“Winnti”黑客组织被发现使用一种名为 UNAPIMON 的先前未被记录的恶意软件来让恶意进程在不被发现的情况下运行。
Winnti是最古老(自 2012 年以来活跃)、最复杂 和最多产的网络间谍威胁组织之一。目标范围广泛,包括政府、硬件供应商、软件开发商、智囊团、电信服务提供商和教育机构。
趋势科技的一份新报告深入研究了他们一直在密切监控的操作中使用的前未见过的自定义恶意软件,将网络间谍攻击归因于他们命名为“Earth Freybug”的集群。
UNAPIMON 攻击
攻击首先将恶意进程注入到合法的 VMware Tools vmtoolsd.exe 进程中,该进程执行远程计划任务来运行收集系统信息(包括网络配置和用户详细信息)的批处理文件。
接下来,第二个批处理文件 (cc.bat) 利用涉及 SessionEnv 服务的 DLL 侧加载 (TSMSISrv.dll) 将 UNAPIMON 加载到内存中,并将其注入到 cmd.exe 进程中。
UNAPIMON 是一种以 DLL 形式 (_{random}.dll) 提供的 C++ 恶意软件,它使用 Microsoft Detours 来挂钩 CreateProcessW API 函数,使其能够取消挂钩子进程中的关键 API 函数。
挂钩流程 (趋势科技)
由于许多安全工具使用 API 挂钩来跟踪恶意活动,UNAPIMON 的机制允许它从恶意子进程中取消这些 API 以逃避检测。
根据趋势科技的分析,规避机制的工作步骤如下:
- 使用 Microsoft Detours 挂钩“CreateProcessW”API 函数来拦截进程创建调用。
- 修改进程创建调用以在挂起状态下启动新进程,从而允许在进程运行之前进行操作。
- 在挂起的进程中搜索特定 DLL,在%User Temp%目录中创建本地副本,并在不解析引用的情况下加载这些副本以防止错误。
- 将复制的 DLL 与进程中的原始DLL 进行比较,查找导出地址中指示安全软件挂钩的修改。
- 将原始代码复制到进程内存中加载的DLL中的修改部分,从而有效地删除安全工具插入的挂钩。
- 卸载临时 DLL 副本并恢复子进程的主线程,从而允许不可检测的执行。
趋势科技解释说,大多数恶意软件都利用挂钩来拦截消息、捕获敏感数据和改变软件行为。因此,UNAPIMON的脱钩逃避方式是一种不寻常的技术。
趋势科技总结道:“该恶意软件的一个独特而显着的特点是它的简单性和独创性。”
“它对现有技术(例如 Microsoft Detours)的使用表明,任何简单且现成的库如果创造性地使用,都可以被恶意使用。这也显示了恶意软件编写者的编码能力和创造力。”
“在典型情况下,是恶意软件进行挂钩。但是,在这种情况下,情况恰恰相反。”
此外,与使用未知的自定义例程相比,使用合法的 Microsoft Detours 调试工具来执行脱钩可以使其逃避行为检测。
Winnti 黑客以其在进行攻击时逃避检测的新颖方法而闻名。2020 年,该组织滥用 Windows 打印处理器来隐藏后门并持续存在。 2022 年,黑客将 Cobalt Strike 信标分成 154 个小块以逃避检测,只有在准备好启动时才将它们重建为可执行文件。
转自会杀毒的单反狗,原文链接:https://mp.weixin.qq.com/s/rei9f36sxkGJWGDMgrR6wA
暂无评论内容