Winnti Group attackiert Universitäten in Hongkong | WeLiveSecurity

Winnti Group attackiert Universitäten in Hongkong

Die Winnti Group macht regen Gebrauch von ihrer berüchtigten ShadowPad Backdoor. Dieses Mal richteten sich die Cyberangriffe gegen Hongkonger Universitäten.

Die Winnti Group macht regen Gebrauch von ihrer berüchtigten ShadowPad Backdoor. Dieses Mal richteten sich die Cyberangriffe gegen Hongkonger Universitäten.

Im November 2019 entdeckten wir eine neue Malware-Kampagne der Winnti Group. Sie richtete sich gegen zwei Hongkonger Universitäten. Bei den Untersuchungen begegnete uns eine neue Variante der ShadowPad Backdoor – die berüchtigtste Malware der Cybergang. Diese wird durch einen neuen Launcher verbreitet, der in zahlreiche Module eingearbeitet ist. Die Winnti-Malware wurde bereits einige Wochen vor ShadowPad bei den Universitäten gesichtet.

Die Winnti Group ist seit mindestens 2012 aktiv und muss sich für die Verbreitung von kompromittierter Software in der Videospiele- und Software-Industrie (CCleaner, ASUS LiveUpdate, diverse Videospiele) verantworten. Die Cybergang ist aber auch für Attacken gegen den Gesundheits- und Bildungssektor bekannt.

Vor nicht allzu langer Zeit veröffentlichten die ESET-Forschenden ein Whitepaper mit vielen Updates über die Winnti Group, gefolgt von einem Blog-Beitrag über Supply-Chain-Attacken gegen die Videospiele-Industrie in Asien. Zusätzlich gibt es einen Artikel über die „skip-2.0“-Backdoor, die auf Microsoft SQL Server abzielte.

Dieser Artikel konzentriert sich auf die technischen Details der neuen ShadowPad-Variante.

Exkurs: Namensgebung „Winnti Group“
Wir haben uns für die Beibehaltung von Winnti Group entschieden, da dieser Name im Jahr 2013 das erste Mal von Kaspersky verwendet wurde, um die Bedrohung zu identifizieren. Da „Winnti“ (auch) eine Malware-Variante beschreibt, benutzen wir immer Winnti Group, wenn wir uns auf die Cyberangreifer beziehen. Schon im Jahr 2013 zeigte sich, dass Winnti nur eine von vielen von der Winnti Group eingesetzten Malwares ist.

ShadowPad in verschiedenen Hongkonger Universitäten gefunden

Im November 2019 entdeckte ESETs KI-Engine Augur ein bösartiges und einzigartiges Sample (neuer 32-bit ShadowPad Launcher) auf mehreren Computern von zwei Universitäten in Hongkong. Dort fand man auch die Winnti-Malware bereits Ende Oktober. ShadowPad und Winnti Malware-Samples tragen die Universitätsnamen in Campaign-IDs und C&C-URLs, was auf eine gezielte Cyberattacke hindeutet.

Aufgrund des von den Angreifern verwendeten URL-Formats befürchten wir die Kompromittierung drei weiterer Hongkonger Universitäten.

Die Malware-Kampagnen gegen die Universitäten fanden genau im Zeitraum (ab Juni 2019) der Protestbewegung gegen einen „Entwurf für ein Gesetz über flüchtige Straftäter und Rechtshilfe in Strafsachen“ statt. Die Proteste gingen weit über den offiziellen Rückzug des Gesetzesentwurf im Oktober 2019 hinaus – Ihre Anhänger forderten mehr Demokratie und eine Untersuchung über das Vorgehen der Hongkonger Polizei. Hunderttausende gingen auf die Straßen. Darunter befanden sich viele Studenten Hongkonger Universitäten, die unter anderem auch die Campus jener Hochschulen besetzten.

ESET hat Kontakt zu den kompromittierten Universitäten aufgenommen und stellt die notwendigen Informationen und Assistenz zur Verfügung, um die Gefährdung zu beseitigen.

Update Launcher

Im Gegensatz zu den von uns im Whitepaper dokumentierten ShadowPad-Varianten ist der neue Launcher nicht mit Hilfe von VMProtect verschleiert. Außerdem ist die verschlüsselte Payload weder im Overlay eingebettet noch in einem alternativen COM1:NULL.dat Data Stream gelegen. Und die übliche RC5-Verschlüsselung, abgeleitet aus der Volume-ID des Systemlaufwerks des Opfers (wie in der PortReuse-Backdoor, in Skip-2.0 und in einigen ShadowPad-Varianten zu sehen), ist ebenfalls nicht vorhanden. Der aktualisierte Launcher ist insgesamt also wesentlich simpler gehalten.

DLL Side-Loading

Der Launcher ist eine 32-bit DLL namens hpqhvsei.dll – eigentlich ein Name einer legitimen DLL – und wird von hpqhvind.exe geladen. Diese ausführbare Datei stammt von HP und wird normalerweise mit der Druck- und Scansoftware „HP Digital Imaging“ installiert. Im vorliegenden Fall wurde die legitime hpqhvind.exe nebst schädlicher hpqhvsei.dll von den Cyberangreifern in C:\Windows\Temp abgelegt.

Zwar kennen wir nicht die Komponente, die den Launcher im System absetzt und ausführt. Die Gegenwart der oben genannten Dateien lässt uns aber vermuten, dass die initiale Ausführung des Launchers mit Hilfe von DLL Side-Loading realisiert wird.

Startet die schädliche DLL mit der hpqhvind.exe, wird die DLL Main Function aufgerufen, welche den übergeordneten Prozess auf folgende Bytes-Sequenz am 0x10BA-Offset prüft:

85 C0 ; test eax, eax
0F 84 ; jz

Falls der Parent Process hpqhvind.exe ist, wird die schädliche DLL fortfahren, um den übergeordneten Prozess im Speicher zu patchen. Es ersetzt die ursprünglichen Anweisungen von 0x10BA durch einen unconditional jump (jmp – 0xE9) an die Adresse der Funktion von hpqhvsei.dll. Diese entschlüsselt und führt den im Launcher eingebetteten verschlüsselten Payload aus.

Die für das Patchen des übergeordneten Prozesses verantwortliche, dekompilierte Funktion ist in Abb.1 dargestellt. Falls hpqhvsei.dll einen anderen Prozess als hpqhvind.exe lädt, wird die Entschlüsselung und Ausführung des Schadcodes verhindert.

Abbildung 1: Für das Patchen des übergeordneten Prozesses verantwortliche, dekompilierte Funktion

Abbildung 1: Für das Patchen des übergeordneten Prozesses verantwortliche, dekompilierte Funktion

Der Unterschied zwischen der ursprünglichen und der gepatchten hpqhvind.exe ist in Abbildung 2 dargestellt.

Abbildung 2: Unterschied zwischen original (links) und gepatchter (rechts) hpqhvind.exe

Abbildung 2: Unterschied zwischen original (links) und gepatchter (rechts) hpqhvind.exe

Der Teil des gepatchten Codes befindet sich ganz am Anfang der Hauptfunktion von hpqhvind.exe. In Abb. 2 erkennt man, dass der Code direkt nach dem Laden von hpqhvsei.dll platziert wurde. Das bedeutet, dass die für das Entschlüsseln und Ausführen der Payload verantwortliche Funktion direkt nach dem Laden der schädlichen DLL ausgeführt wird.

Payload-Entschlüsselung

Die verschlüsselte Payload ist im .rdata-Bereich der hpqhvsei.dll zu finden. Der Entschlüsselungsalgorithmus besteht aus einem XOR-Loop, bei dem der XOR-Key bei jeder Iteration aktualisiert wird, wie Abb. 3 zeigt.

Abbildung 3: Pseudocode der Payload-Entschlüsselungsschleife

Abbildung 3: Pseudocode der Payload-Entschlüsselungsschleife

Bei der entschlüsselten Payload handelt es sich üblicherweise um Shellcode, der für die ShadowPad-Initialisierung verantwortlich ist. (Mit Hilfe von Fake Conditional Jumps verschleiert, um Reverse Engineering zu verhindern.)

Persistenz der ShadowPad Backdoor

Nach der Entschlüsselung des ShadowPad Shellcodes folgt die Ausführung. Die Persistenz im System wird erreicht, indem der im Arbeitsspeicher gepatchte übergeordnete Prozess auf die Festplatte in einen Pfad geschrieben wird, der im Pool der Konfigurationszeichenfolgen angegeben ist. Im untersuchten Fall war das C:\ProgramData\DRM\CLR\CLR.exe. Daraufhin erschafft es einen Service namens clr_optimization_v4.0.30229_32, welcher für die Ausführung von CLR.exe verantwortlich ist. Um jeglichen Verdacht zu vermeiden, wurde der Name der .EXE so gewählt, dass einem Microsoft .NET Optimierungsservice möglichst nahekommt.

Den vollständigen Staging Process fasst Abb. 4 zusammen. Die Nummerierung jedes Pfeils entspricht der zeitlichen Abfolge der Ereignisse.

Abbildung 4: ShadowPad Staging Process

Abbildung 4: ShadowPad Staging Process

Modules

ShadowPad ist eine multi-modulare Backdoor, bei der die Module vom Root-Modul mit Hilfe einer Zirkelliste, von der man Moduladresse, ein UNIX-Zeitstempel (möglicherweise im Compiler-Prozess automatisch erstellt) und Modulkennung extrahieren kann, referenziert werden. Aus den Modulen lassen sich auch die Namen ablesen, welche die Entwickler diesen gaben. Die hier untersuchte Version enthält 17 in der folgenden Tabelle aufgelisteten Module:

Tabelle 1. In dieser ShadowPad-Version verwendete Module

IDNameTimestampDescription
100RootThu 24 Oct 2019 12:08:27 PM UTCInitial shellcode
101PluginsThu 24 Oct 2019 12:07:02 PM UTCProvides API for the other modules; loads modules  
102ConfigThu 24 Oct 2019 12:07:09 PM UTCHandles encrypted configuration string pool
103InstallThu 24 Oct 2019 12:07:46 PM UTCAchieves persistence
104OnlineThu 24 Oct 2019 12:07:17 PM UTCOverall communications with the C&C server
106ImpUserThu 24 Oct 2019 12:07:24 PM UTCUser impersonation via token duplication
200TCPThu 24 Oct 2019 12:01:01 PM UTCTCP communications
202HTTPSThu 24 Oct 2019 12:01:15 PM UTCHTTPS communications
207PipeThu 24 Oct 2019 12:01:35 PM UTCHandles named pipes
300DiskThu 24 Oct 2019 12:02:29 PM UTCFile system operations
301ProcessThu 24 Oct 2019 12:02:36 PM UTCProcess handling
302ServcieThu 24 Oct 2019 12:02:45 PM UTCService handling
303RegisterThu 24 Oct 2019 12:02:52 PM UTCRegistry operations
304ShellThu 24 Oct 2019 12:03:00 PM UTCCommand line operations
306KeyloggerThu 24 Oct 2019 12:03:16 PM UTCKeylogging to file system
307ScreenThu 24 Oct 2019 12:03:25 PM UTCScreenshot capture
317RecentFilesThu 24 Oct 2019 12:04:44 PM UTCLists recently accessed files

Diese Module, mit Ausnahme von „RecentFiles“, wurden bereits von Kaspersky und Avast erwähnt. Man beachte den Tippfehler bei „Servcie„.

Gewohntermaßen verteilen sich die Zeitstempel nur innerhalb eines kurzen Zeitbereichs. Wir nehmen an, dass die Verwendung eines Build-Frameworks für diese Kompilierungszeiten verantwortlich ist. Außerdem liegt nahe, dass die Module nur wenigen Stunden vor dem Launcher selbst gebaut wurden. Dessen Zeitstempel lautet Thu Oct 24 14:10:32 2019 – das bedeutet, dass alles etwa zwei Wochen vor der Malware-Kampagne auf die Hongkonger Universitäten kompiliert wurde. Auf eine Manipulation der Zeitstempel deutet nichts hin.

Die Anzahl der in diese Variante eingebetteten Module ist viel höher (17) als die Anzahl der im Whitepaper dokumentierten Varianten (8 bis 10 Module).

Mit Hilfe des Keylogger-Moduls (306, bereits von Avast erläutert) zeichnet die Malware Tastaturanschläge auf und speichert diese auf die Festplatte unter %APPDATA%\PAGM\OEY\XWWEYG\WAOUE.

Die Protokolldatei ist mit demselben Algorithmus verschlüsselt wie die statischen Zeichenfolgen aus dem Modul. Die standardmäßige Verwendung dieses Moduls deutet darauf hin, dass die Angreifer daran interessiert sind, Informationen zu stehlen. Die in dem Whitepaper beschriebenen Varianten weisen ein solches Modul nicht auf.

Konfiguration

Wie bei früheren Varianten enthält das Config-Modul (102) einen verschlüsselten String Pool, der über jedes andere Modul aus erreichbar ist. Der String Pool liegt niemals vollständig entschlüsselt im Speicher; das Feld von Interesse wird nach Bedarf entschlüsselt und dann sofort wieder gesperrt. Die Konfigurationsgröße beträgt 2180 Bytes, die verschlüsselten Strings befinden sich am Offset 0x84. Der zum Entschlüsseln der Zeichenfolgen verwendete Algorithmus ist derselbe wie der zum Entschlüsseln der statischen Zeichenfolgen des Moduls. Der entschlüsselte Inhalt des String Pools lautet:

0x84: 2019/11/7 16:28:36
0x99: CAMPAIGN_ID_REDACTED
0xa1: %ALLUSERSPROFILE%\DRM\CLR\CLR.exe
0xc5: clr_optimization_v4.0.30229_32
oxe6: clr_optimization_v4.0.30229_32
0x107: clr_optimization_v4.0.30229_32
0x128: SOFTWARE\Microsoft\Windows\CurrentVersion\Run
0x158: CLR
0x15e: %ProgramFiles%\Windows Media Player\wmplayer.exe
0x197: %windir%\system32\svchost.exe
0x1b7: TCP://b[redacted].dnslookup.services:443
0x1db: UDP://b[redacted].dnslookup.services:443
0x202: SOCKS4
0x21e: SOCKS5

Die Kampagnen-ID ist der Name der Zieluniversität und befindet sich am Offset 0x99. Bei ShadowPad und Winnti sind Kampagnen-IDs für Ziele durchaus üblich.

Interessanterweise gibt der Zeitstempel dieser Config am Offset 0x84 ein jüngeres Datum zurück, als es das Build-Datum der Module und des Loaders ist. Das deutet darauf hin, dass die Config später manuell zum Malware-Sample hinzugefügt wurde. Auch wenn es wohl reiner Zufall ist, entspricht das Datum in der Config dem Datum der ersten Entdeckung des Samples an der entsprechenden Universität.

Netzwerk-Kommunikation

Wenn ShadowPad erst einmal auf dem Computer-System ist, startet es einen versteckten und lautlosen wmplayer.exe Prozess und hakt sich darin ein. Der Pfad zu wmplayer.exe wird vom Config Modul bereitgestellt.

Sobald ShadowPad in wmplayer.exe ist, kontaktiert das Online-Modul den C&C-Server unter der in der Konfiguration angegebenen URL. Nach der Aktualisierung der Firewall-Regeln wird auf Port 13567 nach Verbindungen gesucht:

Registry key:
HKLM\SYSTEM\ControlSet001\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules\{816381AB-1400-45E5-B560-B8E11C5988CF}

Value:
v2.10|Action=Allow|Active=TRUE|Dir=In|Protocol=6|Profile=Public|LPort=13567|Name=Network Discovery (TCP)|

Die Netzwerk-Kommunikation wird dann über das TCP Modul (200) gehandhabt, welches bereits von Kaspersky analysiert wurde.

Auch Winnti-Malware war an Bord

Neben ShadowPad wurde auf einigen Computersystemen an zwei Universitäten auch die Winnti-Malware Ende Oktober (zwei Wochen vor ShadowPad) entdeckt. Der Schadcode versteckte sich in C:\Windows\System32\oci.dll. ESET-Sicherheitsprodukte erkennen die Malware als Win64/Winnti.CA.

Üblicherweise enthält die Winnti-Malware eine Konfiguration, in der Kampagnen-ID und C&C-URL spezifiziert sind. Auf alle kompromittierten Rechnern stimmte die Kampagnen-ID mit dem Name der jeweils betroffenen Universität überein. Die C&C-URLs folgen diesem Schema:

  • w[redacted].livehost.live:443
  • w[redacted].dnslookup.services:443

Wobei der vordere Teil den Namen der Universität beinhaltet.

C&C URL format

Es fällt auf, dass die C&C-URL bei Winnti und ShadowPad nachstehendem Schema folgen: [backdoor_type][target_name].domain.tld:443, wobei [backdoor_type] nur einen einzelnen Buchstaben beinhaltet – entweder „w“ oder „b“ für Winnti respektive ShadowPad.

Anhand dieses Formats fanden wir zahlreiche C&C-URLs und es stellte sich heraus, dass auch drei weitere Hongkonger Universitäten betroffen waren. Die in den analysierten Samples gefundenen Kampagnen-IDs stimmen mit dem Subdomain-Teil des C&C-Servers überein. Das verdeutlicht, dass diese Samples tatsächlich auf die entsprechenden Universitäten abgestimmt wurden.

Fazit

Die Winnti Group ist aktiv und macht regen Gebrauch von ihrer berüchtigten ShadowPad Backdoor. Dieses Mal richteten sich die Cyberangriffe gegen Hongkonger Universitäten. In dieser Malware-Kampagne wurden der VMProtected-Launcher, die PortReuse-Backdoor und Skip-2.0 allerdings durch simplere Varianten substituiert. Die in den Kampagnen-IDs und C&C URLs eindeutig Hongkonger Universitäten zuzuordnenden Namen lassen nur den Schluss zu, dass es sich um gezielte Cyberangriffe handelte.

Wir werden die neuen Aktivitäten der Winnti Group weiterhin überwachen und relevante Informationen in unserem Blog veröffentlichen. Bei Fragen wenden Sie sich bitte an threatintel@eset.com.

Indicators of Compromise (IoCs)

ESET detection names

Win32/Shadowpad.C trojan
Win64/Winnti.CA trojan

File names

%ALLUSERSPROFILE%\DRM\CLR\hpqhvsei.dll
%ALLUSERSPROFILE%\DRM\CLR\CLR.exe
C:\windows\temp\hpqhvsei.dll
C:\windows\temp\hpqhvind.exe
%ALLUSERSPROFILE%\DRM\CLR\hpqhvsei.dll
%SYSTEM32%\oci.dll
%APPDATA%\PAGM\OEY\XWWEYG\WAOUE

Service display name

clr_optimization_v4.0.30229_32

C&C servers

b[org_name].dnslookup[.]services:443
w[org_name].livehost[.]live:443
w[org_name].dnslookup[.]services:443

ShadowPad launcher

Similar sample to avoid disclosing targeted universities.
693f0bd265e7a68b5b98f411ecf1cd3fed3c84af

MITRE ATT&CK techniques

TacticID   NameDescription
PersistenceT1050New ServiceShadowPad persists as a service called clr_optimization_v4.0.30229_32.
Defense EvasionT1073DLL Side-LoadingShadowPad’s launcher is loaded by a legitimate executable via DLL side-loading.
T1055Process InjectionShadowPad is injected into a wmplayer.exe process.
T1140Deobfuscate/Decode Files or InformationShadowPad launcher uses XOR to decrypt the payload. ShadowPad uses a custom algorithm to decrypt strings and configuration.
T1027Obfuscated Files or InformationShadowPad shellcode is XOR-encoded and uses fake conditional jumps to hinder disassembly. ShadowPad’s strings and configuration are encrypted. It also uses API hashing.
T1143Hidden WindowShadowPad is injected into a wmplayer.exe process started in a hidden window.
DiscoveryT1010Application Window DiscoveryShadowPad’s keylogging module lists application windows.
T1083File and Directory DiscoveryShadowPad’s RecentFiles module lists files recently accessed.
Command and ControlT1071Standard Application Layer ProtocolShadowPad can use HTTP and HTTPS for C&C communications.
T1043Commonly Used PortShadowPad uses TCP:443 and UDP:443.
T1065Uncommonly Used PortShadowPad listens on port 13567.
T1095Standard Non-Application Layer ProtocolShadowPad can use UDP and TCP for C&C communications.
T1024Custom Cryptographic ProtocolShadowPad uses its own cryptographic protocol for C&C communications.
Collection T1056Input CaptureShadowPad has a keylogging module.
T1113Screen CaptureShadowPad has a screenshot module.
ExfiltrationT1022Data EncryptedKeystrokes recorded by the keylogging module are stored encrypted on disk.

Newsletter-Anmeldung

Hier können Sie mitdiskutieren