重温 WARMCOOKIE
Elastic Security Labs 继续跟踪 WARMCOOKIE 代码库的发展,发现了与后门相关的新基础设施。自我们最初发布文章以来,我们一直在观察代码家族的持续更新和围绕后门的持续活动,包括新的感染及其与新兴加载程序的使用。IBM X-Force 团队最近的一项发现强调了一种新的恶意软件即服务(MaaS)加载器,被称为 CASTLEBOT,它传播 WARMCOOKIE。
在本文中,我们将回顾 WARMCOOKIE 首次发布以来新增的功能。接下来,我们将介绍从各种样本中提取的配置信息。
关键要点
- WARMCOOKIE 后门被积极开发和分发
- 活动 ID 是最近添加的一个标记,它揭示了针对特定服务和平台的目标
- WARMCOOKIE 操作员似乎会收到不同的构建文件,它们的命令处理程序和功能各不相同
- 弹性安全实验室确定了一个默认证书,可用于跟踪新的 WARMCOOKIE C2 服务器
WARMCOOKIE 回顾
我们在 2024 年夏天首次发布了有关 WARMCOOKIE 的研究报告,详细介绍了它的功能以及如何通过以招聘为主题的网络钓鱼活动来部署它。从那时起,我们观察到该恶意软件的各种开发变化,包括添加新的处理程序、新的活动 ID 字段、代码优化和闪避调整。
2025 年 5 月,在欧洲刑警组织的 "终局行动"(Operation Endgame)中,包括 WARMCOOKIE 在内的多个知名恶意软件家族被摧毁,WARMCOOKIE 的重要性由此凸显。尽管如此,我们仍然看到该后门被积极用于各种恶意广告和垃圾邮件活动中。
WARMCOOKIE 的更新
处理程序
在对 WARMCOOKIE 新变种的分析过程中,我们发现了 2024 年夏天引入的四个新处理程序,它们提供了快速启动可执行文件、DLL 和脚本的功能:
- 执行 PE 文件
- DLL 执行
- 执行 PowerShell 脚本
- 通过
Start导出执行 DLL
我们收集到的最新 WARMCOOKIE 版本包含 DLL/EXE 执行功能,而 PowerShell 脚本功能则少得多。这些功能通过为每种文件类型传递不同的参数来利用相同的功能。处理程序会在临时目录中创建一个文件夹,并将文件内容(EXE / DLL / PS1)写入新创建文件夹中的临时文件。然后,它会直接执行临时文件,或使用rundll32.exe 或PowerShell.exe 。下面是一个来自 procmon 的 PE 执行示例。
字符串银行
观察到的另一个变化是,WARMCOOKIE 的文件夹路径和计划任务名称采用了合法公司列表(称为 "字符串库")。这样做的目的是为了逃避防御,让恶意软件可以转移到看起来更合法的目录中。这种方法使用了一种更动态的方法(在恶意软件运行时分配的用作文件夹路径的公司列表),而不是像我们在以前的变种中观察到的那样,将路径硬编码到一个静态位置(C:\ProgramData\RtlUpd\RtlUpd.dll )。
恶意软件使用GetTickCount 作为srand 函数的种子,从字符串库中随机选择一个字符串。
下面是一个计划任务的示例,显示了任务名称和文件夹位置:
通过搜索其中的一些名称和描述,我们的团队发现这个字符串库来自一个用于评价和查找信誉良好的 IT/软件公司的网站。
较小的变化
在上一篇文章中,WARMCOOKIE 使用/p 传递了一个命令行参数,以确定是否需要创建计划任务;现在该参数已改为/u 。这似乎是一个微小但额外的变化,打破了以往的报告方式。
在这个新版本中,WARMCOOKIE 现在嵌入了 2 独立的 GUID 类互斥项;这些互斥项结合使用,可以更好地控制初始化和同步。以前的版本只使用一个互斥器。
WARMCOOKE 最新版本的另一项显著改进是代码优化。下图中的实现方式更加简洁,减少了内联逻辑,从而优化了程序的可读性、性能和可维护性。
集群配置
自 2024 年 7 月首次发布以来,WARMCOOKIE 样品已包含一个活动 ID 字段。操作员可将该字段用作标签或标记,向操作员提供感染的相关信息,如分发方法。下面是一个示例,活动 ID 为traffic2 。
根据去年提取的样本配置,我们推测嵌入式 RC4 密钥可用于区分使用 WARMCOOKIE 的操作员。虽然未经证实,但我们从各种样本中观察到,基于 RC4 密钥的聚类开始出现一些模式。
通过使用 RC4 密钥,我们可以看到活动主题随着时间的推移而重叠,例如使用 RC4 密钥构建的83ddc084e21a244c ,它利用bing 、bing2 、bing3,和aws 等关键字进行活动映射。与这些构建工件相关的一个有趣现象是,有些构建包含不同的命令处理程序/功能。例如,使用 RC4 密钥的构建版83ddc084e21a244c 是我们观察到的唯一具有 PowerShell 脚本执行功能的变体,而大多数最新构建版都包含 DLL/EXE 处理程序。
其他活动 ID 似乎使用了lod2lod 、capo, 或PrivateDLL 等术语。在 2025 年 7 月的 WARMCOOKIE抽样中,我们首次看到了嵌入式域名与数字 IP 地址的对比。
WARMCOOKIE 基础设施概述
从这些配置中提取基础设施后,有一个 SSL 证书脱颖而出。我们的假设是,下面的证书可能是 WARMCOOKIE 后端使用的默认证书。
Issuer
C=AU, ST=Some-State, O=Internet Widgits Pty Ltd
Not Before
2023-11-25T02:46:19Z
Not After
2024-11-24T02:46:19Z
Fingerprint (SHA1)
e88727d4f95f0a366c2b3b4a742950a14eff04a4
Fingerprint (SHA256)
8c5522c6f2ca22af8db14d404dbf5647a1eba13f2b0f73b0a06d8e304bd89cc0证书详情
请注意,上面的 "Not After "日期表明该证书已过期。但是,新的(和重复使用的)基础架构将继续使用该过期证书进行初始化。这并不是全新的基础设施,而是重新配置重定向器,为现有基础设施注入新的活力。这可能表明,活动所有者并不担心 C2 被发现。
结论
Elastic Security Labs 继续观察 WARMCOOKIE 感染情况以及该系列新基础设施的部署情况。在过去的一年里,开发商不断进行更新和修改,这表明它还会存在一段时间。根据其选择性使用情况,它仍未引起人们的注意。我们希望通过分享这些信息,各组织能够更好地保护自己免受这种威胁。
恶意软件和 MITRE ATT&CK
Elastic 使用MITRE ATT&CK框架来记录高级持续性威胁针对企业网络使用的常见策略、技术和程序。
战术
策略代表了技术或子技术的原因。 这是对手的战术目标:采取行动的原因。
技术
技术代表对手如何通过采取行动来实现战术目标。
检测恶意软件
预防
- 可疑的 PowerShell 下载
- 由异常进程创建的排定任务
- 通过 Windows 脚本执行可疑的 PowerShell
- 具有异常参数的 RunDLL32
- Windows.Trojan.WarmCookie
雅拉
Elastic Security 创建了以下 YARA 规则来识别此活动。
观察结果
本研究讨论了以下可观察的结果。
| 可观测 | 类型 | 名称 | 参考 |
|---|---|---|---|
| 87.120.126.32 | IPv4 地址 | WARMCOOKIE C2 服务器 | |
| storsvc-win[.]com | 域 | WARMCOOKIE C2 服务器 | |
| 85.208.84.220 | IPv4 地址 | WARMCOOKIE C2 服务器 | |
| 109.120.137.42 | IPv4 地址 | WARMCOOKIE C2 服务器 | |
| 195.82.147.3 | IPv4 地址 | WARMCOOKIE C2 服务器 | |
| 93.152.230.29 | IPv4 地址 | WARMCOOKIE C2 服务器 | |
| 155.94.155.155 | IPv4 地址 | WARMCOOKIE C2 服务器 | |
| 87.120.93.151 | IPv4 地址 | WARMCOOKIE C2 服务器 | |
| 170.130.165.112 | IPv4 地址 | WARMCOOKIE C2 服务器 | |
| 192.36.57.164 | IPv4 地址 | WARMCOOKIE C2 服务器 | |
| 83.172.136.121 | IPv4 地址 | WARMCOOKIE C2 服务器 | |
| 45.153.126.129 | IPv4 地址 | WARMCOOKIE C2 服务器 | |
| 170.130.55.107 | IPv4 地址 | WARMCOOKIE C2 服务器 | |
| 89.46.232.247 | IPv4 地址 | WARMCOOKIE C2 服务器 | |
| 89.46.232.52 | IPv4 地址 | WARMCOOKIE C2 服务器 | |
| 185.195.64.68 | IPv4 地址 | WARMCOOKIE C2 服务器 | |
| 107.189.18.183 | IPv4 地址 | WARMCOOKIE C2 服务器 | |
| 192.36.57.50 | IPv4 地址 | WARMCOOKIE C2 服务器 | |
| 62.60.238.115 | IPv4 地址 | WARMCOOKIE C2 服务器 | |
| 178.209.52.166 | IPv4 地址 | WARMCOOKIE C2 服务器 | |
| 185.49.69.102 | IPv4 地址 | WARMCOOKIE C2 服务器 | |
| 185.49.68.139 | IPv4 地址 | WARMCOOKIE C2 服务器 | |
| 149.248.7.220 | IPv4 地址 | WARMCOOKIE C2 服务器 | |
| 194.71.107.41 | IPv4 地址 | WARMCOOKIE C2 服务器 | |
| 149.248.58.85 | IPv4 地址 | WARMCOOKIE C2 服务器 | |
| 91.222.173.219 | IPv4 地址 | WARMCOOKIE C2 服务器 | |
| 151.236.26.198 | IPv4 地址 | WARMCOOKIE C2 服务器 | |
| 91.222.173.91 | IPv4 地址 | WARMCOOKIE C2 服务器 | |
| 185.161.251.26 | IPv4 地址 | WARMCOOKIE C2 服务器 | |
| 194.87.45.138 | IPv4 地址 | WARMCOOKIE C2 服务器 | |
| 38.180.91.117 | IPv4 地址 | WARMCOOKIE C2 服务器 | |
| c7bb97341d2f0b2a8cd327e688acb65eaefc1e01c61faaeba2bc1e4e5f0e6f6e | SHA-256 | WARMCOOKIE | |
| 9d143e0be6e08534bb84f6c478b95be26867bef2985b1fe55f45a378fc3ccf2b | SHA-256 | WARMCOOKIE | |
| f4d2c9470b322af29b9188a3a590cbe85bacb9cc8fcd7c2e94d82271ded3f659 | SHA-256 | WARMCOOKIE | |
| 5bca7f1942e07e8c12ecd9c802ecdb96570dfaaa1f44a6753ebb9ffda0604cb4 | SHA-256 | WARMCOOKIE | |
| b7aec5f73d2a6bbd8cd920edb4760e2edadc98c3a45bf4fa994d47ca9cbd02f6 | SHA-256 | WARMCOOKIE | |
| e0de5a2549749aca818b94472e827e697dac5796f45edd85bc0ff6ef298c5555 | SHA-256 | WARMCOOKIE | |
| 169c30e06f12e33c12dc92b909b7b69ce77bcbfc2aca91c5c096dc0f1938fe76 | SHA-256 | WARMCOOKIE |
参考资料
上述研究参考了以下内容: