记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

针对亚洲游戏行业的新型供应链攻击分析

2019-03-18 12:20

犯罪团伙攻击游戏行业也不是什么新鲜事了,其惯用手法是在游戏的构建环境中插入后门,然后将恶意软件作为合法软件分发出去。卡巴斯基实验室就曾报道过某款在2011年很受欢迎的游戏被Winnti组织植入了后门的事件

最近,ESET的研究人员注意到了一起针对游戏行业的新型供应链攻击,此次攻击行动涉及两款游戏和一个游戏平台应用程序。考虑到攻击主要针对亚洲地区和游戏行业这两个特性,我们有理由推测此次攻击仍有可能是Winnti组织所为。

三起案例,相同后门

在我们观察到的三起案例中,攻击者分别就不同的对象采取了不同配置的恶意软件,但其包含后门代码是相同的,并且使用了相同的启动机制。当前,三款产品中有两款已不再包含后门,但还有一款产品的开发商却仍在散发着带有木马的版本,而具有讽刺意味的是,这款游戏恰好也名为Infestation(感染),由泰国开发商Electronics Extreme制作。自2月初以来,我们已通过各种渠道多次通知该公司,但没有取得明显进展。

让我们看看该恶意软件payload的嵌入手法,以及关于后门的一些细节。

Payload的嵌入

Payload代码在后门可执行文件执行前期启动。对C Runtime初始化的标准调用(图1中的__scrt_common_main_seh)在PE入口点之后挂钩,以在其他内容之前就启动Payload(图2)。这可能表明攻击者改变的是代码的构建配置而不是源代码本身。

1.png

图1.未受损的可执行文件入口点

2.png

图2.受损的可执行文件入口点

在C Runtime代码和主机应用程序后续代码恢复正常执行之前,添加到可执行文件的代码将解密并启动后门内存。嵌入的payload数据具有特定的结构,如图3所示,它由添加的解包代码解析。

3.png

图3.嵌入的payload结构

它包括一个RC4密钥(与0x37进行XOR操作),用于解密文件名和嵌入的DLL文件。

恶意Payload

实际Payload非常小,只包含大约17 KB的代码和数据。

配置

如图4所示,配置数据只是一个用空格分隔的字符串列表。

4.png

图4.Payload配置数据

配置包括四个字段:

· C&C服务器URL。

· 变量(t),用于确定在继续执行之前的睡眠时间(以毫秒为单位)。等待时间在2/3 t到5/3 t之间随机选择。

· 标识活动的字符串。

· 以分号分隔的可执行文件名列表,如果其中任何一个正在运行,则后门将停止其执行。

ESET研究人员已经确定了五个版本的Payload:

b1.jpg

在前三个变体中,代码没有重新编译,但配置数据是在DLL文件中编辑的,其余内容是用于字节复制的字节。

C&C基础设施

域名是经过精心选择的,以使它们看起来与游戏或应用程序发布者相关。apex域被设置为使用Namecheap重定向服务重定向到相关的合法站点,而子域指向恶意的C&C服务器。

b2.jpg

在本文发布时,还没有任何域被解析,且C&C服务器没有响应。

侦察报告

bot标识符由机器的MAC地址生成。后门向C&C服务器报告有关计算机的信息,如用户名、计算机名、Windows版本和系统语言,并等待命令。数据用密钥“*&b0i0rong2Y7un1”和base64编码进行XOR加密。从C&C服务器接收的数据使用相同的密钥加密。

命令

这个后门相对简单,只有四个命令可以被攻击者使用:

· DownUrlFile

· DownRunUrlFile

· RunUrlBinInMem

· UnInstall

这些命令非常容易理解,它们允许攻击者从给定的URL运行额外的可执行程序。

最后一个可能不那么明显。卸载命令不会从系统中删除恶意软件。毕竟,它嵌入到一个合法的可执行文件中,仍然需要运行。它没有删除任何东西,而是通过将注册表值设置为1禁用恶意代码:

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\ImageFlag

当Payload启动时,会查询注册表值,如果设置了注册表值,则执行将中止。

第二阶段

基于ESET的遥测技术,向受害者提供的第二阶段的payload之一是Win64/Winnti.BN。据我们所知,它的dropper是通过HTTPS从api.goallbandungtravel[.]com处下载的。我们已经观察到它使用以下文件名作为Windows服务和在C:\ Windows \ System32中的DLL进行安装:

· cscsrv.dll

· dwmsvc.dll

· iassrv.dll

· mprsvc.dll

· nlasrv.dll

· powfsvc.dll

· racsvc.dll

· slcsvc.dll

· snmpsvc.dll

· sspisvc.dll

我们分析的样本大小约为60 MB,虽然看着大,但实际恶意软件大小仅介于63 KB和72 KB之间,因为恶意软件附带了许多干净的文件。这可能是由植入并安装此恶意服务的组件完成的。

一旦服务运行,它将扩展名.mui附加到其DLL路径,读取该文件并使用RC5对其解密。解密后的MUI文件包含位置独立、偏移量为0的代码。RC5密钥来自硬盘序列号和字符串“[email protected]!rCto R$.” 。然而,我们无法获得任何MUI文件,也无法获得安装它们的代码。因此,我们不知道这种恶意服务的确切目的。

最近版本的恶意软件有一个“自动更新”的机制,使用的C&C服务器是http://checkin.travelsanignacio[.]com。该C&C服务器提供使用静态RC5密钥加密的最新版本的MUI文件。在我们的分析过程中,始终没有获得该服务器的响应。

攻击目标

我们可以用排除法推测攻击对象是谁。在payload开始运行那会儿,恶意软件会检查系统语言是不是用了俄语或者中文(图5),只要是,恶意软件都会停止运行。这说明,这些语言配置的计算机并不在攻击者的考虑范围内。

5.png

图5运行payload之前的语言检查

分布统计信息

ESET遥测技术显示,受害者大多位于亚洲,其中泰国的份额最大。考虑到受攻击的应用程序的热度,并且它的开发人员仍然在散布木马版本,如果预估受害者的数量达到数万或数十万也不足为奇。

6.jpg

结论

从使用者的角度来看,是很难发现这场供应链攻击的。用户无法分析其运行的每一个软件,更何况是那些需要定期更新的软件。因此,安全工作需要从供应商处做起。也许这就是为什么多个团体把目标对准软件开发人员的原因。然而,使用这种技术也有一个缺点:一旦攻击被发现,可以更新软件强制清理,让攻击者失去对计算机的控制。

我们现在还不知道攻击者的动机。是出于经济目的吗?为什么只针对亚洲市场?还是,是为了一场更大的间谍活动做准备?

ESET产品将此威胁检测为Win32 / HackedApp.Winnti.A,Win32 / HackedApp.Winnti.B,payload为Win32 / Winnti.AG,第二阶段payload为Win64 / Winnti.BN。

IoC和Payload的详细信息请点击此处了解。

本文翻译自:https://www.welivesecurity.com/2019/03/11/gaming-industry-scope-attackers-asia/如若转载,请注明原文地址: http://www.hackdig.com/03/hack-54609.htm
知识来源: https://www.4hou.com/web/16823.html

阅读:22909 | 评论:0 | 标签:Web安全 供应链攻击

想收藏或者和大家分享这篇好文章→复制链接地址

“针对亚洲游戏行业的新型供应链攻击分析”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云