Кибершпионы Winnti используют вредонос, прячущий другие шпионские инструменты от антивирусов
Trend Micro выявили вредоносную программу, которая маскирует другие шпионские инструменты от защитных средств, устраняя перехваты API.
Долой зацепки
Кибергруппировка Winnti, которая, как считается, связана со спецслужбами Китая, использует ранее неизвестную программу UNAPIMON, позволяющую скрывать вредоносные процессы от защитного ПО.
По данным компании Trend Micro, атака начинается с внедрения вредоносного процесса в легитимный инструмент VMware Tools, который удаленно запускает по расписанию задачу по сбору системной информации (через batch-файл).
Второй batch-файл (cc.bat) осуществляет побочную загузку DLL (TSMSISrv.dll) через SessionEnv для загрузки UNAPIMON в память, заодно встраивая его в процесс cmd.exe (командная строка Windows).
UNAPIMON написан на C++ и выполнен в виде DLL-библиотеки со случайным названием, которому предшествует символ нижнего подчеркивания. Программа использует Microsoft Detours для перехвата API-функции CreateProcessW API, что позволяет ей высвобождать критические API-функции в дочерних процессах.
Многие защитные инструменты используют перехват API для выявления вредоносной активности, однако UNAPIMON позволяет отключать эти API от вредоносных дочерних процессов, чтобы избегать обнаружения.
Поэтапно механизм уклонения от обнаружения выглядит следующим образом: после внедрения в API-функцию CreateProcessW для последующего перехвата создания процессов, вредонос модифицирует эту процедуру таким образом, чтобы новые процессы создавались в неактивном режиме, так, чтобы их можно было модифицировать до запуска.
Затем вредонос ищет определённые DLL в приостановленном процессе, создаёт локальные копии в каталоге %User Temp%, и загружает эти копии без разрешения ссылок, чтобы избежать ошибок.
Копии DLL сопоставляются с оригиналами с целью выявить модификации, указывающие на присутствие в системе защитных инструментов (и их перехваты).
Оригинальный код перезаписывается поверх изменённых антивирусами секций, тем самым нейтрализуя их вмешательство.
Затем временные копии DLL удаляются, а дочерний (вредоносный) процесс запускается в штатном режиме. Но защитные средства его уже не видят.
Эксперты Trend Micro отметили, что в большинстве случае вредоносные программы также используют перехват API в своих собственных целях. UNAPIMON делает ровно обратное, и это весьма необычная, но эффективная методика.
«Логично предположить, что теперь этот метод будут перенимать разработчики других вредоносных программ, что может заставить вендоров защитных решений заметно переработать свои собственные продукты», - отмечает Анастасия Мельникова, директор по информационной безопасности компании SEQ. По ее словам, зарекомендовавшие себя защитные средства не полагаются только на какой-то один алгоритм обнаружения, и тот факт, что UNAPIMON удалось выявить и исследовать, свидетельствует, что об абсолютной незаметности речи в данном случае не идёт.
Winnti в деле
Группировка Winnti считается одной из старейших и наиболее активных APT-группировок в мире, обладающей наиболее продвинутым набором инструментов для проведения шпионских действий.
Их жертвами за почти двенадцать лет существования становились правительственные и некоммерческие организации, производители программного и аппаратного обеспечения, телеком-операторы и образовательные учреждения.
Для Winnti также характерен креативный подход к своим операциям. Например, в 2022 г. они «прославились» распространением так называемых маяков инструмента для пентестирования Cobalt Strike в разбитом на 154 фрагмента виде. Маяки реконструировались в исполняемый файл только по мере надобности, непосредственно перед атакой.