WinDealer Malware IOCs

WinDealer - это модульная платформа вредоносного ПО.

WinDealer Malware

В 2020 году Kaspersky Lab обнаружили совершенно новый метод распространения вредоносной программы WinDealer, который использует механизм автоматического обновления некоторых легитимных приложений.

В одном из расследованных случаев было замечано, что подписанный исполняемый файл qgametool.exe (MD5 f756083b62ba45dcc6a4d2d2727780e4), скомпилированный в 2012 году, развернул WinDealer на целевой машине. Эта программа содержит жестко закодированный URL, который она использует для проверки обновлений.

Выполнение WinDealer начинает выполнение с поиска встроенного DLL-файла, размещенного в его ресурсах, по жестко закодированному шаблону и приступает к его декодированию с помощью 10-байтового XOR-ключа.

Логика WinDealer распространяется на начальный EXE и сопутствующую ему DLL: первый содержит настройку программы, а также сетевые коммуникации, в то время как приказы, посылаемые C2, реализуются во втором. Вредоносная программа обладает следующими возможностями:

  • Работа с файлами и файловой системой: чтение, запись и удаление файлов, просмотр каталогов, получение информации о диске;
  • Сбор информации: сбор информации об аппаратном обеспечении, конфигурации сети и/или раскладке клавиатуры, перечисление запущенных процессов, установленных приложений и конфигурационных файлов популярных приложений для обмена сообщениями (Skype, QQ, WeChat и Wangwang);
  • Скачивание и загрузка произвольных файлов;
  • Выполнение произвольных команд;
  • Общесистемный поиск по текстовым файлам и документам Microsoft Word;
  • Захват скриншотов;
  • Обнаружение сети с помощью ping-сканирования;
  • Обслуживание бэкдора: установка или удаление персистентности (через ключ RUN реестра), обновление конфигурации.

В целом, WinDealer способен собирать впечатляющий объем информации, даже по сравнению с другими семействами вредоносных программ. И все же самый необычный аспект WinDealer кроется в другом.

Последний образец WinDealer, обнаруженный Kaspersky Lab в 2020 году, не содержит жестко закодированного сервера C2, а вместо этого полагается на сложный алгоритм генерации IP-адресов для определения машины, с которой нужно связаться. IP-адрес выбирается случайным образом из одного из этих двух диапазонов:

  •  113.62.0.0/15 (AS4134, CHINANET XIZANG PROVINCE NETWORK)
  • 111.120.0.0/14 (AS4134, CHINANET GUIZHOU PROVINCE NETWORK)

После выбора IP-адреса связь осуществляется либо через UDP-порт 6999, либо через TCP-порт 55556.

Пакеты, которыми обмениваются с C2-сервером, содержат заголовок, за которым следуют зашифрованные AES данные. Они используют самодельный двоичный протокол, содержащий магические числа и флаги, что позволяет легко распознавать и фильтровать пакеты в больших масштабах.

Анализ Kaspersky Lab показывает, что WinDealer специально ищет популярные в Азии приложения, такие как QQ, WeChat и WangWang. Он также содержит ссылки на ключи реестра, созданные программами Sogou. Это указывает нам на то, что APT LuoYu в основном нацелена на китайскоговорящие цели и организации, связанные с Китаем. Наша телеметрия подтверждает, что подавляющее большинство целей LuoYu находится в Китае, иногда заражения происходят в других странах, таких как Германия, Австрия, США, Чехия, Россия и Индия.

Indicators of Compromise

MD5

  • 0c8663bf912ef4d69a1473597925feeb
  • 1bd4911ea9eba86f7745f2c1a45bc01b
  • 5a7a90ceb6e7137c753d8de226fc7947
  • 73695fc3868f541995b3d1cc4dfc1350
  • 76ba5272a17fdab7521ea21a57d23591
  • 8410893f1f88c5d9ab327bc139ff295d
  • cc7207f09a6fe41c71626ad4d3f127ce
  • ce65092fe9959cc0ee5a8408987e3cd4
  • e01b393e8897ed116ba9e0e87a4b1da1
  • ef25d934d12684b371a17c76daf3662c
  • faa8eaed63c4e9f212ef81e2365dd9e8

SHA1

  • 0d3a5725b6f740929b51f9a8611b4f843e2e07b1
  • 158c7382c88e10ab0208c9a3c72d5f579b614947
  • 204a603c409e559b65c35208200a169a232da94c
  • 313b231491408bd107cecf0207868336f26d79ba
  • 64a1785683858d8b6f4e7e2b2fac213fb752bae0
  • 6b831413932a394bd9fb25e2bbdc06533821378c
  • 78294dfc4874b54c870b8daf7c43cfb5d8c211d0
  • 84e749c37978f9387e16fab29c7b1b291be93a63
  • 87635d7632568c98c0091d4a53680fd920096327
  • b062773bdd9f8433cbd6e7642226221972ecd4e1
  • f64c63f6e17f082ea254f0e56a69b389e35857fd

SHA256

  • 08530e8280a93b8a1d51c20647e6be73795ef161e3b16e22e5e23d88ead4e226
  • 1e9fc7f32bd5522dd0222932eb9f1d8bd0a2e132c7b46cfcc622ad97831e6128
  • 25cbfb26265889754ccc5598bf5f21885e50792ca0686e3ff3029b7dc4452f4d
  • 27c51026b89c124a002589c24cd99a0c116afd73c4dc37f013791f757ced7b7e
  • 28df5c75a2f78120ff96d4a72a3c23cee97c9b46c96410cf591af38cb4aed0fa
  • 318c431c56252f9421c755c281db7bd99dc1efa28c44a8d6db4708289725c318
  • 4a9b37ca2f90bfa90b0b8db8cc80fe01d154ba88e3bc25b00a7f8ff6c509a76f
  • b9f526eea625eec1ddab25a0fc9bd847f37c9189750499c446471b7a52204d5a
  • db034aeb3c72b75d955c02458ba2991c99033ada444ebed4e2a1ed4c9326c400
  • ea4561607c00687ea82b3365de26959f1adb98b6a9ba64fa6d47a6c19f22daa4
  • ecd001aeb6bcbafb3e2fda74d76eea3c0ddad4e6e7ff1f43cd7709d4b4580261
SEC-1275-1
Добавить комментарий