全球知名的信息安全厂商——卡巴斯基实验室在追踪Winnti网络犯罪组织活动过程中,发现了一种基于一款2006年的bootkit安装程序的活动威胁。卡巴斯基实验室根据这种工具的原始名称“HDDRootkit”,将这种威胁命名为“HDRoot”。它是一种针对受攻击系统的可持续并且顽固的通用平台,能够被充当其它恶意工具的据点。目前,卡巴斯基实验室的安全产品能够成功拦截这一恶意软件,保护用户抵御相关威胁。
Winnti网络犯罪组织以针对软件公司进行工业间谍攻击行动而闻名,尤其是针对游戏行业的攻击。近期,卡巴斯基实验室发现这一网络犯罪组织开始针对制药企业发动攻击。
调查过程中,一个复杂的恶意软件样本引起了卡巴斯基实验室全球研究和分析团队的兴趣,从而导致了“HDRoot”被发现。这种威胁之所以会引起卡巴斯基实验室的关注,原因如下:
该威胁采用一种商业VMProtectWin64可执行文件进行保护,并且使用了一个已知的被盗数字证书进行签名,该数字签名属于一家名为广州YuanLuo技术的公司。Winnti网络犯罪组织曾经使用该数字证书为其它恶意工具进行签名。
可执行文件的属性和输出文本均进行了伪装,使其看上去像是微软的Net命令net.exe,很显然,网络罪犯这样做的目的是降低系统管理员发现这种恶意程序的风险。
上述这些特征加在一起,使得这种样本看上去非常可疑。进一步的分析显示,HDRootbootkit是一种在系统中可持续存在并且非常顽固的通用平台。它可以用来启动其它任何工具。卡巴斯基实验室全球研究和分析团队发现有两种后门程序借助该平台启动,而且可能还有更多未被发现。其中一款后门程序可以绕过韩国常用的反病毒产品,包括AhnLab’sV3Lite、AhnLab’sV3365Clinic和ESTsoft’sALYac。所以,Winnti使用这一平台在韩国的受攻击计算机上启动恶意软件。
根据卡巴斯基安全网络数据,韩国是Winnti网络攻击组织在东南亚最感兴趣的攻击区域,该地区其它受攻击的国家还包括日本、中国、孟加拉和印度尼西亚。卡巴斯基实验室还在英国和俄罗斯各一家公司发现了HDRoot感染,而这两家公司之前就曾经遭遇过Winnti的攻击。
卡巴斯基实验室全球研究和分析团队首席安全研究员DmitryTarakanov对此表示:“对任何高级可持续性威胁(APT)来说,首要的目标是保持隐藏不被发现。所以,我们很少会在这些恶意软件中看到复杂的代码加密,因为这样会吸引注意。Winnti网络犯罪组织采用了冒险的做法,他们很可能根据经验,判断哪些痕迹需要隐藏起来,哪些痕迹可以放任不管,因为大多数组织不可能一直都部署最佳的安全策略。系统管理员需要顾及很多事情,如果组织的IT团队规模很小,网络犯罪行为保持不被发现的可能性就更大。”
HDDRootkit的开发者可能是在Winnti组织创立时加入的人员。卡巴斯基实验室认为Winnti网络犯罪组织是在2009年成立的,所以在2006年时该组织并不存在。但是,有可能Winnti组织使用了第三方的恶意软件。也许这一恶意工具以及其源代码早就出现在中国的地下社区以及其它网络犯罪黑市。目前,这一威胁仍处于活动状态。卡巴斯基实验室开始在产品中加入针对该恶意软件的检测特征后,Winnti组织开始对该恶意软件进行修改。在不到一个月的时间内,卡巴斯基实验室就发现了最新的变种。