Winnti Group の新しいモジュラー バックドア PipeMon は、2020 年 2 月に発見されました。その主な標的は韓国と台湾のマルチプレイヤー オンライン ゲーム会社とビデオ会社であり、このマルウェアはサプライ チェーンに攻撃を仕掛ける可能性があります。攻撃者は、公開されたゲームにトロイの木馬を埋め込んだり、ゲームサーバーを攻撃したり、ゲーム通貨を使用して金銭的利益を得ることができます。 Winnti Group は 2012 年から活動を開始しており、ソフトウェア業界のサプライ チェーン攻撃をターゲットとしています。最近、ESET の研究者は香港のいくつかの大学を標的とした攻撃も発見しました。
技術分析
PipeMon の 2 つの亜種が標的の企業で発見されました。PipeMon の最初の段階では、.rsrc に埋め込まれたパスワードで保護された実行可能ファイルを起動します。スタートアップ プログラムは、以下に示すように、自動生成されたディレクトリの setup0.exe に RARSFX を書き込み、パラメータを通じてパスワードを指定し、CreateProcess を使用して RARSFX を実行します。
setup0.exe -p*|T/PMR{|T2^LWJ*
各サンプルのパスワードは異なります。抽出された RARSFX コンテンツを %TMP%\RarSFX0 に設定します。
CrLnc.dat – 暗号化されたペイロード
Duser.dll – UAC bypass
osksupport.dll – UAC bypass
PrintDialog.dll – マルウェアの初期化
PrintDialog.exe – PrintDialog.dllをロードする正規のWindowsファイル
setup.dll – インストールdll
セットアップ. exe – メイン プログラム
フォルダー名に競合がある場合、RarSFX0 文字列の末尾の数字は競合がなくなるまで増分されます。ファイルを抽出した後、setup.exe はパラメータなしで実行され、LoadLibraryA を使用して setup.dll がロードされます。ロード後、setup.dll は「-x:n」の形式でパラメータをチェックします。n は動作モードによって異なります。サポートされているパラメータとそれに対応する動作を表 1 に示します。
RARSFX は引数なしで setup.exe を実行し、特権で実行されているかどうかを確認します。そうでない場合は、Windows のバージョンが Windows 7 ビルド 7601 より前であるかどうかをさらに確認します。条件が満たされる場合は、トークンの偽装がアクセス許可の取得に使用されます。それ以外の場合は、別の UAC バイパス手法を使用しようとし、ペイロードを次のいずれかにインストールします:
#攻撃者は、悪意のある DLL の場所をランダムに選択したわけではありません。setup.dll は、レジストリ値C:\Windows\System32\spool\prtprocs\x64\DEment.dll
C:\Windows\System32\spool\prtprocs\x64\EntAppsvc.dll
C:\Windows\System32\spool\prtprocs\x64\Interactive.dll
HKLM\SYSTEM\ControlSet001\ Control を設定することで、DLL ローダーを代替プリンタとして登録します。 \Print\Environments\Windows x64\Print Processors\PrintFiiterPipelineSvc\Driver = “DEment.dll”
HKLM\SYSTEM\CurrentControlSet\Control\Print\Environments\Windows x64\Print Processors\lltdsvc1\ Driver = "EntAppsvc.dll"PrintFiiterPipelineSvc のタイプミスに注意してください (任意の名前を使用できるため、プリント プロセッサのインストールには影響しません)。
プリント プロセッサを登録した後、PipeMon は印刷スプーラ サービス (spoolsv.exe) を再起動し、悪意のある印刷プロセスをロードします。 PC が起動するたびに印刷スプーラー サービスが開始され、悪意のあるプログラムの永続化が保証されます。インストーラーに応じて、CrLnc.dat はレジストリ内の次の場所に書き込まれます:
HKLM\SOFTWARE\Microsoft\Print\Components\DC20FD7E-4B1B-4B88-8172-61F0BED7D9E8#PipeMonHKLM\SOFTWARE\Microsoft\Print\Components\A66F35-4164-45FF-9CB4-69ACAA10E52D
PipeMon の実行プロセス全体を次の図に示します。
メイン モジュール (ManagerMain および GuardClient) のロードを担当するローダーは、プリント プロセッサ ディレクトリにある Win32CmdDll.dll です。これらのモジュールは同じ場所に暗号化されて保存され、次のような名前が付けられます:
Banner.bmp
certificate.cert
License.hwp JSONDIU7c9djE D8JNCKS0DJE B0SDFUWEkNCj.logN.hwp は、韓国語のワープロ プログラムで使用される拡張子で、韓国で非常に人気があります。モジュールは R** によって暗号化されており、復号化キーは「Com!」です。 123Qasdz」は各モジュールにハードコーディングされています。 Win32CmDll.dll は、ManagerMain モジュールと GuardClient モジュールを復号化して挿入します。 ManagerMain モジュールは通信モジュールの復号化と挿入を担当し、GuardClient モジュールは通信モジュールが実行されていることを確認し、必要に応じてリロードします。以下の図は、PipeMon の動作の概要を示しています。
Win32CmDll.dll は、まず、lsass.exe、wininit.exe、または lsm.exe のいずれかの名前のプロセスに ManagerMain モジュールと GuardClient モジュールを挿入しようとします。それが失敗した場合、spoolsv.exe、ekrn.exe (ESET)、avp.exe (Kaspersky)、または dllhost.exe という名前のプロセスを除く、登録された Windows サービス プロセスの 1 つを挿入しようとします。他のすべてが失敗した場合は、taskhost.exe、taskhostw.exe、またはexplorer.exeのプロセスが試行されます。
専用のコマンドを使用して追加のモジュールをオンデマンドでロードできますが、まだ検出されていません。モジュールは名前付きパイプを介して通信します。各モジュール間の通信チャネルでは、送信用と受信用の 2 つの名前付きパイプが使用されます。
C&C サーバーから %CNC_DEFINED% 文字列を受信しました。変数 %B64_TIMESTAMP% は Base64 でエンコードされたタイムスタンプです:
通信モジュールが担当しますパイプを介した C&C サーバーと他のモジュール間の通信を管理するためのもので、その C&C アドレスは ManagerMain モジュールにハードコーディングされています。通信プロトコルは TLS over TCP で、HP-Socket ライブラリを介して処理されます。すべてのメッセージは、ハードコードされたキーを使用して R** 暗号化されます。転送コンテンツが 4KB 以上の場合、最初に zlib を使用して圧縮されます。
OS バージョン
連結された接続されたネットワーク アダプターの物理アドレス �4_TIMESTAMP%
被害者のローカル IP アドレス
バックドア バージョン/キャンペーン ID を使用し、次の値を確認しています
“1.1.1.4beat”
“1.1.1.4Bata”
“1.1.1.5”
被害者のコンピュータ名
サポートされるコマンドは次のとおりです。
攻撃者は、R** を 0x75E8EEAF をキーとする単純な XOR に置き換え、すべてのハードコードされた文字列を削除し、ランダムな値で名前を付けたモジュールを使用した PipeMon の更新バージョンも使用しました。 。メイン ローダーのみがファイルとしてディスクに保存され、更新されたモジュールについては次の表で説明します。
C&C 通信形式の変更:
バックドア構成は暗号化され、ローダー DLL に埋め込まれます。
PipeMon モジュールとインストーラーは両方とも同じ署名を使用しており、証明書は以前の攻撃で Winnti 組織によって盗まれた可能性があります。
C&C サーバーから %CNC_DEFINED% 文字列を受信しました。変数 %B64_TIMESTAMP% は Base64 でエンコードされたタイムスタンプです: 
C&C サーバーとの通信を開始し、最初に次の情報を含むビーコン メッセージを送信します。 
以上がWinnti Group の新しいバリアント分析を実装する方法の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。
運用およびメンテナンスセキュリティ監査システムはどのカテゴリに属しますか?Mar 05, 2025 pm 03:59 PMこの記事では、運用上のセキュリティ監査システムの調達を検討します。 典型的なカテゴリ(ハードウェア、ソフトウェア、サービス)、予算の割り当て(CAPEX、OPEX、プロジェクト、トレーニング、緊急事態)、および適切な政府契約車両(GSA SCH)
運用およびメンテナンス担当者の仕事の安全性の責任は何ですかMar 05, 2025 pm 03:51 PMこの記事では、DevOpsエンジニア、システム管理者、IT運用スタッフ、メンテナンス担当者の重要なセキュリティ責任について詳しく説明しています。 セキュリティをSDLC(DevOps)のすべての段階に統合し、堅牢なアクセスCを実装することを強調します。
運用およびメンテナンスの安全エンジニアは何をしていますか?Mar 05, 2025 pm 04:00 PMこの記事では、DevOps、セキュリティ、およびIT運用エンジニアの役割と必要なスキルを調査します。 それぞれに毎日のタスク、キャリアパス、および必要な技術的およびソフトスキルについて詳しく説明し、自動化の重要性の増加を強調しています。
運用とメンテナンスのセキュリティとは何ですか?Mar 05, 2025 pm 03:54 PMこの記事では、セキュリティをソフトウェア開発ライフサイクルに統合し、DevSecopsを検証します。 DevOps Security Engineerの多面的な役割を詳述し、セキュリティアーキテクチャ、自動化、脆弱性管理、インシデント対応を網羅しています
運用とメンテナンスのセキュリティ監査システムとネットワークセキュリティ監査システムの違いMar 05, 2025 pm 04:02 PMこの記事では、オペレーションセキュリティ(OPSEC)とネットワークセキュリティ(NETSEC)監査システムと対照的です。 OPSECは、内部プロセス、データアクセス、従業員の行動に焦点を当て、NETSECはネットワークインフラストラクチャとコミュニケーションセキュリティに集中しています。 鍵
安全操作とメンテナンス担当者の見通しは何ですか?Mar 05, 2025 pm 03:52 PMこの記事では、セキュリティオペレーションのキャリアを成功させるための重要なスキルを検証します。 技術的な専門知識(ネットワークセキュリティ、SIEM、クラウドプラットフォーム)、分析スキル(データ分析、脅威インテリジェンス)、およびソフトスキルの必要性を強調しています。
運用とメンテナンスのセキュリティとは何ですか?Mar 05, 2025 pm 03:58 PMDevOpsは、CI/CDパイプライン内のセキュリティチェックを自動化し、インフラストラクチャを改善するコードとして利用し、開発チームとセキュリティチームのコラボレーションを促進することにより、運用セキュリティを強化します。 このアプローチは脆弱性を加速します
運用およびメンテナンスのセキュリティの主な作業Mar 05, 2025 pm 03:53 PMこの記事では、運用とメンテナンス(O&M)セキュリティ、脆弱性管理、アクセス制御、セキュリティ監視、データ保護、および物理的セキュリティの強調を詳しく説明しています。 Proactiを含む主要な責任と緩和戦略
ホットAIツール
Undresser.AI Undress
リアルなヌード写真を作成する AI 搭載アプリ
AI Clothes Remover
写真から衣服を削除するオンライン AI ツール。
Undress AI Tool
脱衣画像を無料で
Clothoff.io
AI衣類リムーバー
AI Hentai Generator
AIヘンタイを無料で生成します。
人気の記事
ホットツール
MinGW - Minimalist GNU for Windows
このプロジェクトは osdn.net/projects/mingw に移行中です。引き続きそこでフォローしていただけます。 MinGW: GNU Compiler Collection (GCC) のネイティブ Windows ポートであり、ネイティブ Windows アプリケーションを構築するための自由に配布可能なインポート ライブラリとヘッダー ファイルであり、C99 機能をサポートする MSVC ランタイムの拡張機能が含まれています。すべての MinGW ソフトウェアは 64 ビット Windows プラットフォームで実行できます。
SAP NetWeaver Server Adapter for Eclipse
Eclipse を SAP NetWeaver アプリケーション サーバーと統合します。
MantisBT
Mantis は、製品の欠陥追跡を支援するために設計された、導入が簡単な Web ベースの欠陥追跡ツールです。 PHP、MySQL、Web サーバーが必要です。デモおよびホスティング サービスをチェックしてください。
ドリームウィーバー CS6
ビジュアル Web 開発ツール
SublimeText3 Mac版
神レベルのコード編集ソフト(SublimeText3)
