行 Winnti 的最终有效负载 WINNKIT rootkit,然后与远程 C2 和内核级rootkit。
Mandiant 之前发现了一些用于滥用 Windows CLFS 的恶意软件, 但并未归因于任何威胁行为者。
导致 Winnkit 部署的恶意软件应变和加载步骤 (Cybereason)
WINNKIT 是威胁行为者最隐蔽、最复杂的有效载荷,过去曾对其进行过广泛分析。尽管如此,即使经过这么长时间,它仍然基本上不受反病毒检测的影响。
在 CuckooBees 行动中,WINNKIT 使用反射加载注入将其恶意模块注入到合法的 svchost 进程中。
“WINNKIT 包含一个过期的 BenQ 数字签名,它被用来绕过驱动程序签名强制 (DSE) 机制,该机制要求驱动程序使用数字签名正确签名才能成功加载,”恶意软件报告解释说解释道。
“这种机制最初是在 64 位 Windows Vista 中引入的,此后影响了所有版本的 Windows。”
初始化成功后,WINNKIT会hook网络通信,开始通过DEPLOYLOG接收自定义命令。
DEPLOYLOG 和 WINNKIT com 交互 (Cybereason)
保卫你的网络
尽管美国司法部在过去几年宣布了对 Winnti 成员的起诉 ,并且无论发布了多少分析其工具和策略的技术报告,臭名昭著的中国网络间谍组织仍然活跃而勤奋。
Cybereason 认为,由于 CuckooBees 行动的复杂性、隐秘性和复杂性,Winnti 很可能会破坏比他们能够验证的公司更多的公司。
防御者应对此类威胁的最佳选择是将所有软件更新到最新可用版本,监控所有网络流量并使用网络分段。
有关 Winnti 的 TTP 的更多详细信息,请查看另 一篇 Cybereason 博客文章 ,该文章专注于该技术,或第三篇专门介绍 该活动中使用的恶意软件。
推荐阅读
免费试用尝鲜
贴心会员服务
服务可用性
数据安全保障
全年不间断在线
工作时间:早上9:00-下午6:30
河南快米云网络科技有限公司
公安备案编号:41010302002363
Copyright © 2010-2023 All Rights Reserved. 地址:河南自由贸易区开封片区经济开发区宋城路122号
