BlackTech,一个主要以东亚地区(尤其是中国台湾,也包括中国香港和日本)的技术公司和政府机构为攻击目标的网络间谍组织,且并被认为是恶意软件“Waterbear”的幕后操控者。
Waterbear是一种模块化恶意软件,已经存在了多年,其加载模块能够通过从命令和控制(C2)服务器下载有效载荷来实现不同的功能。在大多数情况下,有效载荷都是后门程序,可以接收和加载其他模块。
最近,网络安全公司趋势科技(Trend Micro)捕获了Waterbear的一个最新变种,其加载模块不仅会下载第一阶段后门,而且还会下载一个会将代码注入特定的安全产品中进行API挂钩来隐藏第一阶段后门恶意行为的有效载荷。
旧版本Waterbear
如上所述,Waterbear具有模块化的结构,通过加载模块(DLL文件)解密并执行RC4加密的有效载荷。一般情况下,有效载荷都是第一阶段后门,用于从攻击者那里接收并加载其他可执行文件。
根据功能的不同,第一阶段后门大致可分为两种:第一种,连接C2服务器;第二种,侦听特定端口。
图1.典型的Waterbear感染链
如上图所示,典型的Waterbear感染从一个恶意DLL加载程序开始,而涉及到的触发技术也分为两种:第一种,修改合法的服务器应用程序以导入和加载DLL加载器;第二种,执行虚拟DLL劫持和DLL端加载。
为了逃避安全检测,有效载荷会在执行实际的恶意例程之前对所有的函数块进行加密,然后只会在需要使用函数时,解密相应函数并执行,而之后则会再次对函数加密。
图2.解密-执行-加密函数
新版本Waterbear
与之间的版本不同,趋势科技此次捕获的新版本Waterbear加载了两个有效载荷。其中,第一个有效载荷会将代码注入特定的安全产品中进行API挂钩来隐藏其恶意行为,而第二个有效载荷则是典型的Waterbear第一阶段后门。
图3.新的Waterbear感染链
两种有效载荷均经过加密处理,存储在受感染计算机的磁盘上,并注入到同一服务(如LanmanServer)中。
趋势科技表示,新版本Waterbear的加载程序首先会试图从文件中读取并解密有效载荷,然后对其解密,并按如下条件执行线程注入:
1.如果在磁盘上找不到第一个有效载荷,则将终止加载程序而不会加载第二个有效载荷(即第一阶段后门)。
2.如果第一个有效载荷被成功解密并注入到服务中,那么不管第一个线程发生了什么,第二个有效载荷也将被加载并注入。
3.在第一个注入的线程中,如果找不到来自特定安全产品的必要可执行文件,那么该线程将被终止,而不会执行其他恶意例程。需要注意的是,只有线程将被终止,而服务仍将运行。
为了隐藏第一阶段后门,第一个有效载荷使用了API挂钩技术来逃避特定安全产品的检测。具体来说,它挂钩了两个不同的API,即“ZwOpenProcess”和“GetExtendedTcpTable”,以隐藏其特定进程。
图4.“ZwOpenProcess”的函数挂钩,用于检查和修改函数的输出
图5.被修改后的“ZwOpenProcess”
结论
趋势科技表示,这是他们首次观察到Waterbear试图隐藏其后门活动。
根据硬编码的安全产品名称,趋势科技认为攻击者应该十分了解受害者所使用的安全产品,甚至连这些安全产品是如何在客户端的端点和网络上收集信息的都十分清楚。因为只有这样,他们才有可能知道具体要挂钩哪些API。
此外,由于API挂钩shellcode采用的是通用方法,因此攻击者之后还可能会使用类似的代码段来应对其他安全产品,使得Waterbear活动更加难以检测。
