# Shadowpad: новая активность группировки Winnti #### ptsecurity.com ----- ## Содержание ##### Введение 3 1. Исследование сетевой инфраструктуры. 4 1.1. Обнаружение ShadowPad 4 1.2. Пересечения с другими группами. 7 1.2.1. TA459 7 1.2.2. Bisonal 9 1.3. Жертвы 11 1.4. Активность 12 2. Анализ ВПО и инструментов 12 2.1. Анализ SkinnyD 13 2.2. Анализ xDll 14 2.2.1. Дроппер 14 2.2.2. Бэкдор xDll 15 2.3. ShadowPad 22 2.3.1. Загрузчик ShadowPad и обфускация. 22 2.3.2. Модули ShadowPad 23 2.3.3. Конфигурация ShadowPad. 25 2.3.4. Сетевой протокол 26 2.4. Python-бэкдор 26 2.5. Утилиты 28 Заключение 29 IOCs 30 Файловые индикаторы 30 Сетевые индикаторы 32 MITRE 34 ----- ## Введение В марте 2020 года, в ходе исследования угроз информационной безопасно [сти, специалисты[1] PT Eхреrt Security Center обнаружили неизвестный ранее](https://www.ptsecurity.com/ru-ru/services/esc/) бэкдор и назвали его xDll, по оригинальному названию в коде. В результате ошибки конфигурации контрольного сервера некоторые из папок сервера стали доступны извне. На сервере были обнаружены новые образцы: � ShadowPad; � неизвестного ранее Python-бэкдора; � утилиты для развития атаки; � зашифрованного бэкдора xDll. ShadowPad используется группой Winnti (APT41, BARIUM, AXIOM), кото рая активна по меньшей мере с 2012 года. Группа происходит из Китая[2]. Ключевые интересы группы — это шпионаж и получение финансовой выгоды. Основной арсенал группы состоит из ВПО собственной разработки. Winnti использует сложные методы атак, в числе которых supply chain и watering hole. Группа точно знает, кто их жертва: она очень осторожно развивает ата ку и только после детального анализа зараженной системы загружает ос новной инструментарий. Группа атакует страны по всему миру: Россию, США, Японию, Южную Корею, Германию, Монголию, Белоруссию, Индию, Бразилию. Преимущественно нацелена на следующие отрасли: � игровая индустрия, � разработка ПО, � авиационно-космическая промышленность, � энергетика, � фармацевтика, � финансовый сектор, � телекоммуникации, � строительство, � образование. Первая атака с использованием ShadowPad была зафиксирована в 2017 году[3]. Бэкдор часто применяется в атаках типа supply chain (такими, к приме ру, были взломы CCleaner[4] и ASUS[5]). Последний отчет об активности группы Winnti с использованием ShadowPad был выпущен компанией ESET в январе 2020 года[6]. Связей с нынешней инфраструктурой нам обнаружить не уда лось. Однако в ходе исследования мы обнаружили пересечения новой ин фраструктуры ShadowPad с инфраструктурой других групп, что может го ворить о причастности группы Winnti к другим атакам, об организаторах и участниках которых не было известно ранее. Этот отчет посвящен детальному анализу новой сетевой инфраструктуры, связанной с ShadowPad, новым образцам ВПО группы Winnti, а также анали зу связей с другими атаками, за которыми может стоять данная группа (см. раздел 1.2). _[1. twitter.com/Vishnyak0v/status/1239908264831311872](https://twitter.com/Vishnyak0v/status/1239908264831311872)_ _[2. securelist.com/winnti-more-than-just-a-game/37029/](https://securelist.com/winnti-more-than-just-a-game/37029/ )_ _[3. securelist.com/shadowpad-in-corporate-networks/81432/](https://securelist.com/shadowpad-in-corporate-networks/81432/ )_ _[4. blog.avast.com/update-ccleaner-attackers-entered-via-teamviewer](https://blog.avast.com/update-ccleaner-attackers-entered-via-teamviewer )_ _[5. securelist.com/operation-shadowhammer-a-high-profile-supply-chain-attack/90380/](https://securelist.com/operation-shadowhammer-a-high-profile-supply-chain-attack/90380/ )_ _6._ _[www.welivesecurity.com/2020/01/31/winnti-group-targeting-universities-hong-kong/](https://www.welivesecurity.com/2020/01/31/winnti-group-targeting-universities-hong-kong/)_ ----- ## 1. Исследование сетевой инфраструктуры ### 1.1. Обнаружение ShadowPad Поначалу, при анализе бэкдора xDll (см. раздел 2.2), явной принадлежности к какой-либо APT группе обнаружить не удалось. Образец имел крайне интересный контрольный сервер www. g00gle_jp.dynamic-dns[.]net, что потенциально могло говорить об атаках на Японию. Исследуя сетевую инфраструктуру и разыскивая аналогичные образцы, мы обнаружили несколько доме нов со схожим названием. _Рисунок 1. Сетевая инфраструктура группы Winnti на начальном этапе анализа_ Названия доменов позволяют предположить, что атаки идут еще и на Южную Корею, Монголию, Россию и США. При дальнейшем исследовании инфраструктуры мы обнаружили несколько про стых неизвестных нам загрузчиков (см. раздел 2.1), которые обращаются на связанные контрольные серверы и в ответ должны получить полезную нагрузку, зашифрованную с помощью операции XOR на ключе 0x37. Найденный загрузчик мы на звали SkinnyD (Skinny Downloader) из-за его ма лого размера и скудной функциональности. По структуре URL и некоторым строкам SkinnyD был очень похож на бэкдор xDll. Поначалу мы не смогли получить полезную на грузку для SkinnyD, так как все контрольные сер веры были неактивны. Но через некоторое время нам удалось обнаружить новые образцы бэкдора xDll. При анализе одного из них мы нашли откры тые папки на его контрольном сервере. Файл с названием x.jpg — это бэкдор xDll, зашифрован ный с помощью операции XOR на ключе 0x37. Это дает право предполагать, что xDll является по лезной нагрузкой для SkinnyD. _Рисунок 2. Структура открытых папок_ _на обнаруженном сервере_ ----- Самым интересным на сервере оказалось содержи мое папки cache. _Рисунок 3. Содержимое папки cache_ _Рисунок 4. Пример строк из журнала (подробное описание_ _значений параметров см. в разборе xDll)_ В ней находятся данные о жертвах и ВПО, которое загружается на зараженный ком пьютер. В названии файла жертвы ставит ся MD5-хеш-сумма от MAC-адреса зара женного компьютера, который присылает xDll, а в содержимом можно увидеть по следнее время соединения с контроль ным сервером. По тому, как меняется вто рая часть названия файла с ВПО, можно предположить, что в него ставится сер верное время в наносекундах, однако оно не является верным: оно относит нас в далекий март 1990 года. Почему был взят такой период времени, нам неизвестно. В файлах с ВПО мы обнаружили ShadowPad, неизвестный ранее Python бэкдор и утилиты для развития атаки. Детальный анализ ВПО и утилит пред ставлен в разделе 2. С различной периодичностью[7] злоумыш ленники запрашивают через бэкдор xDll информацию с зараженных компьюте ров. Она сохраняется в файл list.gif. Здесь стоит заметить, что в тех образцах xDll, которые есть у нас, в поле «Domain» присылается именно название домена, в котором находится зараженный компью тер. Однако в журнале практически у всех компьютеров стоит SID пользователя, от имени которого запущен xDll. Возможно, это ошибка в коде определенной версии xDll, так как никакой полезной информа ции для злоумышленника это значение не несет. Углубившись в сетевую инфраструкту ру, мы обнаружили, что на многих сер верах установлена одна и та же цепочка из SSL-сертификатов со следующими параметрами: � Корневой: C=CN, ST=myprovince, L=mycity, O=myorganization, OU=mygroup, CN=myCA, SHA1=0a71519 f5549b21510410cdf4a85701489676ddb � Основной: C=CN, ST=myprovince, L=mycity, O=myorganization, OU=mygroup, CN=myServer, SHA1=2d2 d79c478e92a7de25e661ff1a68de0833 b9d9b _7. Период запроса колебался от нескольких дней до_ _нескольких недель._ ----- _Рисунок 5. Параметры SSL-сертификата_ Такой сертификат встречался в нескольких исследованиях, посвященных атакам с применением ShadowPad. Первое — это исследование атаки на CCleaner в 2017 году. В нем эксперты Avast раскрыли не которые подробности[8] той атаки. И на одном из скриншотов в этом документе можно увидеть такой же сертификат, что и в нынешних атаках. Второе — доклад специалистов из FireEye на конференции Code Blue 2019 о кибератаках на Японию[9]. В одной из атак специалисты обнаружили использование POISONPLUG (наименование ShadowPad, которое использует компания FireEye). При анализе инфраструктуры они обнаружи ли такой же сертификат на контрольных серверах ShadowPad. _Рисунок 6. Слайд из презентации FireEye_ _[8. blog.avast.com/update-ccleaner-attackers-entered-via-teamviewer](https://blog.avast.com/update-ccleaner-attackers-entered-via-teamviewer )_ _[9. www.slideshare.net/codeblue_jp/cb19-cyber-threat-landscape-in-japan-revealing-threat-in-the-shadow-by-chi-en-shen-ashley-](https://www.slideshare.net/codeblue_jp/cb19-cyber-threat-landscape-in-japan-revealing-threat-in-the-shadow-by-chi-en-shen-ashley-oleg-bondarenko)_ _[oleg-bondarenko](https://www.slideshare.net/codeblue_jp/cb19-cyber-threat-landscape-in-japan-revealing-threat-in-the-shadow-by-chi-en-shen-ashley-oleg-bondarenko)_ ----- Поиск серверов с таким сертификатом помог нам выявить не только новые образцы и контроль ные серверы ShadowPad, но и пересечения с другими атаками, которые ранее никак не связыва лись с Winnti (см. раздел 1.2). В результате нам удалось найти более 150 IP-адресов с таким сертификатом или на которых он был установлен ранее, из них 24 были активными на момент написания статьи, — и 147 доменов, которые связаны с этими адресами. Для доменов мы обнаружили ВПО, связанное с Winnti. За время исследования инфраструктуры домены группы переезжали с одного IP-адреса на дру гой множество раз, и это говорит об активной фазе атаки. � Однако неизвестно, что послужило мотивом использовать один SSL-сертификат практически на всех контрольных серверах ShadowPad. Возможно, причина крылась в том, что у злоумыш ленников был всего один образ системы, который устанавливается на контрольные сервера снова и снова, а может быть, все дело в излишней уверенности злоумышленников в собствен ной безнаказанности. Такую историю с сертификатами мы наблюдали и при исследовании активности группы TaskMasters[10]. В какой-то момент злоумышленники начали устанавливать на свои серверы само подписанные сертификаты с одинаковыми метаданными, что в итоге и помогло обнаружить их инфраструктуру. Ниже представлено распределение обнаруженных нами IP-адресов по местоположению. 4,4% 2,4% 47,6% 3,4% 3,8% 18,3% 20,2% Гонконг США Южная Корея Малайзия Сингапур Китай Другие _Россия 1,9%_ _Великобритания 1%_ _Голландия 0,5%_ _Литва 0,5%_ _Германия 0,5%_ _Рисунок 7. Геолокация контрольных серверов_ Около половины серверов группировки находятся в Гонконге. IP-адреса распределены по 45 уникальным провайдерам, при этом более половины серверов сконцентрированы на IP-адресах шести провайдеров, пять из которых находятся в Азии — в Гонконге, Китае, Южной Корее. ### 1.2. Пересечения с другими группами #### 1.2.1. TA459 В 2017 году компания Proofpoint выпустила отчет об атаках на Россию и Белоруссию с использо ванием ZeroT и PlugX[11]. В отчете встречается домен yandax[.]net, который косвенно относился к _[10. www.ptsecurity.com/upload/corporate/ru-ru/analytics/Operation-Taskmasters-2019-rus.pdf](https://www.ptsecurity.com/upload/corporate/ru-ru/analytics/Operation-Taskmasters-2019-rus.pdf)_ _[11. www.proofpoint.com/us/threat-insight/post/APT-targets-russia-belarus-zerot-plugx](https://www.proofpoint.com/us/threat-insight/post/APT-targets-russia-belarus-zerot-plugx)_ ----- инфраструктуре той атаки: этот домен находился на том же IP-адресе, что и один из серверов PlugX. _Рисунок 8. Данные регистранта домена yandax[.]net_ За последние несколько лет на адрес dophfg@yahoo[.]com было зарегистрировано еще несколь ко доменов. _Рисунок 9. Домены с аналогичными WHOIS-данными_ Исследуя инфраструктуру ShadowPad, мы наткнулись на активные серверы, которые связаны с двумя доменами из указанной выше группы — www.ertufg[.]com и www.ncdle[.]net. На этих серве рах также находился типичный для ShadowPad SSL-сертификат. К тому же мы обнаружили образ цы ShadowPad, которые соединяются с этими доменами. Один из них имел относительно старое время компиляции — июль 2017 года. Однако, судя по всему, оно ложное, так как контрольный сервер для него был зарегистрирован в августе 2018 года. Он также маскируется под компонент Bluetooth Stack для Windows компании Toshiba и имеет имя TosBtKbd.dll. ----- _Рисунок 10. Структура доменов, связанных с ShadowPad_ Здесь можно сделать еще одно предположение. Все тот же домен yandax[.]net в данных WHOIS изначально имел совершенно другой почтовые адрес — fjknge@yahoo[.]com. На этот адрес также зарегистрирован один из контрольных серверов NetTraveler — riaru[.]net. Атаки с использовани ем этого домена проводились на страны СНГ и Европы и были описаны исследователями из ком пании Proofpoint[12]. В данном случае не исключен факт переиспользования инфраструктуры дру гой группой для маскировки своей активности. Но все же область этих атак, страны и отрасли, в значительной мере пересекается с областью интересов группы Winnti. Все это отдельные случаи косвенного пересечения, однако можно предположить, что за всеми атаками стоит одна группа. #### 1.2.2. Bisonal На одном из IP-адресов инфраструктуры ShadowPad мы обнаружили домены, которые использо вались при атаках с использованием Bisonal RAT в 2015—2020 годах. _[12. www.proofpoint.com/us/threat-insight/post/nettraveler-apt-targets-russian-european-interests](https://www.proofpoint.com/us/threat-insight/post/nettraveler-apt-targets-russian-european-interests)_ ----- _Рисунок 11. Домены ShadowPad и Bisonal на одном IP-адресе_ Также удалось обнаружить семпл Bisonal, связанный непосредственно с новой инфраструкту рой ShadowPad. _Рисунок 12. Bisonal и инфраструктура ShadowPad_ В ходе изучения этой связи мы наткнулись на презентацию[13] японского исследователя из NTT Security Хадзимэ Такаи (англ. Hajime Takai) с конференции JSAC 2020. В ней исследователь рас сказывает об атаке на Японию, в цепочке которой присутствует xDll, загружающий Bisonal на зараженный компьютер. _[13. jsac.jpcert.or.jp/archive/2020/pdf/JSAC2020_3_takai_jp.pdf](https://jsac.jpcert.or.jp/archive/2020/pdf/JSAC2020_3_takai_jp.pdf)_ ----- _Рисунок 13. Слайд из исследования Хадзимэ Такаи_ Хадзимэ Такаи связывает эту атаку с кампанией Bitter Biscuit, о которой писали исследователи из Unit42[14]. В той атаке также применялся Bisonal. Инструментарий для развития атаки, который был обнаружен Хадзимэ Такаи, практически полностью идентичен обнаруженному нами на сервере с ShadowPad, вплоть до соответствия некоторых хеш-сумм (см. раздел 2). За атаками с применением Bisonal, как считают исследователи[15], стоит группа Tonto team. Атаки группы сконцентрированы преимущественно на трех странах — России, Южной Корее, Японии. Группа атакует правительственные организации, военные структуры, финансовые и промыш ленные предприятия. Все это тоже попадает в сферу интересов группы Winnti. А в связи с новы ми подробностями об использовании Bisonal в связке с xDll и пересечении сетевых инфраструк тур можно предположить, что за атаками с использованием Bisonal стоит группа Winnti. ### 1.3. Жертвы По данным с сервера, заражены более 50 компьютеров. Точное расположение и отраслевую принадлежность всех их нам установить не удалось. Однако, соотнеся время последнего под ключения зараженного ПК к серверу и время получения нами файла с этим временем, можно составить карту часовых поясов. _Рисунок 14. Карта с часовыми поясами жертв_ _[14. unit42.paloaltonetworks.com/unit42-bisonal-malware-used-attacks-russia-south-korea/](https://unit42.paloaltonetworks.com/unit42-bisonal-malware-used-attacks-russia-south-korea/ )_ _[15. blog.talosintelligence.com/2020/03/bisonal-10-years-of-play.html](https://blog.talosintelligence.com/2020/03/bisonal-10-years-of-play.html)_ ----- Большинство стран, находящихся в часовых поясах, отмеченных на карте, точно укладываются в область интересов группы Winnti. Некоторые скомпрометированные организации нам удалось идентифицировать: � университет в США, � аудиторская компания в Голландии, � две строительные компании — одна в России, другая в Китае, � пять фирм — разработчиков ПО: одна в Германии, четыре в России. Все потенциальные жертвы были уведомлены по линии национальных CERT. Учитывая, что ShadowPad применялся в атаках типа supply chain через поставщиков ПО, и мы знаем о компрометации по крайней мере пяти разработчиков ПО, можно утверждать, что либо мы имеем дело с подготовкой к очередному распространению ВПО, либо атака уже находится в активной фазе. ### 1.4. Активность Активность на сервере (сбор информации с жертв и появление новых утилит) происходила вне рабочего времени относительно тех часовых поясов, в которых находились жертвы: у некоторых был вечер, а у кого-то ранее утро. Такая тактика характерна для Winnti. Группа действовала так же при компрометации CCleaner, о чем писал Avast. ## 2. Анализ ВПО и инструментов По собранным нами данным, схема доставки в нынешней кампании выглядит следующим образом. ##### Phishing ShadowPad xDII Bisonal Python SkinnyD backdoor Unknown vector Utils _Рисунок 15. Схема доставки полезной нагрузки_ Анализ времени компиляции найденных нами образцов ВПО показал соответствие с рабочим временем в часовом поясе UTC+8, в котором находятся Китай и Гонконг. ----- 23:00 22:00 21:00 20:00 19:00 18:00 17:00 16:00 15:00 14:00 13:00 12:00 11:00 10:00 9:00 8:00 7:00 6:00 5:00 4:00 3:00 2:00 1:00 0:00 1 4 2 3 3 3 5 2 5 2 23:00 22:00 21:00 20:00 19:00 18:00 17:00 16:00 15:00 14:00 13:00 12:00 11:00 10:00 9:00 8:00 7:00 6:00 5:00 4:00 3:00 2:00 1:00 0:00 _Рисунок 16. Время компиляции ВПО в UTC+0_ _Рисунок 17. Время компиляции ВПО в UTС+8_ ### 2.1. Анализ SkinnyD SkinnyD (Skinny Downloader) является простым загрузчиком. Он содержит в себе несколько адре сов контрольных серверов, которые он последовательно перебирает. Загрузка следующей стадии осуществляется с помощью GET-запроса на управляющий сервер по специальному URL-адресу, который генерируется согласно форматной строке, жестко пропи санной в коде ВПО. _Рисунок 18. Форматная строка для URL_ Получаемые с контрольного сервера данные ВПО проверяет следующим образом: � данные должны быть размером больше чем 0x2800 байт, � данные должны начинаться с байтов «4D 5A» (MZ). Загруженный бинарный файл расшифровывается с помощью XOR и загружается с помощью тех ники рефлективной загрузки PE. После того как бинарный файл загружен, управление переда ется на экспортируемый символ «MyCode». ВПО закрепляется на зараженном компьютере через ключ Environment\UserInitMprLogonScript[16] . _[16. attack.mitre.org/techniques/T1037/](https://attack.mitre.org/techniques/T1037/)_ ----- _Рисунок 19. Код закрепения в системе_ В исследуемых экземплярах SkinnyD обнаружен интересный артефакт, связывающий его с xDll. Это строка «3853ed273b89687». Она не используется загрузчиком, возможно это артефакт билдера. ### 2.2. Анализ xDll #### 2.2.1. Дроппер Дроппер представляет собой исполняемый файл, написанный на языке C и скомпилированный в среде разработки Microsoft Visual Studio. Имеет правдоподобную дату компиляции: 11.02.2020 09:54:40. _Рисунок 20. Общая информация о дроппере_ Содержит полезную нагрузку в виде бэкдора xDll в секции data. _Рисунок 21. Еще один исполняемый файл в дроппере_ ----- Дроппер извлекает данные в объеме 59 392 байт и пытается записать их по одному из путей: � %windir%\Device.exe � %windir%\system32\browseui.dll Затем копирует себя в каталог %windir%\DeviceServe.exe и создает сервис с именем VService, тем самым обеспечивая автозапуск в качестве службы. _Рисунок 22. Установка сервиса_ После запуска сервис создает отдельный поток, в котором запускает полезную нагрузку. _Рисунок 23. Запуск полезной нагрузки_ Стоит заметить, что запуск другого варианта полезной нагрузки в виде DLL-библиотеки (browseui.dll) не предусмотрен. #### 2.2.2. Бэкдор xDll Бэкдор представляет собой исполняемый файл, написанный на языке C++ и скомпилированный в среде разработки Microsoft Visual Studio с использованием библиотеки MFC. Также имеет прав доподобную дату компиляции: 10.02.2020 18:14:37. _Рисунок 24. Общая информация о полезной нагрузке_ ----- Создает отдельный поток, в котором происходят все полезные действия. В начале работы выполняет разведку в системе и собирает пользовательскую информацию: � имя компьютера; � IP-адрес; � кодовую страницу OEM; � MAC-адрес (позднее от полученного значения вычисляется MD5-хеш-сумма, которая будет использоваться при взаимодействии с управляющим сервером); _Рисунок 25. Получение MAC-адреса_ � версию ОС; _Рисунок 26. Получение версии ОС_ ----- � заданный идентификатор «sssss» (вероятно, характеризует данную версию бэкдора); � информацию о том, является ли пользователь администратором; _Рисунок 27. Проверка прав_ � находится ли в виртуальном окружении; _Рисунок 28. Проверка окружения_ � домен и имя пользователя; _Рисунок 29. Получение домена и имени пользователя_ ----- � информацию о процессоре; _Рисунок 30. Получение информации о процессоре_ � информацию об оперативной памяти; _Рисунок 31. Получение информации об оперативной памяти_ � о языке системы. _Рисунок 32. Получение информации о языке системы_ Затем бэкдор расшифровывает адреса управляющего сервера. В данном случае их два, но они совпадают: www.oseupdate.dns-dns[.]com. В теле бэкдора задан третий адрес (127.0.0.1), который замещается расшифрованным. _Рисунок 33. Расшифровка адреса контрольного сервера_ После получения адреса управляющего сервера отправляется GET-запрос в следующем форма те: hxxp://{host}:{port}/{uri}?type=1&hash={md5}&time={current_time}, где: � host — адрес командного сервера; � port — 80-й порт; ----- � uri — строка «news.php»; � md5 — хеш-сумма MAC-адреса (вероятно, идентификатор жертвы); � current_time — текущее время в системе. Вот как это выглядит: _Рисунок 34. Пример запроса к серверу_ Стоит отметить, что используется заданное значение поля HTTP-заголовка User-Agent: Mozilla/5.0 (Windows NT 5.2) AppleWebKit/534.30 (KHTML, like Gecko) Chrome/12.0.742.122 Safari/534.30 _Рисунок 35. Встроенный User-Agent_ В ответ от сервера ожидается символ «1». Если нужный ответ приходит, отправляется POST запрос с базовой информацией о системе в формате JSON: � хеш-сумма MAC-адреса, � имя компьютера, � IP-адрес, � версия ОС, � имя домена, � заданный идентификатор «sssss», � кодовая страница OEM. Пример запроса: _Рисунок 36. Отправка информации о системе_ Стоит заметить, что формат JSON некорректен. Кроме того, пропущено значение поля In_IP. Вероятно, предполагалось, что будут определены как внутренний IP-адрес, так и внешний. Но логика определения внешнего адреса в данном варианте xDll еще не реализована. Еще одна ----- характерная деталь: заданное значение поля HTTP-заголовка Referer: post_info. Значение поля HTTP-заголовка User-Agent также выбирается другое: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; WOW64; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; .NET4.0C; .NET4.0E) Следом запускается цикл обработки команд, поступающих от командного сервера. Для этого бэкдор отправляет GET-запрос, формат которого совпадает с описанным выше. Единственное отличие: значение параметра type: вместо «1» теперь значение «2». hxxp://{host}:{port}/{uri}?type=2&hash={md5}&time={current_time} В ответе от сервера ожидается строчная латинская буква (от a до z). В таблице ниже приведены команды и соответствующие действия. **Команда** **Действие** c Собрать и отправить информацию о подключенных томах в системе d Собрать и отправить содержимое папок e Получить файл от сервера, сохранить в системе и отправить отчет об успехе f Запустить указанный файл средствами ShellExecuteA и отправить отчет об успехе g Удалить указанный файл средствами ShellExecuteA и отправить отчет об успехе h Загрузить указанный файл на сервер j Собрать и отправить список процессов в системе k Завершить указанный процесс и отправить отчет об успехе l Выполнить команду средствами cmd.exe и отправить вывод m Продолжить коммуникацию с cmd.exe. Выполнение дальнейших команд n Собрать и отправить список служб в системе o Отправить всю информацию, полученную в результате разведки q То же, что для команды d u Начать всю коммуникацию с командным сервером заново Для успешного выполнения некоторых команд требуются дополнительные данные. Например, для того чтобы загрузить файл с сервера (команда e), требуется указать имя файла. В этом случае сервер сообщает его через запятую. Например, «e,dangerous_file.txt». Вот так выглядит запрос команды и ответ: _Рисунок 37. Пример команды на загрузку файла_ ----- Следом запрашивается файл и возвращается его содержимое: _Рисунок 38. Содержимое файла, отправленное на сервер_ Затем отправляется отчет об успешной загрузке: _Рисунок 39. Отчет об успешной загрузке файла_ Вновь обратите внимание на характерное значение поля Referer: upfile, а также тип передавае мых данных (image/pjpeg — изображение) и имя передаваемого файла: {md5}.gif (используется хеш-сумма MAC-адреса). Отметим, что в случае обработки команды по сбору листинга папки (команда d) запятая не явля ется разделителем. Вместо этого ожидается, что путь до каталога начинается со второго симво ла: например, «d|C:\Users». _Рисунок 40. Листинг папки_ Данные передаются в формате JSON, причем в этот раз форматирование корректно. Ниже пример отправки информации, полученной в результате анализа системы (команда o). ----- _Рисунок 41. Отправка информации о системе_ Данные вновь передаются в формате JSON, но с меньшим числом ключей. Шаблоны JSON-строки заданы в бэкдоре, а сама строка формируется конкатенацией, без ис пользования специальных библиотек. Впрочем, в некоторых случаях, когда достаточно короткого отчета, информация передается обычным текстом. _Рисунок 42. Результат команды на исполнение кода_ ### 2.3. ShadowPad Как ранее указывалось, на одном из серверов xDll мы обнаружили открытые папки, в одной из которых находился ShadowPad. Особых различий с предыдущими версиями мы не выявили, поэ тому ниже представлен краткий анализ свежей версии. #### 2.3.1. Загрузчик ShadowPad и обфускация На первом этапе происходит дешифрование шеллкода, отвечающего за установку бэкдора в си стеме. Дешифрование осуществляется XOR-подобным алгоритмом, характерной особенностью которого является модификация ключа шифрования на каждой итерации при помощи арифме тических операций с определенными константами. ----- _Рисунок 43. Цикл расшифрования основного модуля_ После дешифрования управление передается загрузчику, который отличается характерным ти пом обфускации. _Рисунок 44. Обфускация, используемая в загрузчике_ Данный тип обфускации встречался в предыдущих версиях ShadowPad и заключается во вставке определенных байтов в различные участки кода, которые предварительно обозначены двумя противоположными условными переходами, указывающими на один и тот же адрес. Чтобы изба виться от данной обфускации, необходимо заменить указанные байты (например, на операцион ный код nop). После получения необходимых адресов API-функций и размещения в памяти необходимых участков кода управление передается на этап установки бэкдора. #### 2.3.2. Модули ShadowPad Как и предыдущие версии, этот бэкдор имеет модульную архитектуру. Ниже представлены модули, входящие в бэк дор по умолчанию. _Рисунок 45. Вызовы функций расшифрования_ _и декомпрессии встроенных в бэкдор модулей_ ----- **Название** **ID** **Время компиляции** **модуля** Root 5E6909BA GMT: Wednesday, 11 March 2020 г., 15:54:34 Plugins 5E69097C GMT: Wednesday, 11 March 2020 г., 15:53:32 Online 5E690988 GMT: Wednesday, 11 March 2020 г., 15:53:44 Config 5E690982 GMT: Wednesday, 11 March 2020 г., 15:53:38 Install 5E69099F GMT: Wednesday, 11 March 2020 г., 15:54:07 DNS 5E690909 GMT: Wednesday, 11 March 2020 г., 15:51:37 Идентификаторы указанных модулей не меняются от версии к версии, их установка и запуск также происходят в отдельном потоке при помощи реестра. Время компиляции модулей можно найти в так называемом служебном заголовке, который располагается перед шеллкодом. _Рисунок 46. Расположение времени сборки в заголовке шеллкода_ Характерной особенностью любого эк земпляра ShadowPad является шифро вание строк, содержащихся в каждом модуле. Алгоритм шифрования похож на используемый при дешифровании бэкдора, отличаются лишь используе мые при модификации ключа константы. Достаточно интересен способ вызо ва некоторых API-функций в модулях ShadowPad. В некоторых экземплярах ВПО для каждой функции высчитыва ется адрес функции для каждого ее вызова, как показано на рисунке 47. Также для получения адресов вызыва емых функций может использоваться специальная структура, на основа нии значений членов которой берутся адреса загрузки библиотек, после чего к ним прибавляются смещения нужных API-функций. _Рисунок 47. Код расшифровки строк в ShadowPad_ _Рисунок 48. Пример обфускации вызова API-функции_ ----- _Рисунок 49. Деобфусцированные вызовы на примере модуля Install_ Для закрепления на компьютере бэкдор копирует себя в папку C:\ProgramData\ALGS\ с именем Algs.exe, после чего создает службу с таким же именем. _Рисунок 50. Созданная для закрепления служба_ После закрепления ВПО запускает новый процесс svchost.exe, после чего внедряет в него свой код и передает ему управление. _Рисунок 51. Код создания процесса и внедрения в него_ #### 2.3.3. Конфигурация ShadowPad Во всех экземплярах бэкдора конфигурация зашифрована, за работу с ней отвечает модуль Config. В данном случае конфигурация представляет собой последовательность шифрованных строк, в которой каждая строка следует за предыдущей без каких-либо дополнений нулями либо ----- выравнивания. Шифрование конфигурации осуществляется тем же алгоритмом, которым за шифрованы строки. _Рисунок 52. Расшифрованная конфигурация ВПО_ #### 2.3.4. Сетевой протокол Формат пакетов, использовавшийся во всех версиях ShadowPad, остался не изменным[17]. Формирование пакетов, от правляемых на сервер, характеризует ся тем, что тело пакета и его заголовок генерируются отдельно друг от друга. После их конкатенации (без какого-ли бо дополнения) пакет накрывается ал горитмом шифрования, логика которо го близка к логике используемых для дешифрования основного модуля и строк внутри бэкдора. Реализация ал горитма представлена на рис. 53. _Рисунок 53. Код шифрования пакета, используемый_ _при обмене с сервером управления_ Шифрованные пакеты, принимаемые от сервера, имеют достаточно простую структуру (на при мере Init-пакета): _Рисунок 54. Структура пакета ShadowPad_ ### 2.4. Python-бэкдор Данный бэкдор был обнаружен на сервере в формате py2exe. Бэкдор написан на Python 2.7 и в начале имеет конфигурационные переменные. _[17. media.kasperskycontenthub.com/wp-content/uploads/sites/43/2017/08/07172148/ShadowPad_technical_description_PDF.pdf](https://media.kasperskycontenthub.com/wp-content/uploads/sites/43/2017/08/07172148/ShadowPad_technical_description_PDF.pdf)_ ----- Может выполнять удаленно три команды: � «CMDCMD» — выполнить через cmd.exe; � «UPFILECMD» — загрузить файл на сервер; � «DOWNFILECMD» — скачать файл с сервера. Команду «ONLINECMD» бэкдор выпол няет сразу после запуска: это сбор ин формации о системе с последующей отправкой на сервер. _Рисунок 56. Команды на сбор информации о системе_ _Рисунок 55. Конфигурация бэкдора_ Бэкдор имеет функцию закрепления через реестр: reg add "HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" /v "startup" /d "c:/Windows/system32/idles.exe После закрепления и сбора информации о системе происходит упаковка данных и их загрузка на управляющий сервер. Взаимодействие с сервером происходит через TCP-сокеты: socket.socket(socket.AF_INET, socket.SOCK_STREAM) Перед отправкой данные дополняются некоторыми значениями, сжимаются ZLIB и кодируются в Base64. _Рисунок 57. Алгоритм упаковки данных_ В коде на рис. 55: � Flag — значение, инициализируемое при старте бэкдора; ----- _Рисунок 58. Инициализация параметра flag_ � Key — значение из конфигурационные изменения; � Cmd — выполненная команда из конфигурационных переменных; � Data — собранные данные. После подготовки данных к их началу прибавляется их длина и разделитель, указанный в конфи гурационных переменных, и они отправляются на сервер. _Рисунок 59. Формирование финального пакета данных_ _Рисунок 60. Пример сформированных данных_ После отправки изначальных данных о системе бэкдор переходит в бесконечный цикл и ждет команду от сервера. _Рисунок 61. Основной цикл_ ### 2.5. Утилиты На сервере мы также обнаружили утилиты для lateral movement. Большинство из них опен сорсные, доступны на GitHub и изначально написаны на Python, но сконвертированы в PE. На сервере имелись: � утилиты[18] для проверки наличия уязвимости MS17-010 и ее эксплуатации; � утилита LaZagne[19] для сбора паролей; � утилита[20] get_lsass для дампа паролей на x64-системах; _[18. github.com/worawit/MS17-010/blob/master/checker.py](https://github.com/worawit/MS17-010/blob/master/checker.py)_ _[19. github.com/AlessandroZ/LaZagne](https://github.com/AlessandroZ/LaZagne)_ _[20. github.com/3gstudent/Homework-of-C-Language/blob/master/sekurlsa-wdigest.cpp](https://github.com/3gstudent/Homework-of-C-Language/blob/master/sekurlsa-wdigest.cpp)_ ----- � NBTScan; � утилита DomainInfo для сбора информации о домене. В утилите для проверки MS17-010 есть небольшое изменение: злоумышленники добавили воз можность проверять целую подсеть. _Рисунок 62. Модифицированная утилита для проверки MS17-010_ При этом сканирование сети будет идти не по порядку, что может ввести в заблуждение специ алистов по безопасности, а также будут пропущены адреса, в последних октетах которых стоят 1 и 2, так как на них очень редко находятся компьютеры пользователей. Еще одна интересная утилита, обнаруженная на сервере, позволяет собирать информацию о домене, в который включен целевой компьютер. Информация включает в себя: � имя компьютера; � имена пользователей компьютера, разбитые по группам; � имя домена; � имя группы, в которую входит текущий пользователь; � имена групп, которые есть в домене; � имена пользователей каждой группы. Вся информация собирается легитимным способом с помощью API-функций библиотеки Netapi32.dll и сохраняется в папку с утилитой в формате XML. Интересно, что утилита скомпилирована в 2014 году на версии Microsoft Visual Studio 2005 года и имеет PDB «e:\Visual Studio 2005\Projects\DomainInfo\Release\Domain05.pdb». ## Заключение Мы проанализировали инфраструктуру группы Winnti, и можем заключить, что активность в ней идет с начала 2019 года. В настоящее время эта инфраструктура только разрастает ся, что говорит об активных действиях Winnti. По нашим данным, группа уже скомпромети ровала более 50 компьютеров, и некоторые из которых них могут послужить «плацдармом» для последующих, более серьезных атак. Группа добавила в свой арсенал несколько новых видов ВПО — SkinnyD, xDll, Python-бэкдор. Мы обнаружили несколько важных связей между ----- нынешней инфраструктурой Winnti и другими крупными атаками, к которым в прошлом группа могла иметь непосредственное отношение. Резко возросшая активность группы также может быть связана с эпидемией коронавируса. Многие компании отправили своих сотрудников на удаленную работу, и при этом, по нашим данным[21], 80% сотрудников используют для работы домашние компьютеры. Получается, что многие работники находятся вне досягаемости корпоративных средств защиты и политик без опасности. Это делает их очень уязвимой мишенью. Мы продолжаем отслеживать активность группы Winnti и не ожидаем, что группа будет снижать свою активность. Через некоторое время мы, возможно, столкнемся с новой атакой, подобной взлому CCleaner и ASUS. ## IOCs **MD5** **SHA-1** **SHA-256** ##### SkinnyD ec2377cbd3065b4d75 cdd78ccd274705f6c94b6640 1d59968304f26651526a27dabd2780006ebd 1a791a22bd302c c968e90972597865 14925c9e00093acfa2443a223675 3fff50f9ea582848b8a5 ea11d0d950481676282cee2 b5227a12185a6fef8bb99ac87eefba7787bbf7 /db05c88f526e 0c5eb24fc71878bcc 5ff9c99bdc855a52539b805d2e 55186de70b2d558762 858d866c5faa965fa9fbe41c d81ba465fe59e7d600f7ab0e8161246a5badd 5749a12df8b607 8484a88fe0c612eb 8ae2c3084f76442fb49f6585e95 ##### Бэкдор xDll 9f01cb61f342f599a01 b63bfdfb7f267e9fbf1c19be6 169c24f0ad3969fe99ff2bf205ead067222781 3c3e19d359ab4 5093d857696f3b0 a88d735378f41a9822c620a535 a2d552ed07ad15427 1858a80c8cff38d7871286a437 59759bbdfc1a37626d99dd260e298a1285ff0 f36d23da0f3a5d3 c502233e027ab0 06035ab83b7a37561e2884fd471 60ddb540da1aefee1e 8d16bc28cef6760ecf69543a1 87a57f5bb976644fce146e62ee54f3e53096f3 14f12578eafda8 4d29ba041307957 7f24884d312ab92198eb1e6549 7a4c8e876af7d30206b 4cff1af90c69cc123ecafe8081e 06d20fb5894c291fca07021800e7e529371372 851c01dbda734 3c486a890d500 abff6db310c0cbc100cf9ad9f9 3d760b6fc84571c928bed adcf9ade7a4dc14b7bf656e 8ac21275d0db7f3e990551f343e16ac105d6a513 835863fc302 86ea15766b843e3b6 810ff71934de4855999cc9c5 278eb1f415d67da- 7d30043210c8be2f642c449 a77613cbb7e914796433bf344614e0c469e32 27b2e35ec35254684 b92fe810a8c81f3f8 a1d52fbaf3df174bf521a3fc6b7 007f35e233a2587783 c1ec5a34b30990d9197c801 aa7b1d13a96f90bf539455f25ef138d5e09e27 5955bdd5dd3660 0441c39d390109c75 b7da6bf7f0c2e48821d98cf476 f2b37be311738a54aa 5e350480787827c19c7bee4 ece7f411ed1897304ca822b37d6480ff0b950 5373f3a45bbde2 833c91d72d0e032a0 5c8e307ef152fef8ed183b001c5 _[21. www.ptsecurity.com/ru-ru/research/analytics/remote-work-in-russia-and-the-cis-2020/](https://www.ptsecurity.com/ru-ru/research/analytics/remote-work-in-russia-and-the-cis-2020/)_ ----- **MD5** **SHA-1** **SHA-256** ##### ShadowPad 82118134e674fe4039 5e29d9e4be79b5d1d7e606b 2c2b1d9b34df9364fd91a6551890b0fdc58a7 07c9b93c4dc7be a59a910cdd840203b e681713c682221a674d1116089a d5cf8f4c8c908553d57 bc2ef2e2232bce6be5bb033 319a06a39e5a1394710ec917f281a546d8503 872ab39742c75 3da6f101f45ca6277 86e80fdb56238456b68d5207a99 eccb14cb5a9f17356ad ef8951613ccca06f35b10f87 3ff1cf65dff231f05bd54df3fecad2545b15909 23aa61d358b11 dc11cf5543c727dd 4ce59ce4bf4c668c904d2a5d7 349382749444e8f63e 223f24eadc6e3a48d9cf9799 63a74b66685fb94d685cfdfadd10917c80523 7f4dc0d8acf75d e3e390a4a4015fdb 9ea079b9431bb5e9c8a58e0ea4b ed4481a9b50529bfa0 f6e4d7eb5e3a7ae4c94bb86 79f0e0a0f9c79a9206b9c2af222f026c384d3e 98c4c530e4198e 26f79cc27b776d665 0d761b0b42815453991bc05294 85b0b8ec05bd6be508 4e60f31e386ec4f478f04b48 831212d40c5120824508a645e54bf1b86f3be b97fd397a9fc20 458e49ef781b04d0 0cd19f87b8067e8b2fdea5c844e 6e3ce4dc5f739c5ba78 09a3b4823a4d82b72888e18 85b0ada2836c76cc49b886dfe59d950a073 78dd4275bb1f5 5c8b23b13c22885c3 e9d6d761581075bf904238306e8c4 05751ea487d99aefea 2092a0557dcece4b4a32040 9984d5b554b8dbfeffdb374e1c8eaf74af7109 72d96a958140d7 b1bc09f9606aa1a1c a0e6b924b00ad5b878d0188895 b9082bce17059a5789a a570deda43eb424cc3578ba be7b1f7f0b73b77fc8fe4c109ae5a675cc9f3f6 8a092bbcdbe26 00b4d42d40044bd00 c16d3a1d7b2a9c6ba5a52ef9a 14d546b1af2329b46c00 07ef26c53b62c4b38c4ff4b bb28528e76649fb72e069b15a76f7c6ef520a 4b5ed37a3bc2 6186bda07a2ff40cb e727408b3439856880a4488aa1f 988ebf6fec017ec24 0eec24a56d093e715047 d7786504a09ae35a75818c686b6299870e91 f24427ac29cc525 a626b911278a218927d2 d646bdf20609fbee0d86c94a5ff5 e6aa938be4b70c79d29 8cf60c047ee8d742a7a9162653 ec801e3baa02c7ad36a9b06512ac106d30ab3a 7936887a1d9a3 5c64bc6d7b580e 2207a7cb1e543fbd076995d43d 964be19e477b57d85ace 6c8ab56853218f28ac 9843ceaca2b9173d3a1f9b24ba85180a40 b7648e2c105d 11c16b050ad589ea14bafe 884dbf78dd7298b0c57008fa36e33d 7bb16d5c48eb8179f8dafe 6bfdee276207d9b738b5e f7231082241d9e332b45307e180f20e1104 306fc7e2c2 51f72e4852e3bda92d2 1f59196715749c6a79a8be17fcdc0 ##### Bisonal 5e25dfdf79dfc0542a2db4 3bf3cd0f3817cf9481944536c e114dd78f9acafcf7e93efe1c9e68a29e4fe52 24b1196894 0c65d8a809e6d4a c4830431a4aa5457927bef7c5e ##### Python-бэкдор c86099486519947a53689e1a0 817a88c07fe6d102961a994 77e4a1f6eb95b9763cf13803aba0058ac0bcada ac8326d 681c6674f89e2f28e 8ee8b8f746963f2db8ce2e21f ##### get_lsass 802312f75c4e4214eb7a6 af421b1f5a08499e130d24f44 8eb40114581fe9dc8d3da71ea407adfb871805902 38aecc48741 8f6d79f7c76af2b b72040d10f711a1de750bfd ##### DomainInfo 22dfdcddd4f4da04b9e 619d32ea81e64d0af0a3e2a69f aad5ca66cfd5f0d1ffd4cccaa199de844b4074d02 f7d10b27d84bc 803cfe9941884b 544521afc757e075739c4b0 ----- **MD5** **SHA-1** **SHA-256** ##### MS17-010 checker 96c2d3af9e3c2216cd9c 397f60d933a3aa030fac af3ec84a79dc58d0a449416b4cf8eb5f7fd39c 9342f82e6cf9 5c1255b2eb1944831fb2 2cf084f6b16ee05abe4a968f12 ##### MS17-010 exploiter 2b2ed478cde45a5a1fc23 a7d6fbbfb2d9d77b8cf07 e3768ad2b2e505453e64fe0f18cb47b2fe62d 564b72d0dc8 9102fb2940bbf968985 184ac7925f73e792d374ba630aa ### Файловые индикаторы Сетевые индикаторы **SkinnyD** 80.245.105.102 **xDll** www.yandex2unitedstated.dns05.com www.oseupdate.dns-dns.com www.yandex2unitedstated.dynamic-dns.net g00gle_jp.dynamic-dns.net hotmail.pop-corps.com www.yandex2unitedstated.dynamic-dns.net **ShadowPad** www.ncdle.net www.ertufg.com info.kavlabonline.com ttareyice.jkub.com unaecry.zzux.com filename.onedumb.com www.yandex2unitedstated.dns04.com www.trendupdate.dns05.com **Bisonal** www.g00gleru.wikaba.com **Python-бэкдор** daum.pop-corps.com **Связанные домены** agent.my-homeip.net freemusic.xxuz.com ntripoli.www1.biz alombok.yourtrap.com freemusic.zzux.com odanobunaga.dns04.com application.dns04.com gaiusjuliuscaesar.dynamicdns.biz point.linkpc.net arjuna.dynamicdns.biz ggpage.jetos.com pop-corps.com arjuna.serveusers.com gkonsultan.mrslove.com microsoft-update.pop-corps.com artoriapendragon.itemdb.com gmarket.system-ns.org microsoft_update.pop-corps.com backup.myftp.info googlewizard.ocry.com rama.longmusic.com billythekid.x24hr.com hardenvscurry.my-router.de redfish.misecure.com bluecat.mefound.com help.kavlabonline.com regulations.vizvaz.com ----- cindustry.faqserv.com host.adobe-online.com server.serveusers.com cuchulainn.mrbonus.com hpcloud.dynserv.org serviceonline.otzo.com daum.xxuz.com ibarakidoji.mrbasic.com thebatfixed.zyns.com depth.toh.info indian.authorizeddns.us tunnel.itsaol.com describe.toh.info inthefa.bigmoney.biz uacmoscow.com developman.ocry.com jaguarman.longmusic.com update.wmiprvse.com dnsdhcp.dhcp.biz jeannedarcarcher.zyns.com videoservice.dnset.com economics.onemore1m.com letstweet.toh.info waswides.isasecret.com ecoronavirus.almostmy.com lezone.jetos.com webhost.2waky.com email_gov_mn.pop-corps.com likeme.myddns.com webmail_gov_mn.pop-corps.com ereshkigal.longmusic.com medusa.americanunfinished.com xindex.ocry.com eshown.itemdb.com modibest.sytes.net yandex.mrface.com facegooglebook.mrbasic.com movie2016.zzux.com yandex.pop-corps.com fackb00k2us.dynamic-dns.net msdn.ezua.com www.alombok.yourtrap.com fergusmacroich.ddns.info myflbook.myz.info www.arjuna.dynamicdns.biz fornex.uacmoscow.com mynews.myftp.biz www.asagamifujino.dns05.com frankenstein.compress.to nadvocacy.mrbasic.com www.billythekid.x24hr.com free2015.longmusic.com nikolatesla.x24hr.com www.bradamante.longmusic.com freedomain.otzo.com notepc.ezua.com www.npomail.ocry.com www.cuchulainn.mrbonus.com npomail.ocry.com www.nthere.ourhobby.com www.daum.xxuz.com www.ggpage.jetos.com www.odanobunaga.dns04.com www.david.got-game.org www.gkonsultan.mrslove.com www.officescan_update.mypop3.org www.facebook2us.dynamic-dns.net www.goog1e_kr.dns04.com www.program.ddns.info www.facegooglebook.mrbasic.com www.googlewizard.ocry.com www.robinhood.longmusic.com www.fackb00k2us.dynamic-dns.net www.hosenw.ns02.info www.siegfried.dynamic-dns.net www.fergusmacroich.ddns.info www.ibarakidoji.mrbasic.com www.stade653.dns04.com www.frankenstein.compress.to www.inthefa.bigmoney.biz www.uacmoscow.com www.free2015.longmusic.com www.jaguarman.longmusic.com www.webhost.2waky.com www.freedomain.otzo.com www.jeannedarcarcher.zyns.com www.xindex.ocry.com www.g00gle_kr.dns05.com www.likeme.myddns.com www.yandex.mrface.com www.g00gle_mn.dynamic-dns.net www.medusa.americanunfinished. com www.g0ogle_mn.dynamic-dns.net www.microsoft-update.pop-corps. com www.msdn.ezua.com www.nikolatesla.x24hr.com www.nmbthg.com www.yandex.pop-corps.com www.yandex2unitedstated.2waky. com ----- ### MITRE ID Name Description **Initial Access** Winnti рассылает фишинговые письма с вредоносными T1566.001 Spear-phishing Attachment вложениями **Execution** Winnti пытается заставить пользователей запускать T1204.002 User Execution: Malicious File вредоносные вложения, доставляемые по электронной почте Дроппер группы Winnti создаёт новую службу T1569.002 System Services: Service Execution на зараженной машине для выполнения xDll **Persistence** Boot or Logon Autostart Execution: Winnti закрепляется на зараженной машине через ветку T1547.001 Registry Run Keys / Startup Folder реестра с параметрами автозагрузки Create or Modify System Process: Win- Winnti закрепляется на зараженной машине через T1543.003 dows Service создание новых сервисов **Defense evasion** Winnti использует собственный алгоритм для дешифровки T1140 Deobfuscate/Decode Files or Information полезной нагрузки T1055 Process Injection ShadowPad инжекстится в процесс wmplayer.exe Winnti использует легитимные утилиты для загрузки T1574.002 Hijack Execution Flow: DLL Side-Loading Shadowpad через DLL Side-Loading Hide Artifacts: Hidden Files В некоторых случаях Winnti хранит свое ВПО в скрытых T1564.001 and Directories папках по пути «C:\ProgramData» Группа Winnti использует различные обфускторы T1027 Obfuscated Files or Information для своего ВПО, например VMProtect T027.001 Software Packing Winnti использует собственный упаковщик для Shadowpad **Credential Access** Winnti использует утилиту LaZagne для получения T1555 Credentials from Password Stores паролей из различных хранилищ Winnti использует утилиту get_lsass для получения T1003.001 OS Credential Dumping: LSASS Memory паролей **Discovery** Winnti использует утилиту LaZagne для получения T1087.001 Credentials from Password Stores паролей из различных хранилищ Группа Winnti собирает информацию о пользователях T1087.002 Account Discovery: Domain Account домена Permission Groups Discovery: Domain T1069.002 Группа Winnti собирает информацию о доменных группах Groups ----- ВПО группы Winnti использует стандартные порты T1043 Commonly Used Port для соединения с С2: 80, 443 ВПО группы Winnti использует стандартные протоколы T1071.001 Application Layer Protocol: Web Protocols для соединения с С2: HTTP и HTTPS ShadowPad моет использовать UDP или TCP T1095 Non-Application Layer Protocol для соединения с С2 T1113 Screen Capture В ShadowPad имеется модуль делающий скриншоты О компании Positive Technologies уже 18 лет создает инновационные решения в сфере информационной безопасности. Продукты и сервисы компании позволяют выявлять, верифицировать и нейтрализовать реальные бизнес-риски, которые могут возникать в ITинфраструктуре предприятий. Наши технологии построены на многолетнем исследовательском опыте и экспертизе ведущих ptsecurity.com специалистов по кибербезопасности. [pt@ptsecurity.com](mailto:pt%40ptsecurity.com?subject=) [facebook.com/](http://facebook.com/PositiveTechnologies) Сегодня свою безопасность нам доверяют более 2000 компаний в 30 странах мира. В числе наших клиентов в России — 80% [PositiveTechnologies](http://facebook.com/PositiveTechnologies) участников рейтинга «Эксперт-400». [facebook.com/PHDays](http://facebook.com/PHDays) [Следите за нами в соцсетях (Facebook, ВКонтакте, Twitter), а также в разделе «Новости» на сайте ptsecurity.com.](https://www.facebook.com/PositiveTechnologies) Winnti 2020 A4 RUS 0004 03 SEP18 2020 -----