Winnti missbraucht GitHub für C&C-Kommunikation

Originalbeitrag von Cedric Pernet, Threat Researcher

Entwickler müssen für neue Anwendungsversionen oder in Projekten ihren Quellcode immer wieder ändern und überarbeiten. In diesem Zusammenhang ist der Online Repository-Service GitHub mit seinem Versions-Kontrollmanagement sehr beliebt. Für Programmierer und Entwickler stellt er eine Art soziales Netzwerk dar und bietet eine wertvolle Plattform für Codemanagement, Sharing, Zusammenarbeit und Integration. Daher gab es auch bereits viele Angriffe darauf: Die quelloffenen Ransomware-Projekte EDA2 und Hidden Tear, die angeblich Trainingszwecken dienen sollten, wurden auf GitHub gehostet und haben mittlerweile verschiedene Ableger, die Unternehmen angriffen.

Auch Tools, die Sicherheitslücken in Geräten im Internet of Things (IoT) ausnutzten waren auf GitHub verfügbar. Sogar der Limitless Keylogger, der in gezielten Angriffen eingesetzt wurde, hatte Verbindung zu einem GitHub-Projekt.

Kürzlich fanden Sicherheitsforscher heraus, dass die Winnti-Gruppe, Bedrohungsakteure in der traditionellen Cyberkriminalität (insbesondere Finanzbetrug), GitHub dazu nutzten, um ihre C&C-Kommunikation zu ihrem neuen Backdoor (von Trend Micro als BKDR64_WINNTI.ONM erkannt) durchzuführen. Die Recherche von Trend Micro ergab auch, dass die Gruppe weiterhin einige der berüchtigten PlugX Malware-Varianten einsetzt, um gezielte Angriffe über das gefundene GitHub-Konto zu führen. Eine ausführliche Analyse der Schadsoftware liefert der Originalbeitrag.

Auf Winntis Spuren

Das von den Kriminellen verwendete GitHub-Konto wurde im Mai 2016 erstellt. Im Juni wurde dann ein rechtmäßiges Projekt/Repository (mobile-phone-project) aufgesetzt, das von einer anderen generischen GitHub-Seite abgeleitet wurde.

Das Repository für Winntis C&C-Kommunikation entstand im August 2016. Vermutlich wurde das GitHub-Konto nicht kompromittiert, sondern von Winnti erstellt. Bis März 2017 enthielt das Repository bereits 14 verschiedene HTML-Seiten, die zu unterschiedlichen Zeiten erstellt wurden.

Die Forscher überwachten die Zeitspanne, in der es IP-Adressen in Verbindung mit Winntis C&C-Servern gab, und fanden heraus, dass die Aktivitäten vor allem am späten Nachmittag und am Abend stattfanden.

Bild: Chronik der IP-Adressen des C&C-Servers

Das GitHub-Konto von Winnti nutzte 12 verschiedene IP-Adressen mit unterschiedlichen Ports. Die gesamte Kommunikation mit diesen C&C-Servern lief über drei verschiedene Port-Nummern 53 (DNS), 80 (HTTP) und 443 (HTTPS). Das sind typische Techniken, die PlugX- und Winnti-Schadsoftwarevarianten für diese Kommunikation einsetzen. Nahezu alle C&C-Server werden in den USA gehostet, nur zwei in Japan.

Fazit

Infolge des Missbrauchs populärer Plattformen wie GitHub können Gruppen wie Winnti Netzwerkpersistenz zwischen kompromittierten Computern und ihren eigenen Servern aufrecht erhalten, ohne entdeckt zu werden. Auch wenn Winnti herkömmliche Schadsoftware einsetzt, so verwendet die Gruppe eine relativ einzigartige ausgeklügelte Taktik. Trend Micro hat GitHub über diese Erkenntnisse informiert und arbeitet mit dem Online-Dienst zusammen.

Hashes (SHA256), die mit BKDR64_WINNTI.ONM zusammenhängen:
06b077e31a6f339c4f3b1f61ba9a6a6ba827afe52ed5bed6a6bf56bf18a279ba — cryptbase.dll
1e63a7186886deea6c4e5c2a329eab76a60be3a65bca1ba9ed6e71f9a46b7e9d – loadperf.dll
7c37ebb96c54d5d8ea232951ccf56cb1d029facdd6b730f80ca2ad566f6c5d9b – loadoerf.ini
9d04ef8708cf030b9688bf3e8287c1790023a76374e43bd332178e212420f9fb — wbemcomn.ini
b1a0d0508ee932bbf91625330d2136f33344ed70cb25f7e64be0620d32c4b9e2 — cryptbase.ini
e5273b72c853f12b77a11e9c08ae6432fabbb32238ac487af2fb959a6cc26089 — wbemcomn.dll

Zusätzliche Analysen vom Cyber Safety Solutions Team

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*