首篇报告!APT组织SideWinder(响尾蛇)积极对其后门武器WarHawk进行重构,样本逆向分析
字数 2149 2025-08-05 08:19:13

APT组织SideWinder后门武器WarHawk重构样本分析报告

1. 背景概述

SideWinder(响尾蛇)组织,又名Rattlesnake或T-APT4,是一个据信有印度背景的APT团伙,主要针对周边国家政府机构等重要组织开展攻击活动,窃取敏感信息。WarHawk后门最早由Zscaler在2022年10月发现并报告。

2. 样本信息

2.1 初始样本

  • 文件名:SIR_206_48_MON_28_03_2024.img
  • 包含两个PE文件:
    • 白名单程序exe:使用Intel公司文件图标和过期签名信息
    • 恶意DLL:IntelWiDiUtils64.dll

2.2 白名单程序特征

  • 文件名后接若干空格掩盖exe后缀
  • 主函数结构与Intel组件相关程序类似
  • 加载IntelWiDiUtils64.dll中的WinNextCheckIfConfigIsAttributionWorthy()函数

2.3 恶意DLL特征

  • 原型为Dbghelp.dll
  • 修改了DLLmain函数内置恶意代码
  • 所有原有导出函数做了重定向
  • 新增一个导出函数:WinNextCheckIfConfigIsAttributionWorthy()

3. 技术分析

3.1 攻击手法

  • 白加黑:利用合法程序加载恶意DLL
  • DLL劫持:替换正常的IntelWiDiUtils64.dll

3.2 执行流程

  1. 白名单程序加载被劫持的DLL
  2. DLLmain函数创建线程执行核心恶意代码
  3. 执行反调试操作
  4. 初始化操作
  5. 建立持久化
  6. 收集系统信息
  7. 建立C2通讯

3.3 反调试技术

  • 加载user32.dll
  • 数百次循环调用GetForegroundWindow
  • 嵌套sleep操作
  • 无意义的堆内存开辟和释放

3.4 持久化机制

  1. 创建路径:C:\programdata\Intel\
  2. 复制白程序exe和恶意DLL到该路径
  3. 创建计划任务: 
    schtasks /create /sc minute /mo 5 /tn IntelWiDiUMS /tr C:\\programdata\\Intel\\IntelWiDiUMS64.exe
    • 每5分钟执行一次恶意程序

3.5 信息收集

  • 计算机名
  • 用户个人文件夹路径
  • C盘卷序列号

3.6 网络通讯

3.6.1 C2服务器

  • 域名:ctd2.police.fia-gov.com
  • IP: 64.46.102.63:8443

3.6.2 通讯特征

  • 使用TLS加密通讯
  • User-Agent: 
    Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko)
  • 上线数据包:sd= + 系统信息的base64编码

3.6.3 API调用链

  1. WinHttpOpen
  2. WinHttpConnect
  3. WinHttpOpenRequest (带WINHTTP_FLAG_SECURE标志位)
  4. WinHttpQueryOption
  5. WinHttpSetOption
  6. WinHttpSendRequest

3.7 功能模块

通过switch-case结构解析服务端指令,指令码存储在数组第二个元素:

指令码 功能 参数位置
0x01 文件上传 第4个元素为文件hex流
0x02 文件执行 第4个元素为目标文件
0x03 文件下载 第4个元素为文件路径
0x04 获取盘符信息 使用GetLogicalDriveStringsW
0x05 获取指定路径文件信息 第4个元素为路径,使用FindFirstFileWFindNextFileW

4. 同源分析

4.1 代码特征

  • 包含不执行的代码分支
  • 包含json格式待填充字符: 
    { "_hwid": "%s", "_computer": "%s", "_username": "%s", "_os": "%s"}
  • 检查执行代码的时区是否为"巴基斯坦标准时间"

4.2 威胁情报

  • IP段64.46.102.0/24被SideWinder大量利用
  • 相同JA3S测绘端口8443
  • 相同根域名fia-gov.com

5. IOC指标

5.1 文件哈希

  • SIR_206_48_MON_28_03_2024.img: 216be0b5a0bbe6066604530539b647b6
  • IntelWiDiUtils64.dll: d466c92a9ed1b0dd7a9789d24182b387

5.2 网络指标

  • C2域名: ctd2.police.fia-gov.com
  • C2 IP: 64.46.102.63:8443

6. 防御建议

  1. 文件监控:监控C:\programdata\Intel\目录的创建和文件写入
  2. 进程监控:监控schtasks.exe创建计划任务的行为
  3. 网络监控:拦截与64.46.102.0/24的TLS连接
  4. 行为检测:检测频繁调用GetForegroundWindow的异常行为
  5. DLL验证:验证加载DLL的数字签名和哈希值

7. 参考链接

APT组织SideWinder后门武器WarHawk重构样本分析报告 1. 背景概述 SideWinder(响尾蛇)组织,又名Rattlesnake或T-APT4,是一个据信有印度背景的APT团伙,主要针对周边国家政府机构等重要组织开展攻击活动,窃取敏感信息。WarHawk后门最早由Zscaler在2022年10月发现并报告。 2. 样本信息 2.1 初始样本 文件名: SIR_206_48_MON_28_03_2024.img 包含两个PE文件: 白名单程序exe:使用Intel公司文件图标和过期签名信息 恶意DLL: IntelWiDiUtils64.dll 2.2 白名单程序特征 文件名后接若干空格掩盖exe后缀 主函数结构与Intel组件相关程序类似 加载 IntelWiDiUtils64.dll 中的 WinNextCheckIfConfigIsAttributionWorthy() 函数 2.3 恶意DLL特征 原型为 Dbghelp.dll 修改了DLLmain函数内置恶意代码 所有原有导出函数做了重定向 新增一个导出函数: WinNextCheckIfConfigIsAttributionWorthy() 3. 技术分析 3.1 攻击手法 白加黑 :利用合法程序加载恶意DLL DLL劫持 :替换正常的 IntelWiDiUtils64.dll 3.2 执行流程 白名单程序加载被劫持的DLL DLLmain函数创建线程执行核心恶意代码 执行反调试操作 初始化操作 建立持久化 收集系统信息 建立C2通讯 3.3 反调试技术 加载 user32.dll 数百次循环调用 GetForegroundWindow 嵌套sleep操作 无意义的堆内存开辟和释放 3.4 持久化机制 创建路径: C:\programdata\Intel\ 复制白程序exe和恶意DLL到该路径 创建计划任务: 每5分钟执行一次恶意程序 3.5 信息收集 计算机名 用户个人文件夹路径 C盘卷序列号 3.6 网络通讯 3.6.1 C2服务器 域名: ctd2.police.fia-gov.com IP: 64.46.102.63:8443 3.6.2 通讯特征 使用TLS加密通讯 User-Agent: 上线数据包: sd= + 系统信息的base64编码 3.6.3 API调用链 WinHttpOpen WinHttpConnect WinHttpOpenRequest (带 WINHTTP_FLAG_SECURE 标志位) WinHttpQueryOption WinHttpSetOption WinHttpSendRequest 3.7 功能模块 通过switch-case结构解析服务端指令,指令码存储在数组第二个元素: | 指令码 | 功能 | 参数位置 | |--------|------|----------| | 0x01 | 文件上传 | 第4个元素为文件hex流 | | 0x02 | 文件执行 | 第4个元素为目标文件 | | 0x03 | 文件下载 | 第4个元素为文件路径 | | 0x04 | 获取盘符信息 | 使用 GetLogicalDriveStringsW | | 0x05 | 获取指定路径文件信息 | 第4个元素为路径,使用 FindFirstFileW 和 FindNextFileW | 4. 同源分析 4.1 代码特征 包含不执行的代码分支 包含json格式待填充字符: 检查执行代码的时区是否为"巴基斯坦标准时间" 4.2 威胁情报 IP段 64.46.102.0/24 被SideWinder大量利用 相同JA3S测绘端口8443 相同根域名 fia-gov.com 5. IOC指标 5.1 文件哈希 SIR_206_48_MON_28_03_2024.img : 216be0b5a0bbe6066604530539b647b6 IntelWiDiUtils64.dll : d466c92a9ed1b0dd7a9789d24182b387 5.2 网络指标 C2域名: ctd2.police.fia-gov.com C2 IP: 64.46.102.63:8443 6. 防御建议 文件监控 :监控 C:\programdata\Intel\ 目录的创建和文件写入 进程监控 :监控 schtasks.exe 创建计划任务的行为 网络监控 :拦截与 64.46.102.0/24 的TLS连接 行为检测 :检测频繁调用 GetForegroundWindow 的异常行为 DLL验证 :验证加载DLL的数字签名和哈希值 7. 参考链接 Zscaler原始报告: https://www.zscaler.com/blogs/security-research/warhawk-new-backdoor-arsenal-sidewinder-apt-group 相关推特: https://twitter.com/ginkgo_ g/status/1774639942628761827