WinDealer - это модульная платформа вредоносного ПО.
WinDealer Malware
В 2020 году Kaspersky Lab обнаружили совершенно новый метод распространения вредоносной программы WinDealer, который использует механизм автоматического обновления некоторых легитимных приложений.
В одном из расследованных случаев было замечано, что подписанный исполняемый файл qgametool.exe (MD5 f756083b62ba45dcc6a4d2d2727780e4), скомпилированный в 2012 году, развернул WinDealer на целевой машине. Эта программа содержит жестко закодированный URL, который она использует для проверки обновлений.
Выполнение WinDealer начинает выполнение с поиска встроенного DLL-файла, размещенного в его ресурсах, по жестко закодированному шаблону и приступает к его декодированию с помощью 10-байтового XOR-ключа.
Логика WinDealer распространяется на начальный EXE и сопутствующую ему DLL: первый содержит настройку программы, а также сетевые коммуникации, в то время как приказы, посылаемые C2, реализуются во втором. Вредоносная программа обладает следующими возможностями:
- Работа с файлами и файловой системой: чтение, запись и удаление файлов, просмотр каталогов, получение информации о диске;
- Сбор информации: сбор информации об аппаратном обеспечении, конфигурации сети и/или раскладке клавиатуры, перечисление запущенных процессов, установленных приложений и конфигурационных файлов популярных приложений для обмена сообщениями (Skype, QQ, WeChat и Wangwang);
- Скачивание и загрузка произвольных файлов;
- Выполнение произвольных команд;
- Общесистемный поиск по текстовым файлам и документам Microsoft Word;
- Захват скриншотов;
- Обнаружение сети с помощью ping-сканирования;
- Обслуживание бэкдора: установка или удаление персистентности (через ключ RUN реестра), обновление конфигурации.
В целом, WinDealer способен собирать впечатляющий объем информации, даже по сравнению с другими семействами вредоносных программ. И все же самый необычный аспект WinDealer кроется в другом.
Последний образец WinDealer, обнаруженный Kaspersky Lab в 2020 году, не содержит жестко закодированного сервера C2, а вместо этого полагается на сложный алгоритм генерации IP-адресов для определения машины, с которой нужно связаться. IP-адрес выбирается случайным образом из одного из этих двух диапазонов:
- 113.62.0.0/15 (AS4134, CHINANET XIZANG PROVINCE NETWORK)
- 111.120.0.0/14 (AS4134, CHINANET GUIZHOU PROVINCE NETWORK)
После выбора IP-адреса связь осуществляется либо через UDP-порт 6999, либо через TCP-порт 55556.
Пакеты, которыми обмениваются с C2-сервером, содержат заголовок, за которым следуют зашифрованные AES данные. Они используют самодельный двоичный протокол, содержащий магические числа и флаги, что позволяет легко распознавать и фильтровать пакеты в больших масштабах.
Анализ Kaspersky Lab показывает, что WinDealer специально ищет популярные в Азии приложения, такие как QQ, WeChat и WangWang. Он также содержит ссылки на ключи реестра, созданные программами Sogou. Это указывает нам на то, что APT LuoYu в основном нацелена на китайскоговорящие цели и организации, связанные с Китаем. Наша телеметрия подтверждает, что подавляющее большинство целей LuoYu находится в Китае, иногда заражения происходят в других странах, таких как Германия, Австрия, США, Чехия, Россия и Индия.
Indicators of Compromise
MD5
- 0c8663bf912ef4d69a1473597925feeb
- 1bd4911ea9eba86f7745f2c1a45bc01b
- 5a7a90ceb6e7137c753d8de226fc7947
- 73695fc3868f541995b3d1cc4dfc1350
- 76ba5272a17fdab7521ea21a57d23591
- 8410893f1f88c5d9ab327bc139ff295d
- cc7207f09a6fe41c71626ad4d3f127ce
- ce65092fe9959cc0ee5a8408987e3cd4
- e01b393e8897ed116ba9e0e87a4b1da1
- ef25d934d12684b371a17c76daf3662c
- faa8eaed63c4e9f212ef81e2365dd9e8
SHA1
- 0d3a5725b6f740929b51f9a8611b4f843e2e07b1
- 158c7382c88e10ab0208c9a3c72d5f579b614947
- 204a603c409e559b65c35208200a169a232da94c
- 313b231491408bd107cecf0207868336f26d79ba
- 64a1785683858d8b6f4e7e2b2fac213fb752bae0
- 6b831413932a394bd9fb25e2bbdc06533821378c
- 78294dfc4874b54c870b8daf7c43cfb5d8c211d0
- 84e749c37978f9387e16fab29c7b1b291be93a63
- 87635d7632568c98c0091d4a53680fd920096327
- b062773bdd9f8433cbd6e7642226221972ecd4e1
- f64c63f6e17f082ea254f0e56a69b389e35857fd
SHA256
- 08530e8280a93b8a1d51c20647e6be73795ef161e3b16e22e5e23d88ead4e226
- 1e9fc7f32bd5522dd0222932eb9f1d8bd0a2e132c7b46cfcc622ad97831e6128
- 25cbfb26265889754ccc5598bf5f21885e50792ca0686e3ff3029b7dc4452f4d
- 27c51026b89c124a002589c24cd99a0c116afd73c4dc37f013791f757ced7b7e
- 28df5c75a2f78120ff96d4a72a3c23cee97c9b46c96410cf591af38cb4aed0fa
- 318c431c56252f9421c755c281db7bd99dc1efa28c44a8d6db4708289725c318
- 4a9b37ca2f90bfa90b0b8db8cc80fe01d154ba88e3bc25b00a7f8ff6c509a76f
- b9f526eea625eec1ddab25a0fc9bd847f37c9189750499c446471b7a52204d5a
- db034aeb3c72b75d955c02458ba2991c99033ada444ebed4e2a1ed4c9326c400
- ea4561607c00687ea82b3365de26959f1adb98b6a9ba64fa6d47a6c19f22daa4
- ecd001aeb6bcbafb3e2fda74d76eea3c0ddad4e6e7ff1f43cd7709d4b4580261