###### Кувшинов Денис Ведущий специалист группы исследования угроз PT Expert Security Center ### Как работает APT- группировка Winnti ###### бэкдоры ShadowPad, xDLL и новые утилиты для развития атак Кувшинов Денис Ведущий специалист группы исследования угроз PT Expert Security Center ptsecurity.com ----- ## PT Expert Security Center ###### Threat Intelligence Incident Response Network Security ###### 50+ отслеживаемых групп 50+ расследований в год 5000+ сетевых сигнатур ###### Экспертиза в продукты ----- ## Winnti ###### • 2013 первый отчет • APT TTP • 24+ статей • Шпионаж и кража данных **[Winnti. More than just a game: securelist.com/winnti-more-than-just-a-game/37029/](https://securelist.com/winnti-more-than-just-a-game/37029/)** ###### Атакуемые отрасли: • Игровая индустрия • Разработка ПО • Авиационно-космическая промышленность • Энергетика • Фармацевтика • Финансовый сектор • Телекоммуникации • Строительство • Образование • Государственный сектор ----- ## Winnti и ShadowPad ###### • 2017 первый отчет • NetSarang, CCleaner, Asus • Осознанный выбор цели для загрузки **[ShadowPad in corporate networks: securelist.com/shadowpad-in-corporate-networks/81432/](https://securelist.com/shadowpad-in-corporate-networks/81432/)** **New investigations into the CCleaner incident point to a possible third stage that had keylogger capacities: blog.avast.com/new-investigations-in-ccleaner-incident-** ----- ## Начало исследования [twitter.com/Vishnyak0v/status/1239908264831311872](https://twitter.com/Vishnyak0v/status/1239908264831311872) ----- ## Начало исследования ----- ## C2 OpenDir ----- ## Общий SSL-сертификат ###### Корневой: C=CN, ST=myprovince, L=mycity, O=myorganization, OU=mygroup, CN=myCA, SHA1=0a71519f5549b21510410cdf4a85701489676ddb Основной: C=CN, ST=myprovince, L=mycity, O=myorganization, OU=mygroup, CN=myServer, SHA1=2d2d79c478e92a7de25e661ff1a68de0833b9d9b ----- ## Схожая тактика Operation TaskMasters: [ptsecurity.com/ru-ru/research/analytics/operation-taskmasters-2019/](https://www.ptsecurity.com/ru-ru/research/analytics/operation-taskmasters-2019/) ----- ## CCleaner ----- ## Исследование FireEye Cyber Threat Landscape in Japan – Revealing Threat in the Shadow by Chi En Shen (Ashley) Oleg Bondarenko: ----- ## Tonto ##### • 2010 - н.в. • Bisonal/Korlia • Россия, Япония, Южная Корея [Bisonal: 10 years of play: blog.talosintelligence.com/2020/03/bisonal-10-years-of-play.html](https://blog.talosintelligence.com/2020/03/bisonal-10-years-of-play.html) ----- ## Tonto ----- ## Tonto ----- ## Tonto [jsac.jpcert.or.jp/archive/2020/pdf/JSAC2020_3_takai_jp.pdf](https://jsac.jpcert.or.jp/archive/2020/pdf/JSAC2020_3_takai_jp.pdf) ----- ## TA459 [APT Targets Russia and Belarus with ZeroT and PlugX: proofpoint.com/us/threat-insight/post/APT-targets-russia-belarus-zerot-plugx](https://www.proofpoint.com/us/threat-insight/post/APT-targets-russia-belarus-zerot-plugx) ----- ## TA459 ----- ## NetTraveler [NetTraveler APT Targets Russian, European Interests: proofpoint.com/us/threat-insight/post/nettraveler-apt-targets-russian-european-interests](https://www.proofpoint.com/us/threat-insight/post/nettraveler-apt-targets-russian-european-interests) ----- ## Время компиляции образцов ВПО ###### UTC+0 UTC+8 ----- ## Распределение IP C2 ----- ## Жертвы # 50+ жертв ----- ### Жертвы с учетом множества С2 # 300+ жертв ----- ## Инструментарий ##### ВПО • SkinnyD • xDll • Python бэкдор • ShadowPad ##### Утилиты • MS17-010 checker • LaZagne • Get_lsass • NBTScan • DomainInfo ----- ## Общая схема доставки ВПО ----- ## xDll дроппер ###### Извлечение пейлоада ###### Закрепление ----- ## SkinnyD ###### • Закрепление через Environment\UserInitMprLogonScript • Загрузка пейлоада с С2 и передача управления Артефакты: • XOR 0x37 • «3853ed273b89687» ----- ## xDll бэкдор ###### • Сбор информации о пользователе и системе • Проверка окружения • Исполнение команд (a-z) ----- ## xDll бэкдор ###### Команда Действие c Собрать и отправить информацию о подключенных томах в системе d Собрать и отправить содержимое директории e Получить файл от сервера, сохранить в системе и отправить отчет об успехе f Запустить указанный файл средствами ShellExecuteA и отправить отчет об успехе g Удалить указанный файл средствами ShellExecuteA и отправить отчет об успехе h Загрузить указанный файл на сервер j Собрать и отправить список процессов в системе k Завершить указанный процесс и отправить отчет об успехе l Выполнить команду средствами cmd.exe и отправить вывод m Продолжить коммуникацию с cmd.exe. Выполнение дальнейших команд n Собрать и отправить список служб в системе o Отправить всю информацию, полученную в результате разведки q То же, что для команды d u Начать всю коммуникацию с C&C заново ----- ## xDll бэкдор ----- ## xDll бэкдор ----- ## Python бэкдор ###### reg add "HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" /v "startup" /d "c:/Windows/system32/idles.exe ----- ## Python бэкдор ----- ## ShadowPad ###### • PlugX like • Много обфускации • Почти InMemory • Многомодульность ----- ## ShadowPad ###### Дешифровка шеллкода ###### Обфускация шеллкода ----- ## ShadowPad модули ###### Название модуля ID Время компиляции Root 5E6909BA GMT: Wednesday, 11 March 2020 г., 15:54:34 Plugins 5E69097C GMT: Wednesday, 11 March 2020 г., 15:53:32 Online 5E690988 GMT: Wednesday, 11 March 2020 г., 15:53:44 Config 5E690982 GMT: Wednesday, 11 March 2020 г., 15:53:38 Install 5E69099F GMT: Wednesday, 11 March 2020 г., 15:54:07 DNS 5E690909 GMT: Wednesday, 11 March 2020 г., 15:51:37 ----- ## ShadowPad модули ----- ## Конфигурация ShadowPad ----- ## Протокол ShadowPad ###### Пример пакета Шифрование ShadowPad: popular server management software hit in supply chain attack: ----- ## DomainInfo ###### Собираемая информация • Имя компьютера • Имена пользователей компьютера, разбитые по группам • Имя домена • Имя группы, в которую входит текущий пользователь • Имена групп, которые есть в домене • Имена пользователей каждой группы PDB: «e:\Visual Studio 2005\Projects\DomainInfo\Release\Domain05.pdb» ----- ## Результат исследования ###### • Уведомление скомпрометированных организаций • Выявлены новые образцы ВПО • Выявлена связь с атаками других групп • Прекращена деятельность на выявленных С2 ----- ## Обвинения **[APT 41 GROUP: fbi.gov/wanted/cyber/apt-41-group](https://www.fbi.gov/wanted/cyber/apt-41-group)** ----- ## MITRE и IOCs ShadowPad: новая активность группировки Winnti: https://www.ptsecurity.com/ru-ru/research/pt-esc-threat-intelligence/shadowpad-novaya-aktivnost gruppirovki winnti/ ----- #### Полезные ссылки ###### PT ESC Threat Intelligence blog: ptsecurity.com/ru-ru/research/pt-esc-threat-intelligence/ PT ESC Incident Response Alert: ptsecurity.com/ru-ru/services/esc/ Вопросы: webinar@ptsecurity.com Twitter: @TI_ESC -----