Winnti Group의 새로운 모듈형 백도어 PipeMon이 2020년 2월에 발견되었습니다. 주요 타깃은 한국과 대만의 멀티플레이어 온라인 게임 및 비디오 기업이며, 악성코드는 공급망을 공격할 수 있다. 공격자는 게시된 게임에 트로이 목마를 삽입하거나 게임 서버를 공격하고 게임 화폐를 사용하여 금전적 이익을 얻을 수 있습니다. Winnti 그룹은 2012년부터 활동해 왔으며 소프트웨어 업계의 공급망 공격을 표적으로 삼고 있습니다. 최근 ESET 연구원들은 홍콩의 여러 대학을 대상으로 한 공격도 발견했습니다.
기술 분석
PipeMon의 두 가지 변종이 대상 회사에서 발견되었습니다. PipeMon의 첫 번째 단계는 .rsrc에 포함된 비밀번호로 보호된 실행 파일을 실행하는 것으로 구성됩니다. 아래와 같이 프로그램을 시작하고 자동 생성된 디렉터리의 setup0.exe에 RARSFX를 작성하고 매개 변수를 통해 암호를 제공한 후 CreateProcess를 사용하여 RARSFX를 실행합니다.
setup0.exe -p*|T/PMR{|T2^LWJ*
샘플마다 암호가 다릅니다. 그런 다음 해당 내용을 추출합니다. RARSFX를 TMP%RarSFX0에서 %로:
CrLnc.dat – 암호화된 페이로드
Duser.dll – UAC 우회
osksupport.dll – UAC 우회
PrintDialog.dll – 악성 코드 초기화
PrintDialog.exe – Pri ntDialog 로드 .dll 합법적인 Windows 파일
setup.dll - 설치 dll
setup.exe - 기본 프로그램
폴더 이름에 충돌이 있는 경우 RarSFX0 문자열 끝에 있는 숫자는 충돌이 없을 때까지 증가됩니다. 갈등. 파일을 추출한 후 매개변수 없이 setup.exe가 실행되며 LoadLibraryA를 사용하여 setup.dll을 로드합니다. 로드 후 setup.dll은 '-x:n' 형식으로 매개변수를 확인하며, n은 작동 모드에 따라 다릅니다. 지원되는 매개변수와 해당 동작은 표 1에 나와 있습니다.
RARSFX는 인수 없이 setup.exe를 실행하여 권한으로 실행 중인지 확인합니다. 그렇지 않은 경우 Windows 버전이 Windows 7 빌드 7601보다 이전인지 추가로 확인하세요. 조건이 충족되면 토큰 가장을 사용하여 권한을 얻습니다. 그렇지 않으면 다음 중 하나에 페이로드를 설치할 수 있는 다른 UAC 우회 기술을 사용하려고 시도합니다.
공격보다는 악성 DLL의 위치를 무작위로 선택하는 대신 setup.dll은 다음 레지스트리 값을 설정하여 DLL 로더를 대체 프린터로 등록합니다.C:WindowsSystem32spoolprtprocsx64DEment.dll
C:WindowsSystem32spoolprtprocsx64EntAppsvc.dll
C:WindowsSystem32spoolprtprocsx64Interactive.
HKLMSYSTEMControlSet001ControlPrintEnvironmentsWindows x64Print ProcessorsPrintFiiterPipelineSvcDriver = “DEment.dll”PrintfiiterPipelinesvc의 철자 오류에 주의하세요(어떤 이름이든 사용할 수 있으므로 인쇄 프로세서 설치에는 영향을 미치지 않습니다). 인쇄 프로세서를 등록한 후 PipeMon은 인쇄 스풀러 서비스(spoolsv.exe)를 다시 시작하여 악성 인쇄 프로세스를 로드합니다. 인쇄 스풀러 서비스는 PC가 부팅될 때마다 시작되어 악성 프로그램의 지속성을 보장합니다. 설치 프로그램에 따라 CrLnc.dat는 레지스트리의 다음 위치에 기록됩니다. 0 E52DHK LMSYSTEMCurrentControlSetControlPrintEnvironmentsWindows x64Print Processorslltdsvc1Driver = " "ENTAPPSVC.DLL"
PipeMon 전체 실행 프로세스 아래 그림과 같이: PipeMon
PipeMon은 모듈식 백도어입니다. 각 모듈은 IntelLoader 기능을 내보내고 로딩을 위해 반사 로딩 기술을 사용할 수 있는 DLL입니다. 각 모듈에는 표 2에 표시된 것처럼 서로 다른 기능이 있습니다.
banner.bmp
JSONDIU7c9djE
D8JNCKS0DJE
B0SDFUWEk NCj.logN
.h wp는 한국어예요 text 핸들러는 한국에서 매우 인기 있는 확장 프로그램을 사용합니다. 모듈은 R**으로 암호화되어 있으며, 복호화 키는 'Com! 123Qasdz'는 각 모듈에 하드코딩되어 있습니다. Win32CmDll.dll은 ManagerMain 및 GuardClient 모듈을 해독하고 삽입합니다. ManagerMain 모듈은 통신 모듈의 암호 해독 및 주입을 담당하는 반면 GuardClient 모듈은 통신 모듈이 실행 중인지 확인하고 필요한 경우 다시 로드됩니다. 아래 다이어그램은 PipeMon의 작동 방식을 간략하게 설명합니다.
Win32CmDll.dll은 먼저 ManagerMain 및 GuardClient 모듈을 lsass.exe, wininit.exe 또는 lsm.exe 중 하나라는 프로세스에 삽입하려고 시도합니다. 실패하면 spoolsv.exe, ekrn.exe(ESET), avp.exe(Kaspersky) 또는 dllhost.exe라는 프로세스를 제외하고 등록된 Windows 서비스 프로세스 중 하나를 삽입하려고 시도합니다. 다른 모든 방법이 실패하면 taskhost.exe, taskhostw.exe 또는 explorer.exe 프로세스를 시도합니다.
다른 모듈은 전용 명령을 사용하여 요청 시 로드할 수 있지만 아직 발견된 모듈은 없습니다. 모듈은 명명된 파이프를 통해 통신합니다. 각 모듈 간의 통신 채널은 송신용과 수신용으로 각각 하나씩 두 개의 명명된 파이프를 사용합니다.
%CNC_DEFINED% 문자열은 C&C 서버에서 수신되며, %B64_TIMESTAMP% 변수는 base64로 인코딩된 타임스탬프입니다.
통신 모듈은 C&C 서버와 다른 모듈 간의 통신을 관리합니다. 파이프라인 및 해당 C&C 주소가 ManagerMain 모듈에 하드코딩되어 있습니다. 통신 프로토콜은 HP-Socket 라이브러리를 통해 처리되는 TCP를 통한 TLS입니다. 모든 메시지는 하드코드된 키를 사용하여 R** 암호화됩니다. 전송된 콘텐츠가 4KB보다 크거나 같으면 먼저 zlib를 사용하여 압축합니다.
C&C 서버와의 통신을 시작하고 먼저 다음 정보가 포함된 비콘 메시지를 보냅니다.
OS 버전
연결된 네트워크 어댑터의 물리적 주소와 %B64_TIMESTAMP%
피해자의 로컬 IP 주소
백도어 버전/캠페인 우리는 다음과 같은 값을 관찰했습니다. R**을 간단한 XOR로 바꾸고, 0x75E8EEAF를 키로 사용하고, 하드코딩된 문자열을 모두 제거하고, 임의의 값을 사용하여 모듈 간 통신 파이프의 이름을 지정합니다. 메인 로더만 디스크에 파일로 저장되며 업데이트된 모듈은 다음 표에 설명되어 있습니다.
C&C 통신 형식 변경:백도어 구성이 암호화되어 로더 DLL에 내장됩니다. .
PipeMon 모듈과 설치 프로그램 모두 동일한 서명을 사용하며, 인증서는 이전 공격에서 Winnti 조직에 의해 도난당했을 수 있습니다.
위 내용은 Winnti Group의 새로운 변형 분석을 구현하는 방법의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!

이 기사에서는 운영 보안 감사 시스템 조달을 검토합니다. 전형적인 범주 (하드웨어, 소프트웨어, 서비스), 예산 할당 (Capex, Opex, Project, Training, 비상 사태) 및 적절한 정부 계약 차량 (GSA SCH에 대해 자세히 설명합니다.

이 기사는 DevOps, 보안 및 IT 운영 엔지니어의 역할과 필요한 기술을 탐구합니다. 그것은 매일의 작업, 경력 경로 및 각각에 필요한 기술 및 소프트 기술을 자세히 설명하여 자동화의 중요성이 증가 함을 강조합니다.

이 기사는 DevOps 엔지니어, 시스템 관리자, IT 운영 직원 및 유지 보수 직원에 대한 중요한 보안 책임을 자세히 설명합니다. SDLC (DevOps)의 모든 단계에 보안을 통합하여 강력한 액세스 C를 구현하는 것을 강조합니다. C

이 기사는 OPSEC (Operations Security) 및 NETEC (Network Security) 감사 시스템을 대조합니다. OPSEC는 내부 프로세스, 데이터 액세스 및 직원 행동에 중점을두고 NETSEC는 네트워크 인프라 및 통신 보안을 중심으로합니다. 열쇠

이 기사에서는 DevSecops를 검토하여 보안을 소프트웨어 개발 라이프 사이클에 통합합니다. 보안 아키텍처, 자동화, 취약성 관리 및 사고 대응을 포함한 DevOps 보안 엔지니어의 다각적 역할에 대해 자세히 설명합니다.

이 기사는 성공적인 보안 운영 경력을위한 필수 기술을 검토합니다. 기술 전문 지식 (네트워크 보안, SIEM, 클라우드 플랫폼), 분석 기술 (데이터 분석, 위협 인텔리전스) 및 소프트 스킬 (공동 공동)의 필요성을 강조합니다.

DevOps는 CI/CD 파이프 라인 내에서 보안 검사를 자동화하여 인프라를 제어 개선을위한 코드로 사용하고 개발 및 보안 팀 간의 협업을 육성하여 운영 보안을 향상시킵니다. 이 접근법은 취약점을 가속화합니다

이 기사는 O & M (Operational and Maintenance) 보안을 자세히 설명하며 취약성 관리, 액세스 제어, 보안 모니터링, 데이터 보호 및 물리적 보안을 강조합니다. Proacti를 포함한 주요 책임 및 완화 전략


핫 AI 도구

Undresser.AI Undress
사실적인 누드 사진을 만들기 위한 AI 기반 앱

AI Clothes Remover
사진에서 옷을 제거하는 온라인 AI 도구입니다.

Undress AI Tool
무료로 이미지를 벗다

Clothoff.io
AI 옷 제거제

AI Hentai Generator
AI Hentai를 무료로 생성하십시오.

인기 기사

뜨거운 도구

스튜디오 13.0.1 보내기
강력한 PHP 통합 개발 환경

SublimeText3 중국어 버전
중국어 버전, 사용하기 매우 쉽습니다.

SublimeText3 Linux 새 버전
SublimeText3 Linux 최신 버전

메모장++7.3.1
사용하기 쉬운 무료 코드 편집기

드림위버 CS6
시각적 웹 개발 도구
