趨勢科技在之前的一篇文章中討論過中國駭客組織Winnti如何利用GitHub來散播惡意軟體,這種發展顯示出該集團已經進化,開始運用跟之前攻擊遊戲、製藥和電信公司時不同的戰術。透過本文,我們會仔細檢視跟Winnti集團有關的對象,希望提供一般使用者和企業對這些惡意分子所利用和運作工具(尤其是伺服器基礎設施)有更多的了解。
搜尋網域註冊來找線索
惡意分子通常會註冊和使用多個網域,以便將他們的惡意軟體分散到不同的命令和控制(C&C)伺服器。註冊網域都會需要某些識別資訊:實體或郵寄地址、電子郵件地址和電話號碼。在這之中,需要有效的電子郵件地址,因為註冊商需要寄信給新網域擁有者來確認購買,同時也是控制網域所需的資訊。
大多數詐騙分子會建立一次性電子郵件地址或使用偷來的電子郵件地址,這兩者都很容易建立或取得。但隨著時間久了,詐騙分子在註冊新網域時也會疲於改變資料,犯下重複使用電子郵件地址的錯誤。
仔細分析這惡意分子在2014年到2015年間的網域註冊可以識別出有一組身分被用來註冊多個網域,作為Winnti集團所使用特定惡意軟體的C&C伺服器。具體地說,我們收集到暱稱Hack520的詳細資料,認定他跟Winnti有關。
Winnti集團是誰?
Winnti惡意軟體背後的集團(我們就稱之為Winnti集團)起初是傳統的網路詐騙者,同時具備駭客技術能力來進行金融詐騙。根據他們所註冊網域的使用情況,這集團一開始是在2007年進行假(流氓)防毒產品的生意。在2009年,Winnti集團轉移目標到韓國的遊戲公司,使用自製的資料和檔案竊取惡意軟體。
這集團的主要動機是為了錢,特色是會用自主研發的特製工具來進行攻擊。他們曾經攻擊遊戲伺服器來非法取得遊戲內的金幣(「遊戲黃金」也具備現實世界的價值)和偷走網路遊戲專案的程式碼。這團體還會竊取數位憑證,用來簽署自己的惡意軟體以達到不被偵測的效果。這Winnti集團的目標很多元,包括製藥和電信等企業。這集團因為進行針對性攻擊/鎖定目標攻擊(Targeted attack )相關惡意活動而被關注,如部署魚叉式釣魚攻擊(SPEAR PHISHING)和建立後門。
在研究Winnti集團的過程中,趨勢科技發現沒被回報過的惡意軟體可以歸因到此團體,因為這惡意軟體所用的程式庫和攻擊用基礎設施所用的註冊網域。這些樣本還讓我們找出更多的C&C伺服器,得到比原本預計更多的資訊。
仔細檢視Hack520
對Hack520所註冊網域的初步調查顯示,有類似網域(如下)使用其他身分註冊。
- hack520[.]co[.]kr
- shaiya[.]kr
- zhu[.]kr
- shenqi[.]kr
- zhuxian[.]kr
其中有數個網域都跟Winnti惡意分子所使用的惡意軟體有關聯。令人驚訝的是,不用花多長時間就可以取得關於Hack520的資訊:有人用這暱稱經營部落格,一個Twitter帳號(使用類似Hack520的暱稱)也直接連結到這部落格。
一件關於Hack520的有趣事情是他對豬有明顯的偏好,可從他所使用的電子郵件地址看出。他還在網路留言板中提到自己的職業是「養豬戶」。此外,Hack520的推文也秀出相同的動物,這很可能是他的寵物豬照片。
Hack520所用的Twitter暱稱有帶有「est」。這「est」線索可以關連到一個hack520也經常貼文的駭客集團留言板。
在一篇2009年5月31日的貼文中,Hack520提到自己以前被關過10個月。
Hack520似乎對代管服務很有興趣,他的個人資料也相當符合系統管理員,具備程式和駭客技術。
經過進一步研究,我們可以將Hack520連結到不同的網路管理活動,特別是虛擬專用伺服器(VPS)代管服務。Hack520在一個駭客論壇的簽名檔提供指向此連結的線索。雖然他的簽名檔使用自己的部落格網域,還有第二個簽名檔使用93[.]gd。被發現在之前大力推銷VPS服務的網域。電子郵件地址admin@93[.]gd連結到暱稱「PIG GOD」所擁有的IP地址,另一個看出Hack520對豬情有獨鍾的地方。
Hack520所擁有的IP地址被我們戲稱為豬網段。「PIG GOD」的IP範圍是43[.]255[.]188.0/22,這看起來是在香港,可從我們所發現的資料看出:
- inetnum: 43[.]255[.]188[.]0 – 43[.]255[.]190[.]255
- netname: PIG-HK
- description: PIG GOD
- country: HK
- admin-c: PG406-AP
- tech-c: PG406-AP
- person: pig god
- country: HK
- phone: +852-39437000
- e-mail: admin@66[.]to
- nic-hdl: PG406-AP
- mnt-by: MAINT-RAIBOW-HK
- changed: admin@66[.]to 20160917
- source: APNIC
網域66[.]to指到另一個秀出Hack520寵物豬的網站。這也可以看出secure[.]66[.]to和zhu[.]vn的關聯,它們都屬於Hack520,包含他的個人部落格。
我們也找到Hack520的豬網路和Winnti集團活動間的其他關連。包括代管Winnti所用過的C&C網域,如mtrue.com、shenqi[.]kr和zhu[.]kr。我們還發現一個活的服務在販賣secure[.]66[.]to的VPS主機。secure[.]66[.]to實際上代管出租給世界各地公司的服務。在secure[.]66[.]to上找到的內容常常會連到zhu[.]kr,這是Hack520放自己私人部落格的網域。
![secure[.]66[.]to截圖](https://blog.trendmicro.com/trendlabs-security-intelligence/files/2017/04/Figure4_winnti.jpg)
我們發現在2015年到2017年三月間有約500個網域跟豬網路有關。大多數網域似乎都包含非法內容,如色情和網路賭博。我們高度懷疑豬網路也被與Winnti無關的網路犯罪分子用來提供防攻擊(bulletproof)代管服務。
從Hack520的部落格及它相關的基礎設施來看,可以肯定地說Hack520積極提供VPS服務給Winnti和其他網路犯罪分子或駭客等集團。
建立資安意識和運用正確的解決方案,防禦像Winnti駭客集團所使用的戰術
像Winnti集團這樣的惡意分子很少會在工具和戰術方面保持不變。正如我們在2017年資安預測中所提到,這些團體將不斷進化,並且採用獨特和先進的攻擊技術。此外,像Hack520這樣的人可以證明這些惡意分子會由各種擁有專長的人所組成。這一切都可以看出像Winnti這樣的惡意分子和集團會繼續嘗試不同的攻擊方法。
惡意分子一直都會想辦法擴展自己所使用的策略,因此對不那麼組織化的網路犯罪分子有用的安全措施和解決方案並不一定對執著的駭客集團有效,他們願意花時間、資源和能力來達成目的。因此在談到資訊安全時,每個人都必須積極主動,尤其是那些經常成為針對性攻擊受害者的組織。透過建立資安意識和運用正確的解決方案,個人和企業可以進一步去防禦像Winnti集團這樣的惡意分子所使用的戰術。
@原文出處:Of Pigs and Malware: Examining a Possible Member of the Winnti Group