APT41 Winnti后门技术深度剖析：零检测、域名抢注与云凭证窃取

当研究员@TuringAlex将一个在 VirusTotal 上检测结果为零的 ELF 样本标记为 APT41 时，很多人可能以为这又是一次误判。但经过深入分析，这个看似普通的 Linux 木马，实则是 APT41/Winnti 组织武器库中一个高度成熟的后门的最新演化版本。

这个样本是一个 2.7 MB 的 x86_64 ELF 二进制文件，经过了近乎最大程度的混淆处理。它连接到三个精心构造的 C2 域名，并使用 SMTP 端口 25 作为隐蔽信道，专门用于从云工作负载中窃取关键凭证。

样本与混淆分析

样本 MD5：f1403192ad7a762c235d670e13b703c3
这是一个 2.7 MB 的 ELF 二进制文件，熵值接近最大值（约 832 KB 的代码，每字节 7.997 位）。这种混淆并非简单的加壳，而是采用了自定义的代码虚拟化或指令级转换技术，导致在不使用专用反虚拟化工具的情况下，静态分析几乎无法进行。

多家威胁情报机构对其进行了归类：

• MalwareBazaar 将其标记为 Winnti。
• ReversingLabs 将其分类为 Linux.Backdoor.Winnti。
• Intezer 通过代码重用分析，确认了其与 Winnti 家族谱系的联系，其历史可追溯至六年前。

这并非一个全新的恶意软件家族，而是中国背景的威胁组织自 2020 年以来持续迭代开发工具链的最新成果。

三个域名与一种模式

该后门程序连接三个 C2 域名，均模仿了合法的中国科技公司域名（即域名抢注）：

• ai[.]qianxing[.]co —— 模仿“千信/千星AI”
• ns1[.]a1iyun[.]top —— 模仿“阿里云”（注意将字母 l 替换为数字 1）
• ai[.]aliyuncs[.]help —— 模仿“阿里云存储”（aliyuncs 是阿里云服务的缩写）

这三个域名最终都解析到位于新加坡的同一个阿里云 IP 地址：43[.]99[.]48[.]196。这种模仿策略是故意的：当防御者在日志中看到 a1iyun.top 这样的域名查询时，很容易将其误认为合法的 aliyun.com 流量，从而蒙混过关。而“ai.”这个子域名前缀，在人工智能应用普及的当下，又额外增加了一层可信度。

高度隐匿的C2基础设施

对 C2 服务器 IP (43[.]99[.]48[.]196) 的 Shodan 扫描返回“无可用信息”。在长达两年半的运行期间，该 IP 地址未被任何互联网扫描引擎识别出开放端口或服务。

这种“隐形”是有意设计的。该 C2 服务器仅响应携带正确植入程序握手数据包的连接。来自端口扫描器、网络爬虫或研究人员探测的所有其他请求，均会被拒绝。分析人员尝试直接连接文档中记录的 C2 端口（25, 443, 8088），均告失败。

其中，使用 SMTP 协议端口 25 作为 C2 信道尤为狡猾。邮件流量通常不会被数据防泄漏系统深度检查，且该端口在防火墙策略中经常被放行。植入程序很可能将 C2 指令编码在看似正常的 SMTP 协议通信中，从而实现高度隐蔽的通信。

核心功能：云凭证收集器

该后门最具威胁的能力在于其对云实例元数据的窃取。它能够访问链路本地地址 169.254.169.254，这是所有主流云提供商向运行中的工作负载提供凭据、API令牌和配置数据的标准接口。

当该植入程序成功部署到一台云虚拟机上时，它可以收集以下关键信息：

• AWS：IAM 角色凭证、安全令牌、实例身份文档
• GCP：服务账号令牌、项目元数据、Kubernetes 配置
• Azure：托管标识令牌、订阅元数据
• 阿里云：RAM 角色凭证、实例元数据

这意味着攻击者的目标并非单台服务器上的文件，而是旨在窃取能够访问整个云账户的钥匙。一次成功的初始入侵，结合适当的 IAM 权限，可能导致整个云环境沦陷。

横向移动与攻击模型

为了扩大战果，该植入程序会向 255.255.255.255:6006 这个本地网络广播地址发送 UDP 数据包。这是一种网络发现机制，用于定位同一网段内的其他主机，以便后续利用窃取的凭据或已知漏洞进行横向移动。

结合其云元数据采集能力，完整的攻击链条变得清晰：

1. 攻破一个云工作负载（例如虚拟机或容器）。
2. 窃取该工作负载附带的云服务凭据（IAM角色、服务账号等）。
3. 利用这些高权限凭据，在云环境内部进行横向移动，攻破更多工作负载。
4. 从新攻破的工作负载上继续窃取凭证，循环往复。

UDP 广播用于发现和攻击本地/VPC 网络内的目标，而云元数据采集则用于实现跨工作负载、甚至跨服务的权限提升和横向移动，这正是现代云安全防护需要重点关注的攻击路径。

归因分析

综合多项证据，将此样本归因于 APT41/Winnti 具有高度可信度：

1. 恶意软件特征匹配：被 MalwareBazaar 和 ReversingLabs 等权威平台标记为 Winnti。
2. 代码基因关联：Intezer 分析确认了其与已知 Winnti ELF 后门谱系的代码重用关系。
3. 基础设施偏好：使用阿里云托管C2、抢注中文科技公司域名，与 APT41 已知的战术偏好相符。
4. 演进谱系清晰：其技术可追溯至 PWNLNX (2020) → RedXOR (2021) → AzazelFork (2022) → Earth Lusca/SprySOCKS (2023) → Melofee (2024) 这一系列已知的 Winnti 相关样本。

网络威胁指标 (IOCs)

域名：

• ai[.]qianxing[.]co
• ns1[.]a1iyun[.]top
• ai[.]aliyuncs[.]help

IP 地址：

• 43[.]99[.]48[.]196 (阿里巴巴云，新加坡)

这个案例揭示了高级持续性威胁组织攻击手法日益专业化与云原生化。防御者需要加强对云工作负载的监控，严格遵循最小权限原则配置 IAM，并对内部网络中的异常 UDP 广播流量保持警惕。对于安全研究人员和运维人员而言，理解此类攻击的完整链条是构建有效防御的第一步。如果你想深入讨论相关技术或获取更多安全资源，欢迎在云栈社区的对应板块交流。