Earth Hundun是一個以網絡間諜活動為目標的威脅組織,多年來一直活躍於亞太地區,瞄準科技和政府領域。該組織使用了多種工具和技術,包括自2009年起就有10多個版本的Waterbear惡意軟體。
Waterbear以其複雜性著稱,採用了多種規避機制以降低被檢測和分析的可能性。隨著版本的更新,其增強了許多逃逸手段,使得應對更加棘手。
2022年,Earth Hundun開始使用Waterbear的最新版本,也稱為Deuterbear,其中包含了許多改變,如反記憶掃描和解密例程,因此我們將其視為與原版Waterbear不同的惡意軟體實體。
本報告將深入分析Earth Hundun武器庫中這兩種惡意軟體類型。
Waterbear的詳細信息
Waterbear自2009年以來有超過10個版本,版本號直接顯示在配置中。儘管有可用的舊版本解決方案,但其操作者通常會堅持增強感染流程,直到成功入侵。因此,在同一時間框架內,甚至在同一受害者的環境中,通常會發現多個版本共存。
有趣的是,一些Waterbear下載器被發現使用內部IP地址的命令和控制(C&C)伺服器(例如,帶有哈希值6b9a14d4d9230e038ffd9e1f5fd0d3065ff0a78b52ab338644462864740c2241的下載器使用內部IP 192.168.11.2作為其C&C伺服器)。
這表明攻擊者可能對受害者的網絡有深入了解,使用多層跳躍伺服器來規避檢測。這種策略突出了這些攻擊的複雜性,它們旨在偷偷潛入受感染的環境並保持控制。
Waterbear的攻擊鏈和TTPs
對於啟動程序,Waterbear使用合法的可執行文件來加載其自定義的DLL文件。在某些情況下,其操作者會修改合法的可執行文件來修改導入表。這包括在序數0處添加同名的DLL,實現通過DLL旁加載無縫啟動加載器。這種策略使Earth Hundun能夠運行其自定義的DLL加載器,並避免被檢測。
我們觀察到,最近的Waterbear加載器例程通常使用相同的自定義鹽化RC4解密,配合類似的混淆模式來解密下載器。這種方法在0.13、0.16和0.24版本的下載器中保持一致。相比之下,早期版本的Waterbear加載器幾乎沒有混淆,或者根本沒有混淆。
解密例程2
在某些情況下,Waterbear加載器會事先將加密的下載器放在註冊表中,並使用CryptUnprotectData API,使下載器只能在受感染的機器上解密。這種方法受到限制,必須在受感染的機器上操作。但是,它可以防止受害者意識到自己正被攻擊,同時也阻礙事件響應人員在調查期間。
下載器
Earth Hundun一直在逐步改進繞過防病毒軟件的技術,在下載器的開頭和結尾添加大量填充0x00,以避免被檢測。解密後,加載器直接執行shellcode,並檢查調試器模式,啟動Waterbear下載器。
Deuterbear的詳細信息
自2022年以來,基於我們的遙測數據,Deuterbear下載器,即Waterbear下載器的最新版本,一直處於活躍狀態。由於在解密流程和配置結構方面進行了重大更新,我們將此變體分類為與原始Waterbear下載器類別不同的獨立惡意軟體實體。
Deuterbear的攻擊鏈和TTPs
Deuterbear下載器采用HTTPS隧道來保護網路流量,並實現了以下反分析混淆方法:
- 使用jmp打斷函數
- 通過進程時間檢查調試器模式
- 通過API、睡眠等正常操作檢查沙箱環境
- 實現在特定時間(如上午9-11點、下午3-5點)執行
- 實現反內存掃描
反內存掃描
Deuterbear下載器對除解密例程之外的所有函數塊進行加密,並在新的虛擬內存中執行所需的功能,而不是在存儲所有加密函數塊的本地地址中執行。
配置
Deuterbear下載器的配置結構包括了簽名、密鑰、C&C伺服器地址、加密的API調用、函數地址等信息。其中值得注意的是,加密的下載器路徑存儲在註冊表中,解密需要依賴CryptoAPI。
網絡行為
Deuterbear使用RSA公鑰加密和RC4密鑰交換來保護與C&C伺服器的通信,在下載器與C&C伺服器之間建立了HTTPS隧道。
Waterbear和Deuterbear的比較
報告最後對Waterbear和Deuterbear下載器在可執行時間、反內存掃描、下載器解密、C&C通信、流量格式等方面進行了詳細比較。可以看出,Deuterbear在多方面都進行了更新和強化,成為了更加強大的惡意軟體。
結論
自2009年以來,Earth Hundun一直在不斷改進和完善Waterbear後門及其眾多變種和分支。儘管有可用的解決方案,但在感染方法和反分析機制方面的改進,導致了目前最先進的變體 - Deuterbear。Deuterbear下載器採用HTTPS加密保護網絡流量,並在惡意軟體執行、調試器或沙箱檢查、流量協議等方面進行了多方面的更新。
根據我們的遙測數據,Earth Hundun持續滲透亞太地區,Waterbear和Deuterbear的不斷演化給組織防禦帶來了巨大挑戰。因此,Trend Micro將繼續加強監控和檢測方法,以應對這些威脅。
詳情請看:
Cyberespionage Group Earth Hundun's Continuous Refinement of Waterbear and Deuterbear