目录导航
介绍
LuoYu是一个鲜为人知的威胁行为者,自 2008 年以来一直活跃。它主要攻击位于中国的目标,例如在中国设立的外国外交机构、学术界成员或国防、物流和电信部门的公司. 在对这个威胁参与者的初步披露中,TeamT5确定了三个恶意软件系列:SpyDealer、Demsty 和 WinDealer。这些家族背后的参与者能够针对 Windows、Linux 和 macOS 机器以及 Android 设备。
前几年,卡巴斯基对LuoYu的活动进行了调查,并能够确认 Demsty 与 WinDealer 之间的联系。1 月 27 日,我们在日本安全分析师会议 (JSAC)上与 TeamT5 和伊藤忠商事公司进行了联合演示,以提供有关该演员的最新活动的最新信息。在本文中,我们将重点关注最具突破性的发展之一:LuoYu具有执行人在侧面攻击的能力这一事实。
传播方式
过去,LuoYu使用水坑攻击(例如,在本地新闻网站上)来感染他们的目标。看到他们的 Android 恶意软件的一些变种冒充亚洲流行的消息应用程序,恶意 APK 也很可能以多种方式传播,包括社会工程以说服用户为其应用程序安装虚假更新。
2020 年,我们发现了一种全新的 WinDealer 恶意软件传播方法,该方法利用了选择合法应用程序的自动更新机制。在我们调查的一个案例中,我们注意到 2012 年编译的签名可执行 qgametool.exe (MD5 f756083b62ba45dcc6a4d2d2727780e4 ) 在目标机器上部署了 WinDealer。该程序包含一个用于检查更新的硬编码 URL,如以下屏幕截图所示:
位于此 URL 的可执行文件 (hxxp://download.pplive[.]com/PPTV(pplive)_forap_1084_9993.exe, MD5 270902c6bb6844dc25ffaec801393245 ) 是良性的,但我们的遥测显示在极少数情况下,WinDealer 样本 (MD5 ce65092fe9959cc0ee5a8408987e3cd4 )是交付。
我们还发现了在线留言板帖子,其中讲中文的用户报告在他们的计算机上发现了同名的恶意软件——PPTV(pplive)_forap_1084_9993.exe。发布的信息足以让我们确认他们确实收到了 WinDealer 的样本。
暂且不谈传递方式的奥秘,让我们看看恶意软件本身的能力。
WinDealer 的技术说明
WinDealer 是一个模块化的恶意软件平台。它通过查找硬编码模式来定位放置在其资源中的嵌入式 DLL 文件开始执行,然后使用 10 字节 XOR 密钥对其进行解码。
WinDealer 的逻辑分布在初始EXE 及其配套DLL 中:前者包含程序的设置以及网络通信,而C2 发送的命令在后者中实现。该恶意软件具有以下功能:
- 文件和文件系统操作:读、写和删除文件,列出目录,获取磁盘信息;
- 信息收集:收集硬件详细信息、网络配置和/或键盘布局,列出运行进程、安装的应用程序和流行消息应用程序(Skype、QQ、微信和旺旺)的配置文件;
- 任意文件的下载和上传;
- 任意命令执行;
- 跨文本文件和 Microsoft Word 文档的系统范围搜索;
- 屏幕截图;
- 通过 ping 扫描发现网络;
- 后门维护:设置或删除持久性(通过注册表的 RUN 键)、配置更新。
我们发现的一个变体 (MD5 26064e65a7e6ce620b0ff7b4951cf340 ) 还具有列出可用 Wi-Fi 网络的能力。总体而言,WinDealer 能够收集大量信息,即使与其他恶意软件系列相比也是如此。然而,WinDealer 最非凡的方面在别处。
不可能的基础设施
我们在 2020 年发现的最新 WinDealer 样本不包含硬编码的 C2 服务器,而是依靠复杂的 IP 生成算法来确定要联系哪台机器。该算法的细节留给读者作为练习,但最终结果是从以下两个范围之一中随机选择 IP 地址:
- 113.62.0.0/15(AS4134,国网西藏省网)
- 111.120.0.0/14(AS4134,国网贵州省网)
一旦选择了 IP 地址,通信就会通过 UDP 端口 6999 或 TCP 端口 55556 进行。更奇怪的是,研究合作伙伴与我们分享了一个额外的 WinDealer 样本(MD5 d9a6725b6a2b38f96974518ec9e361ab),它与硬编码的 URL “http: //www[.]microsoftcom/status/getsign.asp”。这个域显然是无效的,在正常情况下无法解析任何东西——但恶意软件希望得到预定格式的响应(“\x11\x22\x??\x33\x44”)。
与 C2 服务器交换的数据包包含一个标头(在下表中描述),后跟 AES 加密数据。它们利用包含幻数和标志的自制二进制协议,可以轻松识别和过滤大规模数据包。
| Offset | 描述 | 样本值(十六进制) |
| 0x00 | 幻数 | 06 81 DA 91 CE C7 9F 43 |
| 0x08 | 目标标识符 | 57 5B 73 B2 |
| 0x0C | 攻击者设置的标志。它的确切含义仍不清楚 | 00 或 0B 或 16 |
| 0x0D | 连接类型或后门命令标识符 0 = 初始连接 1 = 后续连接 Others = 后门命令标识符 | 00 |
| 0x0E | 未知的静态值 | 14 |
| 0x0F | 未知值 | 00 |
| 0x10 | 负载 初始连接:生成的 AES 密钥及其 CRC32,使用 RSA-2048 和硬编码的公钥加密。 所有其他数据包:有效负载大小,后跟在 ECB 模式下使用 AES-128 和生成的 AES 密钥加密的有效负载。 | 03 4D 5D 44 C3 1E 0A DA A3 4A 86 A3 CC ED 67 38 … |
侧面攻击
将所有部分放在一起,WinDealer 的基础架构简直是非凡的:
- 它似乎是通过通常返回合法可执行文件的普通 HTTP 请求分发的。
- 它与特定 AS 内随机选择的 IP 地址进行通信。
- 它可以与不存在的域名进行交互。
很难相信攻击者能够控制上述 IP 范围的 48,000 个 IP 地址,甚至其中很大一部分。解释这些看似不可能的网络行为的唯一方法是假设存在一个能够拦截所有网络流量甚至在需要时对其进行修改的人为攻击者。
这种能力并非闻所未闻:QUANTUM2014 年披露的计划是第一个已知实例。总体思路是,当攻击者在网络上看到对特定资源的请求时,它会尝试比合法服务器更快地回复目标。如果攻击者赢得“比赛”,目标机器将使用攻击者提供的数据而不是正常数据。这与本文前面描述的场景一致,在该场景中,目标接收到受感染的可执行文件而不是正常的可执行文件。自动更新程序是此类攻击的主要目标,因为它们执行频繁的请求 – 如果攻击者没有赢得大多数比赛并不重要,因为他们可以再次尝试直到成功,保证他们最终会感染他们的目标。这类攻击特别具有破坏性,因为用户无法保护自己,除了通过另一个网络路由流量。这可以通过使用 VPN 来完成,但根据司法管辖区的不同,这些可能是非法的,并且通常不适用于讲中文的目标。
确认我们的评估后,我们发现了一个下载实用程序 (MD5 4e07a477039b37790f7a8e976024eb66 ),它使用与我们分析的 WinDealer 样本 (“BBB”) 相同的唯一用户代理,将其与 LuoYu 弱关联。
下载器会定期从 hxxp://www.baidu[.]com/status/windowsupdatedmq.exe 检索并运行可执行文件。此 URL 通常会返回 404 错误,我们认为攻击者极不可能控制此域。
基于上述所有证据,我们推测攻击者可能对 AS4134 具有以下能力:
- 拦截所有网络流量,这允许他们接收对随机 IP 地址的后门响应,而无需部署实际的 C2 服务器。
- 在网络上注入任意 TCP 和 UDP 数据包,他们可以通过这种能力向 WinDealer 发送订单。
- 完全控制 DNS,这意味着它们可以为不存在的域提供响应。
- 无论是 QUANTUMINSERT 功能还是动态修改 HTTP 数据包内容的能力,它们都可以通过滥用自动更新机制实现远程、零点击恶意软件安装。一个值得注意的观察是,攻击者专门针对普通 HTTP 会话,这表明他们可能没有能力破坏或降级 HTTPS。
WinDealer 的目标
我们对 WinDealer 的分析表明,它专门寻找亚洲流行的应用程序,例如 QQ、微信和旺旺。它还包含对搜狗程序创建的注册表项的引用。这向我们表明,luoyu APT主要关注与中国相关的说中文的目标和组织。我们的遥测证实,绝大多数洛语目标都位于中国,偶尔会在德国、奥地利、美国、捷克共和国、俄罗斯和印度等其他国家感染。
最近几个月,luoyu 开始将其范围扩大到东亚地区的公司和用户及其在中国的分支机构。
结论
在这份报告中,我们将 LuoYu 视为一个极其复杂的威胁行为者,能够利用只有最成熟的攻击者才能使用的功能。我们只能推测他们是如何获得这种能力的。他们可能已经破坏了通往(或内部)AS4134 的路由上的路由器。或者,他们可能会使用公众不知道的信号情报方法。他们甚至可以访问(合法或欺诈)在 ISP 级别设置的执法工具,并滥用它们执行攻击性操作。总体而言,威胁行为者正在利用可以与 QUANTUMINSERT 计划进行比较(但不同)的能力来感染位于中国的目标。
Man-on-the-side 攻击是毁灭性的,因为它们不需要与目标进行任何交互即可成功感染:只需将机器连接到 Internet 就足够了。它们只能通过仔细的网络监控来检测,这超出了日常用户的范围,或者当端点安全程序部署在受攻击的计算机上时捕获了有效负载。
无论如何,潜在目标防御此类入侵的唯一方法是保持高度警惕并拥有强大的安全程序,包括定期防病毒扫描、出站网络流量分析和大量日志记录以检测异常。
侵害指标(IOCs)
WinDealer 样本
MD5: ce65092fe9959cc0ee5a8408987e3cd4
SHA-1: 87635d7632568c98c0091d4a53680fd920096327
SHA-256: 27c51026b89c124a002589c24cd99a0c116afd73c4dc37f013791f757ced7b7e
MD5: 0c8663bf912ef4d69a1473597925feeb
SHA-1: 78294dfc4874b54c870b8daf7c43cfb5d8c211d0
SHA-256: db034aeb3c72b75d955c02458ba2991c99033ada444ebed4e2a1ed4c9326c400
MD5: 1bd4911ea9eba86f7745f2c1a45bc01b
SHA-1: f64c63f6e17f082ea254f0e56a69b389e35857fd
SHA-256: 25cbfb26265889754ccc5598bf5f21885e50792ca0686e3ff3029b7dc4452f4d
MD5: 5a7a90ceb6e7137c753d8de226fc7947
SHA-1: 204a603c409e559b65c35208200a169a232da94c
SHA-256: 1e9fc7f32bd5522dd0222932eb9f1d8bd0a2e132c7b46cfcc622ad97831e6128
MD5: 73695fc3868f541995b3d1cc4dfc1350
SHA-1: 158c7382c88e10ab0208c9a3c72d5f579b614947
SHA-256: ea4561607c00687ea82b3365de26959f1adb98b6a9ba64fa6d47a6c19f22daa4
MD5: 76ba5272a17fdab7521ea21a57d23591
SHA-1: 6b831413932a394bd9fb25e2bbdc06533821378c
SHA-256: ecd001aeb6bcbafb3e2fda74d76eea3c0ddad4e6e7ff1f43cd7709d4b4580261
MD5: 8410893f1f88c5d9ab327bc139ff295d
SHA-1: 64a1785683858d8b6f4e7e2b2fac213fb752bae0
SHA-256: 318c431c56252f9421c755c281db7bd99dc1efa28c44a8d6db4708289725c318
MD5: cc7207f09a6fe41c71626ad4d3f127ce
SHA-1: 84e749c37978f9387e16fab29c7b1b291be93a63
SHA-256: 28df5c75a2f78120ff96d4a72a3c23cee97c9b46c96410cf591af38cb4aed0fa
MD5: e01b393e8897ed116ba9e0e87a4b1da1
SHA-1: 313b231491408bd107cecf0207868336f26d79ba
SHA-256: 4a9b37ca2f90bfa90b0b8db8cc80fe01d154ba88e3bc25b00a7f8ff6c509a76f
MD5: ef25d934d12684b371a17c76daf3662c
SHA-1: b062773bdd9f8433cbd6e7642226221972ecd4e1
SHA-256: 08530e8280a93b8a1d51c20647e6be73795ef161e3b16e22e5e23d88ead4e226
MD5: faa8eaed63c4e9f212ef81e2365dd9e8
SHA-1: 0d3a5725b6f740929b51f9a8611b4f843e2e07b1
SHA-256: b9f526eea625eec1ddab25a0fc9bd847f37c9189750499c446471b7a52204d5a